数据处理方法、装置、设备、存储介质及程序产品与流程

1.本公开涉及大数据技术领域，特别涉及一种数据处理方法、装置、电子设备、计算机可读存储介质及计算机程序产品。


背景技术：

2.在一个数据系统中，每一个需要实现访问控制的功能都可以抽象为一个权限。为了方便权限管理，可以将一组具有关联关系的权限打包为一个角色。一个用户在数据系统中可以被赋予一个或多个角色。用户的操作范围是其被赋予角色下所有权限下属功能的集合。


技术实现要素：

3.本公开的一个方面提供了一种数据处理方法，包括：响应于用户请求对存储于数据主体内的指定数据执行指定操作，确定针对上述数据主体为上述用户设置的角色；通过查询涉及上述角色的角色权限关联表，对上述用户进行鉴权，以验证上述用户以上述角色是否有权限对上述指定数据执行上述指定操作；以及响应于鉴权通过，允许上述用户对上述数据主体内的上述指定数据执行上述指定操作。
4.在一些实施例中，还包括：在确定针对上述数据主体为上述用户设置的角色之前，通过查询主体角色关联表，确定是否已针对上述数据主体为上述用户设置了对应的角色；其中，响应于确定已针对上述数据主体为上述用户设置了对应的角色，执行上述确定针对上述数据主体为上述用户设置的角色的操作。
5.在一些实施例中，还包括：在查询涉及上述角色的角色权限关联表之前，获取上述角色权限关联表；获取针对上述用户生成的会话口令；以及以上述会话口令为索引，将上述角色权限关联表存入预先设定的缓存空间中。
6.在一些实施例中，通过以下操作查询涉及上述角色的角色权限关联表：在已确定针对上述数据主体为上述用户设置的角色的情况下，获取并校验针对上述用户生成的上述会话口令；响应于校验通过，在上述缓存空间中找到以上述会话口令为索引存储的目标角色权限关联表；以及将上述目标角色权限关联表作为涉及上述角色的角色权限关联表，并执行查询操作。
7.在一些实施例中，上述会话口令是基于上述用户的用户数据或用户信息生成的。
8.在一些实施例中，上述数据主体是与上述用户关联的至少一个数据主体中的任意一个数据主体。
9.在一些实施例中，通过以下操作创建上述至少一个数据主体中的任一数据主体：创建目标存储区域；针对上述目标存储区域，创建至少一个具有对应权限的内置角色；将被设置为上述至少一个具有对应权限的内置角色的所有用户的用户数据存储至上述目标存储区域内；以及将存储有上述用户数据且内置有上述至少一个具有对应权限的内置角色的上述目标存储区域作为一个数据主体。
10.本公开的另一个方面提供了一种数据处理装置，包括：响应于用户请求对存储于数据主体内的指定数据执行指定操作，通过以下模块执行相应操作：第一确定模块，用于确定针对上述数据主体为上述用户设置的角色；鉴权模块，用于通过查询涉及上述角色的角色权限关联表，对上述用户进行鉴权，以验证上述用户以上述角色是否有权限对上述指定数据执行上述指定操作；以及执行模块，用于响应于鉴权通过，允许上述用户对上述数据主体内的上述指定数据执行上述指定操作。
11.在一些实施例中，还包括：第二确定模块，用于在确定针对上述数据主体为上述用户设置的角色之前，通过查询主体角色关联表，确定是否已针对上述数据主体为上述用户设置了对应的角色；上述第一确定模块，还用于响应于确定已针对上述数据主体为上述用户设置了对应的角色，执行确定针对上述数据主体为上述用户设置的角色的操作。
12.在一些实施例中，还包括：第一获取模块，用于在查询涉及上述角色的角色权限关联表之前，获取上述角色权限关联表；第二获取模块，用于获取针对上述用户生成的会话口令；以及存储模块，用于以上述会话口令为索引，将上述角色权限关联表存入预先设定的缓存空间中。
13.在一些实施例中，通过查询模块查询涉及上述角色的角色权限关联表，上述查询模块包括：第一获取单元，用于在已确定针对上述数据主体为上述用户设置的角色的情况下，获取并校验针对上述用户生成的上述会话口令；查询单元，用于响应于校验通过，在上述缓存空间中找到以上述会话口令为索引存储的目标角色权限关联表；以及执行单元，用于将上述目标角色权限关联表作为涉及上述角色的角色权限关联表，并执行查询操作。
