(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111400869.1 (22)申请日 2021.11.19 (71)申请人 度小满科技 （北京） 有限公司 地址 100085 北京市海淀区西北旺路10号 院西区4号楼6层6 06 (72)发明人 冯春锋　赵辉　 (74)专利代理 机构 北京知帆远景知识产权代理 有限公司 1 1890 代理人 刘岩磊 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种数据访问权限控制方法、 装置、 设备及 可读存储介质 (57)摘要 本发明公开了一种数据访问权限控制方法， 该方法对数据服务组件进行侵入性改造， 拦截数 据服务组件中接收到的针对数据库的操作命令， 植入认证鉴权逻辑， 由客户端对操作命令进行根 据操作类型提取相应的表字段信息后交由服务 端进行鉴权处理， 服务端返回鉴权结果后经由客 户端进行相应的操作拦截以及放行， 该方法以服 务的方式嵌入至数据服务组件中实现数据访问 权限的控制， 直接在数据服务组件中进行权限控 制， 不存在多组件间的兼容性问题； 同时针对所 有操作命令进行鉴权， 保障了数据访问的安全 性； 同时该方法无大型计算， 占用资源小， 实现了 表、 列轻量级身份验证。 本发明还公开了一种数 据访问权限控制装置、 设备及可读存储介质， 具 有相应的技 术效果。 权利要求书2页 说明书11页 附图3页 CN 114039792 A 2022.02.11 CN 114039792 A 1.一种数据访问权限控制方法， 其特征在于， 基于搭建于数据服务组件中的客户端以 及服务端， 该方法包括： 所述服务端接收所述客户端发送的鉴权请求； 其中， 所述鉴权请求为根据操作命令的 操作类型提取鉴权信息后封装得到， 所述操作命令为在所述数据服务组件拦截到的针对数 据库的操作命令； 提取所述鉴权请求中的鉴权信息， 并确定所述 鉴权信息对应的操作类型； 根据所述操作类型调用相应的鉴权操作进行表字段级别鉴权处 理， 并获取鉴权结果； 将所述鉴权结果返回至所述客户端， 以便所述客户端根据所述鉴权结果进行操作调 度。 2.根据权利要求1所述的数据访问权限控制方法， 其特征在于， 所述根据 所述操作类型 调用相应的鉴权操作进行表字段级别鉴权处 理， 包括： 若所述操作类型为读操作， 将所述鉴权信 息发送至身份鉴权平台进行表字段级别鉴权 处理； 若所述操作类型为写操作， 判断所述操作类型 是否属于非兼容 性语法写操作； 若不属于所述非兼容性语法写操作， 将所述鉴权信息发送至hiveserver2进行表字段 级别鉴权处 理； 若属于所述非兼容性语法写操作， 调取所述鉴权信息对应创建的表名下的字段信息， 将所述字段信息封装至鉴权请求中， 并将所述鉴权请求 发送至身份鉴权平台进行表字段级 别鉴权处 理。 3.根据权利要求2所述的数据访问权限控制方法， 其特征在于， 在所述将所述鉴权信 息 发送至身份鉴权平台进行表字段级别鉴权处 理之前， 还 包括： 判断所述 鉴权信息中是否存在不确定 字段； 若存在， 调取 所述不确定字段对应的表下 所有字段信息， 作为目标信息； 将所述目标信息替换 所述不确定字段。 4.