(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202210776249.6 (22)申请日 2022.07.04 (65)同一申请的已公布的文献号 申请公布号 CN 114840868 A (43)申请公布日 2022.08.02 (73)专利权人 广州市玄武无线科技股份有限公 司 地址 510000 广东省广州市天河区高普路 1021号501室6383号 (72)发明人 钟文武　徐雪芳　刘坤锐　陈浩扬　 李劲　李斯狄　陈鑫　 (74)专利代理 机构 广州骏思知识产权代理有限 公司 44425 专利代理师 张金龙(51)Int.Cl. G06F 21/60(2013.01) G06F 21/62(2013.01) G06F 16/2455(2019.01) (56)对比文件 CN 109739873 A,2019.0 5.10 CN 102521416 A,2012.0 6.27 US 2019089810 A1,2019.0 3.21 US 2008114803 A1,2008.05.15 CN 102299812 A,201 1.12.28 喻玲 等.服 务网格中基 于属性自动合并的 访问控制模型. 《小型微型计算机系统》 .2010,第 31卷(第08 期), 鲁金松 等.基 于岗位的访问控制模型的研 究. 《信息网络安全》 .2016, 审查员 简文雨 (54)发明名称 数据访问方法、 装置、 电子设备及计算机可 读存储介质 (57)摘要 本发明涉及一种数据访问方法， 应用于用户 数据模型为多层级树形结构的系统， 该方法在用 户数据模型中存储根用户对象到当前用户对象 的绝对路径， 通过访问范围路径 来描述用户的数 据访问范围权限所限定的用户对象范围， 并依据 访问范围路径 来动态更新查询语句， 查询语句将 访问范围路径与用户的第一组织路径匹配， 以获 得符合用户的数据访问范围权限的数据， 可在一 次查询中直接获取目标数据中符合数据访问范 围权限的数据， 提高了查询效率， 且对数据库的 处理能力要求低， 在数据量大时也能够保证数据 库的正常运行。 权利要求书2页 说明书8页 附图3页 CN 114840868 B 2022.10.14 CN 114840868 B 1.一种数据访问方法， 应用于用户数据模型为多层级树形结构的系统， 其特征在于， 包 括步骤： 在所述用户数据模型中存储用户对象的第 一组织路径， 所述第 一组织路径为所述用户 数据模型中根用户对象到对应用户对象的绝对路径； 获取请求对象的数据访问请求， 根据 所述数据访问请求获取请求路径和所述请求对象 的数据访问范围权限， 所述请求路径指向与所述用户对 象关联的目标数据； 所述数据访问 范围权限指示所述请求对 象可访问的数据范围为目标用户对 象或目标用户对 象及其后代 用户对象的数据； 根据所述数据访问范围权限确定访问范围路径， 所述访问范围路径为所述用户数据模 型中根用户对象到所述目标用户对象的绝对路径； 将所述用户数据模型中的数据与 所述目标数据按照相同的所述用户对象进行对应， 形 成临时数据表； 在所述临时数据表中将所述访问范围路径与所述第一组织路径进行匹配， 确定符合预设匹配规则的第一组织路径对应的所述目标数据为所述数据访问请求对应的 数据。 2.根据权利要求1所述的方法， 其特征在于： 所述预设匹配规则为所述第 一组织路径中 包含所述访问范围路径的预设数据量字符， 或为所述第一组织路径与所述访问范围路径的 字符完全匹配。 3.根据权利要求1所述的方法， 其特征在于， 根据 所述数据访问请求获取所述请求对象 的数据访问范围权限， 包括步骤： 根据所述数据访问请求获取所述请求对 象的数据访问权 限， 所述数据访问权限与所述数据访问范围权限关联； 若所获取 的所述数据访问权限限定 的数据资源与所述目标 数据匹配， 则获取与所述数据访问权限关联的数据访问范围权限。 4.根据权利要求1 ‑3中任一项所述的方法， 其特征在于： 所述目标用户对象为根用户对 象或所述请求对象的父用户对象或所述请求对象。 5.根据权利要求1 ‑3中任一项所述的方法， 其特征在于， 还包括步骤： 在所述用户数据 模型中存储用户对 象的父组织标记， 所述父组织标记指向用户对 象的父用户对 象； 根据所 述父组织标记获取第二组织路径， 所述第二组织路径为所述根用户对象到所述父组织标记 指向的父用户对象的绝对路径； 根据所述数据访 问范围权限确定访 问范围路径， 包括步骤： 当所述目标用户对象为所 述根用户对 象， 所述访问范围路径取空； 当所述 目标用户对 象为所述请求对 象的父用户对 象， 所述访问范围路径取所述请求对 象对应的第二组织路径； 当所述 目标用户对 象为所述 请求对象， 所述访问范围路径取 所述请求对象的第一组织路径。 6.一种数据访问装置， 应用于用户数据模型为多层级树形结构的系统， 其特征在于， 包 括： 第一组织路径存储模块， 用于在所述用户数据模型中存储用户对象的第一组织路径， 所述第一组织路径为所述用户数据模型中根用户对象到对应用户对象的绝对路径； 请求获取模块， 用于获取请求对象的数据访 问请求， 根据所述数据访 问请求获取请求 路径和所述请求对象的数据访问范围权限， 所述请求路径指向与所述用户对象关联的目标 数据； 所述数据访问范围权限指示所述请求对象可访问的数据范围为目标用户对象或目标 用户对象及其后代用户对象的数据；权　利　要　求　书 1/2 页 2 CN 114840868 B 2查询参数获取模块， 用于根据所述数据访 问范围权限确定访 问范围路径， 所述访 问范 围路径为所述用户数据模型中根用户对象到所述目标用户对象的绝对路径； 查询模块， 用于将所述用户数据模型中的数据与 所述目标数据按照相同的所述用户对 象进行对应， 形成临时数据表； 在所述临时数据表中将所述访问范围路径与所述第一组织 路径进行匹配， 确定符合预设匹配规则的第一组织路径对应的所述目标数据为所述数据访 问请求对应的数据。 7.根据权利要求6所述的装置， 其特征在于： 所述预设匹配规则为所述第 一组织路径中 包含所述访问范围路径的预设数据量字符， 或为所述第一组织路径与所述访问范围路径的 字符完全匹配。 8.根据权利要求6所述的装置， 其特征在于： 查询参数获取模块中， 根据所述数据访 问 请求获取所述请求对 象的数据访问范围权限， 包括步骤： 根据所述数据访问请求获取所述 请求对象的数据访问权限， 所述数据访问权限与所述数据访问范围权限关联； 若所获取 的 所述数据访问权限限定的数据资源与所述目标数据匹配， 则获取与所述数据访问权限关联 的数据访问范围权限。 9.一种电子设备， 其特 征在于， 包括： 处理器； 存储器， 用于存 储由所述处 理器执行的计算机程序； 其中， 所述处 理器执行所述计算机程序时实现权利要求1 ‑5中任一项所述方法的步骤。 10.一种计算机可读存储介质， 其特征在于， 其上存储有计算机程序， 所述计算机程序 被执行时实现权利要求1 ‑5中任一项所述方法的步骤。权　利　要　求　书 2/2 页 3 CN 114840868 B 3