14.在一些实施例中，上述会话口令是基于上述用户的用户数据或用户信息生成的。
15.在一些实施例中，上述数据主体是与上述用户关联的至少一个数据主体中的任意一个数据主体。
16.在一些实施例中，通过创建模块创建上述至少一个数据主体中的任一数据主体，上述创建模块包括：第一创建单元，用于创建目标存储区域；第二创建单元，用于针对上述目标存储区域，创建至少一个具有对应权限的内置角色；存储单元，用于将被设置为上述至少一个具有对应权限的内置角色的所有用户的用户数据存储至上述目标存储区域内；以及第三创建单元，用于将存储有上述用户数据且内置有上述至少一个具有对应权限的内置角色的上述目标存储区域作为一个数据主体。
17.本公开的另一方面提供了一种电子设备，包括：一个或多个处理器；存储器，用于存储一个或多个程序，其中，当上述一个或多个程序被上述一个或多个处理器执行时，使得上述一个或多个处理器实现本公开实施例的方法。
18.本公开的另一方面提供了一种计算机可读存储介质，存储有计算机可执行指令，上述指令在被执行时用于实现本公开实施例的方法。
19.本公开的另一方面提供了一种计算机程序产品，包括计算机程序，上述计算机程序在被处理器执行时实现本公开实施例的方法。
附图说明
20.为了更完整地理解本公开及其优势，现在将参考结合附图的以下描述，其中：
21.图1示意性示出了可以应用本公开实施例的数据处理方法和装置的系统架构；
22.图2示意性示出了根据本公开实施例的数据处理方法的流程图；
23.图3示意性示出了根据本公开另一实施例的数据处理方法的流程图；
24.图4示意性示出了根据本公开的实施例的创建数据主体的方法的示意图；
25.图5示意性示出了根据本公开的实施例的数据处理方法的原理图；
26.图6示意性示出了根据本公开的实施例的数据处理装置的框图；以及
27.图7示意性示出了根据本公开的实施例的适于实现上文描述的方法的电子设备的框图。
具体实施方式
28.以下，将参照附图来描述本公开的实施例。但是应该理解，这些描述只是示例性的，而并非要限制本公开的范围。在下面的详细描述中，为便于解释，阐述了许多具体的细节以提供对本公开实施例的全面理解。然而，明显地，一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本公开的概念。
29.在此使用的术语仅仅是为了描述具体实施例，而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了上述特征、步骤、操作和/或部件的存在，但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
30.在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义，除非另外定义。应注意，这里使用的术语应解释为具有与本说明书的上下文相一致的含义，而不应以理想化或过于刻板的方式来解释。
31.在使用类似于“a、b和c等中至少一个”这样的表述的情况下，一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如，“具有a、b和c中至少一个的系统”应包括但不限于单独具有a、单独具有b、单独具有c、具有a和b、具有a和c、具有b和c、和/或具有a、b、c的系统等)。
32.附图中示出了一些方框图和/或流程图。应理解，方框图和/或流程图中的一些方框或其组合可以由计算机程序指令来实现。这些计算机程序指令可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器，从而这些指令在由该处理器执行时可以创建用于实现这些方框图和/或流程图中所说明的功能/操作的装置。本公开的技术可以硬件和/或软件(包括固件、微代码等)的形式来实现。另外，本公开的技术可以采取存储有指令的计算机可读存储介质上的计算机程序产品的形式，该计算机程序产品可供指令执行系统使用或者结合指令执行系统使用。
33.在一个数据系统中，可以针对数据系统设置一组角色。目前，每个用户在数据系统中被赋予的角色的集合是固定的，这些角色对应的权限是面向该数据系统中的全部数据的。对于不同的数据主体，用户被赋予的操作权限是一致的。