根据权利要求1至3任一项所述的数据访 问权限控制方法， 其特征在于， 在所述获取 鉴权结果之后， 还 包括： 若所述鉴权结果显示 鉴权成功， 根据用户身份获取 所述用户有权限的表的存 储路径； 对所述存 储路径进行去重整合封装， 得到 权限列表； 判断所述权限列表中是否存在当前待访问表的存 储路径； 若存在， 生成验证成功的表存 储路径验证结果； 若不存在， 生成验证失败的表存 储路径验证结果； 则相应地， 所述将所述鉴权结果返回至所述客户端， 以便所述客户端根据所述鉴权结 果进行操作调度， 具体为： 将所述鉴权结果以及所述表存储路径验证结果返回至所述客户 端， 以便所述 客户端根据所述 鉴权结果以及所述表存 储路径验证结果进行操作调度。 5.一种服 务端， 其特 征在于， 搭建于数据服 务组件， 所述 服务端包括： 请求接收单元， 用于接收所述客户端发送的鉴权请求； 其中， 所述鉴权请求为根据操作 命令的操作类型提取鉴权信息后封装得到， 所述操作命令为在所述数据服务组件拦截到的 针对数据库的操作命令； 请求识别单元， 用于提取所述鉴权请求中的鉴权信息， 并确定所述鉴权信息对应的操权　利　要　求　书 1/2 页 2 CN 114039792 A 2作类型； 鉴权处理单元， 用于根据所述操作类型调用相应的鉴权操作进行表字段级别鉴权处 理， 并获取鉴权结果； 鉴权反馈单元， 用于将所述鉴权结果返回至所述客户端， 以便所述客户端根据所述鉴 权结果进行操作调度。 6.一种数据访问权限控制方法， 其特征在于， 基于搭建于数据服务组件中的客户端以 及服务端， 该方法包括： 所述客户端拦截所述数据服 务组件中接收到的针对数据库的操作命令； 确定所述操作命令的操作类型； 对所述操作命令进行语法树解析， 以提取与所述操作类型对应的表字信息， 作为鉴权 信息； 将所述鉴权信息封装至鉴权请求中， 并将所述鉴权请求发送至所述服务端， 以便所述 服务端根据所述操作类型调用相应的鉴权操作进行表字段级别鉴权处 理； 若返回的鉴权结果显示鉴权成功， 将所述操作命令提交至执行调度序列； 若返回的鉴 权结果显示 鉴权失败， 输出操作异常。 7.根据权利要求6所述的数据访问权限控制方法， 其特征在于， 在所述对所述操作命令 进行语法树 解析之前， 还 包括： 确定所述操作命令的嵌套层数， 并判断所述嵌套层数 是否达到阈值； 若达到， 对所述操作命令进行查询拆解， 得到若干子命令； 其中， 各所述子命令的嵌套 层数均低于所述阈值； 则相应地， 对所述操作命令进行语法树 解析， 具体为： 对各 所述子命令进行语义 解析。 8.一种客户端， 其特 征在于， 搭建于数据服 务组件， 包括： 命令拦截单 元， 用于拦截所述数据服 务组件中接收到的针对数据库的操作命令； 类型确定单 元， 用于确定所述操作命令的操作类型； 信息提取单元， 用于对所述操作命令进行语法树解析， 以提取与所述操作类型对应的 表字信息， 作为 鉴权信息； 鉴权请求单元， 用于将所述鉴权信息封装至鉴权请求中， 并将所述鉴权请求发送至所 述服务端， 以便所述服务端根据所述操作类型调用相应的鉴权操作进 行表字段级别鉴权处 理； 命令反馈单元， 用于若返回的鉴权结果显示鉴权成功， 将所述操作命令提交至执行调 度序列； 若返回的鉴权结果显示 鉴权失败， 输出操作异常。 9.一种计算机设备， 其特 征在于， 包括： 存储器， 用于存 储计算机程序； 处理器， 用于执行所述计算机程序时实现如权利要求1至4任一项所述数据访问权限控 制方法， 和/或， 如权利要求6或7 所述数据访问权限控制方法的步骤。 10.一种可读存储介质， 其特征在于， 所述可读存储介质上存储有计算机程序， 所述计 算机程序被处理器执行时实现如权利要求 1至4任一项 所述数据访问权限控制方法， 和/或， 如权利要求6或7 所述数据访问权限控制方法的步骤。权　利　要　求　书 2/2 页 3 CN 114039792 A 3