一种通过自动审批将数据库元数据开放的系统和方法

本发明涉及一种通过自动审批将数据库元数据开放的系统和方法，属于大数据技术领域。

现有技术中对数据库信息的安全性是非常重视的，有一些重要的信息是不能对外开放的，访问这些信息时需要通过到对应管理人员审批签字授权，如果涉及到更多管理层次需要到每一层次的管理者审批，会造成时间和效率的损失。

针对上述问题，本发明的目的是提供一种通过自动审批将数据库元数据开放的系统和方法，该方法利用计算机将在多个参与者之间的需要人工审批的流程，按照对元数据申请的预定规则进行自动审批并传递工作流程。

为实现上述目的，本发明采取以下技术方案：

本发明的第一个方面，是提供一种通过自动审批将数据库元数据开放的系统，其包括：申请人管理模块、角自定义模块、权限申请表创建模块、权限申请模块、申请表审批模块、权限开放模块以及审批流程监控模块；所述申请人管理模块用于对所有需要访问数据库的用户进行管理；所述角自定义模块用于根据预设的权限审批规则对申请人管理模块中的相应用户赋予不同的角，不同的角拥有不同的审批和数据访问权限；所述权限申请表创建模块用于创建权限申请表模板，并发送到所述权限申请模块；所述权限申请模块用于根据各用户实际的权限需求或所述申请表审批模块发送的驳回说明在预先创建的权限申请表模板中进行权限申请或修改，生成对应的权限申请表并发送到申请表审批模块；所述申请表审批模块用于根据预设的权限审批规则对权限申请表进行自动化流程审批，将审批结果发送到所述权限申请模块和权限开放模块；所述权限开放模块用于根据收到的权限审批表为相应用户开放对应的权限，并在指定期限内回收相应权限；所述审批流程监控模块用于对整个权限审批流程进行监控，并将审批流程的实际情况进行更新后展示到客户端界面。

进一步的，所述角自定义管理模块仅对数据库管理员开放，用于数据库管理员建立并维护角-用户映射关系表以及角-操作权限映射关系表并发送到审批表审批模块，其中，所述角-用户映射关系表中记录的为不同角与用户之间的映射关系以及用户与用户之间的管理和被管理关系；所述角-操作权限映射关系表中记录的为每一角拥有的对数据库中元数据进行操作的一种或多种操作权限的集合。

进一步的，所述角-操作权限映射关系表中各角与数据操作权限采用细粒度分配机制，具体的：

在对HDFS数据资源进行权限分配时，首先，将“HDFS磁盘目录”的每一条目录作为最小分配单元，实现对整个HDFS存储资源的划分，进而得到多个最小分配单元；然后，将不同角所对应的访问权限与其能够访问的HDFS磁盘目录进行组合，得到相应角的权限分配资源，该角在该HDFS磁盘目录上享有相应的访问权限；最后，进行用户与角之间的关联，若用户为HDFS磁盘目录路径的角，则该用户能够享有对相应数据的相应操作权限；

在对Hive数据资源和Hbase数据资源进行权限分配时，首先，对Hive和Hbase数据资源所对应的操作权限进行细化，得到每一种数据资源所包括的多种单项操作权限；其次，为不同角赋予不同的操作权限，其中，每一角能够拥有多种单项操作权限中的一种或几种；最后，进行用户与角之间的关联，若用户属于某一类操作权限的角，则该用户能够享有对相应数据的相应操作权限。

进一步的，在对Hive数据资源和Hbase数据资源进行权限进行细化时，包括以下内容：

Hive数据资源包括表、表字段、存在表中行数据，Hive数据资源的所有单项操作权限包括：建立在表、表字段上的单项操作权限，即：select查询权限、update数据修改权限、create创建操作权限、drop删除操作权限、alter修改表或者字段操作权限、index创建索引权限，其中，当为表字段进行select查询操作权限划分时，需要保证对表字段对应的父表也分配select查询权限；建立在表、存在表中行数据上的单项操作权限：lock锁表和数据行操作权限；包括Hive数据资源的操作权限进行细化时；

Hbase数据资源包括表、列族、列，且所述表和列族是一对多的关系，所述列族和列也是一对多的关系，所述表、列族、列是一一对应的父级和子集关系；Hbase数据资源的所有单项操作权限包括：Table读/读权限、Table创建权限、Table管理员权限、列族读/读权限、列族创建权限、列族管理员权限、列读/读权限、列创建权限、列管理员权限，且需保证当对子集进行权限分配时，保证对应的父级也有相应操作权限。

进一步的，所述权限申请模块包括权限申请表生成模块、权限申请表提交模块以及权限申请表修改模块；

所述权限申请表生成模块用于根据各用户实际的权限需求在预先创建的权限申请表模板中进行权限申请，生成对应的权限申请表；

所述权限申请表提交模块用于将生成的权限申请表发送到所述权限审批模块，同时将权限申请状态从草稿转变为待审批状态，并将权限申请状态发送到所述审批流程监控模块；

所述权限申请表撤回修改模块用于为客户端提供撤回和修改接口，使得客户端用户随时主动或根据申请表审批模块的驳回说明对生成的权限申请表进行撤回和修改，当撤回权限申请表时，权限审批流程结束，当对权限申请表进行修改时，通过权限申请表提交模块将修改后的权限申请表发送到所述权限审批模块。

进一步的，所述申请表审批模块包括审批模块和驳回说明创建模块；

所述审批模块用于根据预设的权限审批规则对权限申请模块发送的权限申请表进行自动化流程审批，若审批通过，则将权限审批表发送到所述权限开放模块，同时将权限申请状态从待审批状态转变为审核通过状态，并发送到所述审批流程监控模块；若审批不通过，则驳回申请，同时将权限申请状态从待审批状态转变为驳回状态，并发送到所述审批流程监控模块；