34.然而在某些特殊场景下，针对数据系统中的不同数据主体，用户需要被赋予不同的操作权限。
35.本公开的实施例提供了一种数据处理方法以及能够应用该方法的数据处理装置。该方法包括：响应于用户请求对存储于数据主体内的指定数据执行指定操作，确定针对上述数据主体为上述用户设置的角色；通过查询涉及上述角色的角色权限关联表，对上述用
户进行鉴权，以验证上述用户以上述角色是否有权限对上述指定数据执行上述指定操作；以及响应于鉴权通过，允许上述用户对上述数据主体内的上述指定数据执行上述指定操作。
36.图1示意性示出了可以应用本公开实施例的数据处理方法和装置的系统架构。需要注意的是，图1所示仅为可以应用本公开实施例的系统架构的示例，以帮助本领域技术人员理解本公开的技术内容，但并不意味着本公开实施例不可以用于其他设备、系统、环境或场景。
37.如图1所示，该系统架构100包括：用户、客户端101和数据系统102。用户被赋予了访问数据系统102内的数据的权限，进而用户可以通过客户端101访问数据系统102内的数据。用户通过客户端101基于被赋予的权限可以对数据系统102中的数据执行一些操作，例如读取、删除等。
38.数据系统102内可以包括多个数据主体，不同的数据主体独立存储数据。
39.图2示意性示出了根据本公开实施例的数据处理方法的流程图。
40.如图2所示，该方法200可以包括响应于用户请求对存储于数据主体内的指定数据执行指定操作，执行以下操作s210～操作s230。
41.应该理解，每个用户可以关联一个或者多个数据主体。在同时关联多个数据主体的情况下，可以响应于用户请求对存储于其中任一个关联的数据主体内的指定数据执行指定操作，执行本公开实施例中的操作s210～操作s230。
42.在操作s210，确定针对上述数据主体为上述用户设置的角色。
43.在本公开实施例中，数据系统可以包括多个数据主体，不同的数据主体独立存储数据。
44.例如，某集团公司的数据系统内包括总公司的人事数据，以及分公司的人事数据。可以将总公司的人事数据作为一个数据主体，将分公司的人事数据作为另一个数据主体。其中，以总公司的人事数据形成的数据主体可以记为数据主体h
hr
。在一个示例中，针对数据主体h
hr
，可以设置多个角色，并将每个角色同时赋予一个或多个用户，也可以将多个不同的角色同时赋予同一用户。
45.再例如，某集团公司的数据系统内包括总公司以及多个分公司的数据。该数据可以包括人事数据、财务数据及营销数据等。可以将总公司的数据作为一个数据主体h，将分公司1的数据作为一个数据主体b1，将分公司2的数据作为另一个数据主体b2。对数据主体b1中数据执行的操作不会影响数据主体b2中的数据。
46.在操作s220，通过查询涉及上述角色的角色权限关联表，对上述用户进行鉴权，以验证上述用户以上述角色是否有权限对上述指定数据执行上述指定操作。
47.在本公开实施例中，针对数据主体，设置角色可以是将至少一个权限组合或打包，可以建立或调用角色权限关联表。
48.例如，针对数据主体b1，设置了一个角色1，该角色1具有多个权限，这些权限可以使得被赋予角色1的用户访问数据主体b1的多个人事数据。针对角色1，如果该角色1是数据系统内的通用的角色，可以直接调用数据系统内的通用角色的角色权限关联表；如果该角色1不是数据系统内的通用角色，可以新建一个角色权限关联表。在一个示例中，角色1的角色权限关联表包括角色1的角色标识，以及角色1具有的多个权限的权限标识，角色标识与
多个权限标识对应。
49.再例如，角色权限关联表如下表(表1)所示。
50.表1角色权限关联表
51.角色标识权限标识角色1权限1角色1权限2
52.如表1所示，角色1具有权限1和权限2。
53.在权限表中，记载了与权限标识对应的权限内容。
54.在本公开实施例中，对上述用户进行鉴权，即查询角色权限关联表中是否有对上述指定数据执行上述指定操作的所需权限的权限标识。
55.例如，针对数据主体b1，设置了角色1，并将角色1赋予了用户。用户请求访问数据主体b1中的某条人事数据，然而访问该条人事数据需要权限1表征的权限。此时，对用户鉴权可以是查询角色1的角色权限关联表中是否具有权限1的权限标识。在一个示例中，可以查询上述表1，可以得到表1中记载了权限1，进而角色1具有权限1表征的权限，鉴权通过。
56.例如，针对数据主体b1，设置了角色1，并将角色1赋予了用户。用户请求访问数据主体b1中的某条财务数据，然而访问该条财务数据需要权限3表征的权限。此时，对用户鉴权可以是查询角色1的角色权限关联表中是否具有权限1的权限标识。在一个示例中，可以查询上述表1，可以得到表1中记载了权限1和权限2，没有记载权限3，进而角色1不具有权限1表征的权限，鉴权不通过。
57.在操作s230，响应于鉴权通过，允许上述用户对上述数据主体内的上述指定数据执行上述指定操作。
58.在本公开实施例中，指定操作可以包括读取操作、写入操作和删除操作等等。
59.例如，用户可以请求读取数据主体b1中的某条人事数据。再例如，用户可以请求在数据主体b1的某条人事数据中写入新的参数。再例如，用户可以请求删除在数据主体b1的某条人事数据。
60.通过本公开实施例，针对上述数据主体为上述用户设置的角色，各数据主体可以独立维护角色体系，各角色体系之间可以数据隔离。进而，针对同一用户，不同的数据主体下可以实现不同的访问控制策略，有效的提高了数据安全性，保证某个用户正常访问其所需数据的情况下，防止其他数据泄露。
61.图3示意性示出了根据本公开另一个实施例的数据处理方法的流程图。
62.如图3所示，该方法300可以包括操作s301～操作s310。
63.在操作s301，获取上述角色权限关联表。
64.在本公开实施例中，可以在用户登录数据系统时，调取用户被赋予的全部角色的角色权限关联表。
65.例如，用户a登录数据系统时，可以调取与用户a关联的角色权限关联表。在一个示例中，用户a的角色权限关联表可以存储在数据系统中用于存储角色权限关联表的区域内。在一个示例中，用户a的角色权限关联标况可存储在与用户a关联的一个或多个数据主体内。
66.在操作s302，获取针对上述用户生成的会话口令。
67.在本公开实施例中，会话口令可以根据用户信息或用户数据生成。
68.例如，会话口令可以根据用户登录数据系统时填写的用户信息生成，比如，根据用户的账号生成。
69.例如，会话口令可以根据用户的用户数据生成。用户数据可以是与用户关联的数据，比如用户的人事数据。
70.在本公开实施例中，会话口令具有有效期。
71.例如，会话口令可以在一定时间内有效，也可以在一定访问次数内有效。
72.在操作s303，以上述会话口令为索引，将上述角色权限关联表存入预先设定的缓存空间中。
73.在本公开实施例中，预先设定的缓存空间可以是数据系统内的缓存空间。
74.例如，数据系统内划分了一个存储空间，用于暂存登录了系统的用户的角色权限关联表。
75.在没有口令机制时，为了保证安全，用户的每次操作都要进行密码验证，操作较为繁琐。有了口令机制后，用户只需要在登录时进行密码验证，其他操作使用口令代表用户身份。用户登录成功后，系统将用户的权限列表推送到缓存中，用户携带口令访问数据主体时，系统从缓存中取出当前数据主体下的角色权限关联表进行鉴权。从缓存中查表相比于从存储角色权限关联表的数据库查表，速度更快，鉴权效率更高。
76.在操作s304，确定是否已针对上述数据主体为上述用户设置了对应的角色。若结果为是，则执行操作s305。若结果为否，则结束执行。
77.在本公开实施例中，可以通过查询主体角色关联表，确定是否已针对上述数据主体为上述用户设置了对应的角色。
78.例如，可以先查询主体用户关联表，确定用户是否与数据主体关联；再查询主体角色关联表，确定是否已针对上述数据主体为上述用户设置了对应的角色。主体用户关联表如下表(表2)所示。
79.表2主体用户关联表
80.主体标识用户标识主体b1用户a主体b1用户b
81.如表2所示，用户a和用户b与主体b1关联。
82.主体角色关联表如下表(表3)所示。
83.表3主体用户关联表
84.主体标识角色标识主体b1角色1主体b1角色2主体b1角色3
85.如表3所示，针对数据主体b1，设置了角色1至角色3。
86.在一个示例中，用户a请求访问数据主体b1的某条人事数据，可以先查询数据主体b1的主体用户关联表(比如上述表2)，查询该主体用户关联表是否有用户a的标识，如果有用户a的标识，可以确定用户a与数据主体b1关联。再查询数据主体b1的主体角色关联表(比
如上述表3)，确定是否已针对数据主体b1为设置了对应的角色。在另一个示例中，可以再查询用户a的用户角色关联表(比如上述表1)确定这些角色中的一个或多个是否被赋予了用户a。
87.在本公开实施例中，针对至少一个数据主体，为上述用户设置了角色。
88.例如，数据主体包括第一数据主体和第二数据主体；第一数据主体，用于存储第一数据，上述第一数据包括上述用户的用户数据；以及第二数据主体，用于存储第二数据，上述第二数据主体至少一个，上述第二数据包括上述用户与上述第二数据主体的关联数据。针对第一数据主体，为用户设置了一个角色，针对第二数据主体，为用户设置了另一个角色。
89.第一数据主体中可以存放用户的元数据，第二数据主体仅仅存放与该用户的关联关系。元数据可以是用户的档案，关联关系可以是用户在第二数据主体表征的子公司中的职务。用户在不同的数据主体的权限可以是不同的，比如：用户在第一数据主体中可以对某些关键数据进行操作，而第二数据主体中则不可操作，提供了区别于角色权限控制策略之外的另一种访问控制策略。
90.在操作s305，确定针对上述数据主体为用户设置的角色。
91.在本公开实施例中，可以在确定针对上述数据主体为上述用户设置的角色之后，调取用户被赋予的角色的角色权限关联表。
92.例如，可以确定针对数据主体b1，设置了角色1，并将角色1赋予了用户a。用户a登录数据系统，请求访问数据主体b1时，可以调取角色1的角色权限关联表。
93.在操作s306，获取并校验针对用户生成的上述会话口令。若校验结果为是，则执行操作s307；若校验结果为否，则结束执行。
94.在本公开实施例中，可以校验会话口令是否有效，也可以校验会话口令是否正确。
95.例如，可以校验会话口令是否仍在有效的时间内有效，也可以校验会话口令的访问次数是否用尽。
96.再例如，会话口令可以是根据用户信息经过加密操作得到，对该会话口令进行解密，可以得到一个解密数据。在一个示例中，可以校验该解密数据是否完整，以校验会话口令是否正确。在一个示例中，也可以将解密数据与数据主体内存储的用户数据匹配，验证解密数据是否与用户数据一致，以校验会话口令是否正确。
97.在操作s307，在上述缓存空间中找到以上述会话口令为索引存储的目标角色权限关联表。
98.例如，在数据系统内划分的用于暂存登录了系统的用户的角色权限关联表存储空间内，可以根据会话口令，找到以上述会话口令为索引存储目标角色权限关联表。
99.在操作s308，将上述目标角色权限关联表作为涉及上述角色的角色权限关联表，并进行查询。
100.例如，可以将上述目标角色权限关联表作为涉及用户a的角色权限关联表。
101.在操作s309，验证用户以上述角色是否具有权限对上述指定数据执行上述指定操作。若验证结果为是，则执行操作s310，若验证结果为否，则结束执行。
102.例如，可以查询上述涉及用户a的角色权限关联表，验证表中是否有对上述指定数据执行上述指定操作的权限的权限标识，如果有该权限标识，则验证成功，可以给出验证结
果为“是”。如果没有有该权限标识，则验证失败，可以给出验证结果为“否”103.在操作s310，允许用户对上述数据主体内的上述指定数据执行上述指定操作。
104.例如，允许用户a读取或修改该人事数据。
105.图4示意性示出了根据本公开实施例的创建数据主体的方法的示意图。
106.如图4所示，该方法400可以创建上述至少一个数据主体中的任一数据主体。下面将参考操作s410～操作s440进行详细说明。
107.在操作s410，创建目标存储区域。
108.在本公开实施例中，可以在数据系统中划分出一定的存储区域。
109.例如，在集团公司的数据系统中划分出一个存储区域，用于创建一个子公司的数据主体。
110.在操作s420，针对上述目标存储区域，创建至少一个具有对应权限的内置角色。
111.在本公开实施例中，内置角色可以是具有对待创建数据主体执行全部可执行操作的全部权限的角色。
112.例如，创建内置角色时，可以创建或调用内置角色的角色权限关联表。该内置角色的角色权限关联表中，包括内置角色的标识，以及与内置角色的标识对应的多个权限标识。基于该内置角色权限关联表，被赋予内置角色的用户可以对创建的数据主体内的数据执行全部可执行的操作。内置角色的角色权限关联表如下表(表4)所示。
113.表4内置角色的角色权限关联表
[0114][0115]
在操作s430，将被设置为上述至少一个具有对应权限的内置角色的所有用户的用户数据存储至上述目标存储区域内。
[0116]
在本公开实施例中，被赋予内置角色的用户的用户数据的一部分或全部可以用于生成会话口令。
[0117]
例如，数据主体被创建后，被赋予内置角色的用户初次登录数据系统时，基于会话口令访问被创建的数据主体时，可以解析出会话口令中的用户数据，进而判断解析出的用户数据是否存储在被创建的数据主体中，以验证该用户是否被赋予该被创建的数据主体的内置角色。内置角色的权限较大，需要进行验证，以保护数据主体内数据的安全。
[0118]
在操作s440，将存储有上述用户数据且内置有上述至少一个具有对应权限的内置角色的上述目标存储区域作为一个数据主体。
[0119]
例如，将存储有用户e的用户数据且内置有至少一个具有对应权限的内置角色的
上述目标存储区域作为一个数据主体。
[0120]
数据主体新建时自带内置角色，可直接使用内置角色，也可在内置角色基础上新建、修改，形成新的角色体系。解决了新的数据主体不创建角色就无法使用的问题。
[0121]
图5示意性示出了根据本公开实施例的数据处理方法的原理图。
[0122]
如图5所示，数据系统502内包括多个数据主体，例如数据主体h，数据主体b
1i
、
……
、数据主体b
1n
，数据主体b
i1
、
……
、数据主体b
in
，数据主体b
n1
、
……
、数据主体b
nn
。其中数据主体h用于存储某集团公司的总公司的数据，其他数据主体各存储一个子公司的数据。
[0123]
针对数据主体h和数据主体b
i1
，为用户a设置了角色，其中数据主体h存储了用户a的第一数据，数据主体b
i1
存储了的用户a第二数据，第二数据包括上述用户a与上述第二数据主体b
i1
的关联数据。
[0124]
用户a可以通过客户端a 5011请求对存储于数据主体h内的指定数据执行指定操作。指定数据可以是第一数据，也可是其他数据。指定操作可以是读取操作、删除操作等等。可以确定针对上述数据主体h为上述用户a设置的角色，比如角色4。通过查询涉及上述角色4的角色权限关联表，对上述用户a进行鉴权，以验证上述用户a以上述角色4是否有权限对上述指定数据执行上述指定操作。鉴权通过后，允许上述用户a对上述数据主体h内的上述指定数据执行上述指定操作。
[0125]
如图5所示，针对数据主体b
n1
，为用户b设置了角色，用户b可以通过客户端b 5012访问数据主体b
n1
。针对数据主体b
ni
和数据主体b
nn
，为用户c设置了角色，用户c可以通过客户端c 5013访问数据主体b
ni
和数据主体b
nn
。针对数据主体h、数据主体b
ni
和数据主体b
1n
，为用户d设置了角色，用户d可以通过客户端d 5014访问数据主体h、数据主体b
ni
和数据主体b
1n
。
[0126]
图6示意性示出了根据本公开的实施例的数据处理装置的框图。
[0127]
如图6所示，该装置600可以响应于用户请求对存储于数据主体内的指定数据执行指定操作，通过以下模块执行相应操作。
[0128]
第一确定模块610，用于确定针对上述数据主体为上述用户设置的角色。
[0129]
鉴权模块620，用于通过查询涉及上述角色的角色权限关联表，对上述用户进行鉴权，以验证上述用户以上述角色是否有权限对上述指定数据执行上述指定操作。
[0130]
执行模块630，用于响应于鉴权通过，允许上述用户对上述数据主体内的上述指定数据执行上述指定操作。
[0131]
在一些实施例中，还包括：第二确定模块，用于在确定针对上述数据主体为上述用户设置的角色之前，通过查询主体角色关联表，确定是否已针对上述数据主体为上述用户设置了对应的角色。上述第一确定模块，还用于响应于确定已针对上述数据主体为上述用户设置了对应的角色，执行确定针对上述数据主体为上述用户设置的角色的操作。
[0132]
在一些实施例中，还包括：第一获取模块，用于在查询涉及上述角色的角色权限关联表之前，获取上述角色权限关联表。第二获取模块，用于获取针对上述用户生成的会话口令。以及存储模块，用于以上述会话口令为索引，将上述角色权限关联表存入预先设定的缓存空间中。
[0133]
在一些实施例中，通过查询模块查询涉及上述角色的角色权限关联表，上述查询
模块包括：第一获取单元，用于在已确定针对上述数据主体为上述用户设置的角色的情况下，获取并校验针对上述用户生成的上述会话口令。查询单元，用于响应于校验通过，在上述缓存空间中找到以上述会话口令为索引存储的目标角色权限关联表。以及执行单元，用于将上述目标角色权限关联表作为涉及上述角色的角色权限关联表，并执行查询操作。
[0134]
在一些实施例中，上述会话口令是基于上述用户的用户数据或用户信息生成的。
[0135]
在一些实施例中，上述数据主体是与上述用户关联的至少一个数据主体中的任意一个数据主体。
[0136]
在一些实施例中，通过创建模块创建上述至少一个数据主体中的任一数据主体，上述创建模块包括：第一创建单元，用于创建目标存储区域。第二创建单元，用于针对上述目标存储区域，创建至少一个具有对应权限的内置角色。存储单元，用于将被设置为上述至少一个具有对应权限的内置角色的所有用户的用户数据存储至上述目标存储区域内。以及第三创建单元，用于将存储有上述用户数据且内置有上述至少一个具有对应权限的内置角色的上述目标存储区域作为一个数据主体。
[0137]
需要说明的是，本公开装置部分的实施例与本公开方法部分的实施例对应相同或类似，并且所解决的技术问题以及所达到的技术效果也对应相同或类似，本公开在此不再赘述。
[0138]
根据本公开的实施例的模块、单元中的任意多个、或其中任意多个的至少部分功能可以在一个模块中实现。在本公开实施例中的模块、单元中的任意一个或多个可以被拆分成多个模块来实现。在本公开实施例中的模块、单元中的任意一个或多个可以至少被部分地实现为硬件电路，例如现场可编程门阵列(fpga)、可编程逻辑阵列(pla)、片上系统、基板上的系统、封装上的系统、专用集成电路(asic)，或可以通过对电路进行集成或封装的任何其他的合理方式的硬件或固件来实现，或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者，在本公开实施例中的模块、单元中的一个或多个可以至少被部分地实现为计算机程序模块，当该计算机程序模块被运行时，可以执行相应的功能。
[0139]
例如，第一确定模块610、鉴权模块620和执行模块630中的任意多个可以合并在一个模块中实现，或者其中的任意一个模块可以被拆分成多个模块。或者，这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合，并在一个模块中实现。根据本公开的实施例，第一确定模块610、鉴权模块620和执行模块630中的至少一个可以至少被部分地实现为硬件电路，例如现场可编程门阵列(fpga)、可编程逻辑阵列(pla)、片上系统、基板上的系统、封装上的系统、专用集成电路(asic)，或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现，或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者，第一确定模块610、鉴权模块620和执行模块630中的至少一个可以至少被部分地实现为计算机程序模块，当该计算机程序模块被运行时，可以执行相应的功能。
[0140]
图7示意性示出了根据本公开的实施例的适于实现上文描述的方法的电子设备的框图。图7示出的电子设备仅仅是一个示例，不应对本公开实施例的功能和使用范围带来任何限制。
[0141]
如图7所示，在本公开实施例中的电子设备700包括处理器701，其可以根据存储在
只读存储器(rom)702中的程序或者从存储部分708加载到随机访问存储器(ram)703中的程序而执行各种适当的动作和处理。处理器701例如可以包括通用微处理器(例如cpu)、指令集处理器和/或相关芯片组和/或专用微处理器(例如，专用集成电路(asic))，等等。处理器701还可以包括用于缓存用途的板载存储器。处理器701可以包括用于执行在本公开实施例中的方法流程的不同动作的单一处理单元或者是多个处理单元。
[0142]
在ram 703中，存储有电子设备700操作所需的各种程序和数据。处理器701、rom 702以及ram 703通过总线704彼此相连。处理器701通过执行rom 702和/或ram 703中的程序来执行在本公开实施例中的方法流程的各种操作。需要注意，上述程序也可以存储在除rom 702和ram 703以外的一个或多个存储器中。处理器701也可以通过执行存储在上述一个或多个存储器中的程序来执行在本公开实施例中的方法流程的各种操作。
[0143]
根据本公开的实施例，电子设备700还可以包括输入/输出(i/o)接口705，输入/输出(i/o)接口705也连接至总线704。电子设备700还可以包括连接至i/o接口705的以下部件中的一项或多项：包括键盘、鼠标等的输入部分706；包括诸如阴极射线管(crt)、液晶显示器(lcd)等以及扬声器等的输出部分707；包括硬盘等的存储部分708；以及包括诸如lan卡、调制解调器等的网络接口卡的通信部分709。通信部分709经由诸如因特网的网络执行通信处理。驱动器710也根据需要连接至i/o接口705。可拆卸介质711，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器710上，以便于从其上读出的计算机程序根据需要被安装入存储部分708。
[0144]
根据本公开的实施例，在本公开实施例中的方法流程可以被实现为计算机软件程序。例如，本公开的实施例包括一种计算机程序产品，其包括承载在计算机可读存储介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分709从网络上被下载和安装，和/或从可拆卸介质711被安装。在该计算机程序被处理器701执行时，执行本公开实施例的电子设备中限定的上述功能。根据本公开的实施例，上文描述的设备、装置、模块、单元等可以通过计算机程序模块来实现。
[0145]
本公开还提供了一种计算机可读存储介质，该计算机可读存储介质可以是上述实施例中描述的设备/装置中所包含的；也可以是单独存在，而未装配入该设备/装置中。上述计算机可读存储介质承载有一个或者多个程序，当上述一个或者多个程序被执行时，实现在本公开实施例中的方法。
[0146]
根据本公开的实施例，计算机可读存储介质可以是非易失性的计算机可读存储介质。例如可以包括但不限于：便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、便携式紧凑磁盘只读存储器(cd
‑
rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
[0147]
例如，根据本公开的实施例，计算机可读存储介质可以包括上文描述的rom 702和/或ram 703和/或rom 702和ram 703以外的一个或多个存储器。
[0148]
附图中的流程图和框图，图示了按照本公开各种实施例的电子设备、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可
以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
[0149]
本领域技术人员可以理解，尽管已经参照本公开的特定示例性实施例示出并描述了本公开，但是本领域技术人员应该理解，在不背离所附权利要求及其等同物限定的本公开的精神和范围的情况下，可以对本公开进行形式和细节上的多种改变。因此，本公开的范围不应该限于上述实施例，而是应该不仅由所附权利要求来进行确定，还由所附权利要求的等同物来进行限定。