所述驳回说明创建模块用于在权限申请表不符合预设的权限审批规则时，生成驳回说明发送到所述权限申请模块，供客户端用户根据驳回说明对权限申请表进行修改。

进一步的，所述审批模块根据预设的权限审批规则对权限申请模块发送的权限申请表进行自动化流程审批时，首先，根据角-用户映射关系表，得到权限申请表所属用户的上一层管理级用户所对应的角；然后，根据角-操作权限映射关系表，得到上一层管理级用户所对应的角所拥有的数据库元数据操作权限；将上一层管理级用户对应的角所拥有的数据库元数据操作权限与权限申请表上的申请权限进行对比，如果权限申请表上申请的所有操作权限均属于上一层管理级用户对应的角所拥有的数据库元数据操作权限，则审批通过，否则继续根据角-用户映射关系表到更上一层管理级用户及其角所拥有的操作权限，继续进行对比，直到不符合预设的权限审批规则或不能到相应的上一层管理级用户时，驳回该权限申请。

进一步的，所述权限开放模块包括权限授权模块、权限延期模块以及权限开放记录模块；

所述权限授权模块用于根据收到的权限审批表为相应用户开放对应的权限，同时将权限申请状态由审核通过状态转变为已授权状态，并发送到所述审批流程监控模块；

所述权限开放记录模块用于记录权限开放时间和权限收回时间，在权限收回时间对相应权限进行收回，同时将权限申请状态由已授权状态转变为已回收状态，并发送到所述审批流程监控模块；

所述权限延期模块用于在权限收回时间之前，根据用户实际需求生成权限延期申请表，并将生成的权限延期申请表发送到所述申请表审批模块进行审批。

本发明的第二个方面，是提供一种通过自动审批将数据库元数据开放的方法，其包括以下步骤：

1)搭建通过审批将数据库元数据开放的系统，该系统包括申请人管理模块、角自定义模块、权限申请表创建模块、权限申请模块、申请表审批模块、权限开放模块以及审批流程监控模块；

2)在权限申请表中创建权限申请表模板；

3)当用户需要对元数据进行信息进行访问时，通过权限申请模块在创建的权限申请表模板中生成对应的权限申请表；

4)权限审批模块按照预设的权限申请规则对各用户的权限申请表进行审批，若审批通过，则将权限申请表发送到权限开放模块，否则，将驳回说明发送到权限申请模块；

5)权限开放模块根据收到的权限申请表对相应用户开放相应权限，并在权限到期时回收相应用户的相应权限。

进一步的，所述步骤2)中，当用户需要对元数据进行信息进行访问时，通过权限申请模块在创建的权限申请表模板中生成对应的权限申请表的方法，包括以下步骤：

2.1)根据各用户实际的权限需求在预先创建的权限申请表模板中进行权限申请，生成对应的权限申请表；

2.2)将生成的权限申请表发送到权限审批模块，同时将权限申请状态从草稿转变为待审批状态；

2.3)当撤回权限申请表时，权限审批流程结束，当对权限申请表进行修改时，将修改后的权限申请表发送到权限审批模块进行审批。

本发明由于采取以上技术方案，其具有以下优点：1、本申请设置的通过审批将数据库元数据开放的系统，提供了对元数据申请进行自动审批的功能，在多个参与者之间，利用计算机，按照对元数据申请的预定规则自动传递工作流程并进行审批，大大节省了审批时间，提高了工作效率。2、本发明设置有权限申请表创建模块，可以根据实际需求对权限申请表模板进行创建，方式更加灵活。3、本发明设置的角自定义模块中对数据库元数据进行了细粒度的划分，并在不同权限与角之间、不同角与相应级别用户之间建立映射关系，使得不同用户享有不同的数据访问权限，与预设的权限审批规则相匹配，对用户的权限申请审批更符合实际情况。4、本发明设置有申请表审批模块，能够根据预设的权限审批规则对权限申请表进行自动审批，审批速度快，且权限审批规则能够随时根据需求进行修改，适用范围广。5、本发明设置的审批流程监控模块能够对权限审批流程的整个过程进行监控，并实时将权限审批状态展示到客户端，使得审批流程透明化，更便于客户端对审批流程的进度进行把握。因此，本发明可以广泛应用于数据库技术领域。

图1是本发明通过自动审批将数据库元数据开放的方法流程图。

下面结合附图和实施例对本发明进行详细的描述。

本发明提供一种通过自动审批将数据库元数据开放的系统，该系统包括申请人管理模块、角自定义模块、权限申请表创建模块、权限申请模块、申请表审批模块、权限开放模块以及审批流程监控模块。其中，申请人管理模块用于对所有需要访问数据库的用户进行管理；角自定义模块用于根据预设的权限审批流程对申请人管理模块中的相应用户赋予不同的角，不同的角拥有不同的审批权限；权限申请表创建模块用于创建权限申请表模板，并发送到权限申请模块；权限申请模块用于根据各用户实际的权限需求或申请表审批模块发送的驳回说明在预先创建的权限申请表模板中进行权限申请或修改，生成对应的权限申请表并发送到申请表审批模块；申请表审批模块用于根据预设的权限审批规则对权限申请表进行自动化流程审批，将审批结果发送到权限申请模块和权限开放模块；权限开放模块用于根据收到的权限审批表为相应用户开放对应的权限，并在指定期限内回收相应权限；审批流程监控模块用于对整个权限审批流程进行监控，并将审批流程的实际情况进行更新后展示到客户端界面。

进一步的，角自定义管理模块仅对数据库管理员开放，用于数据库管理员建立并维护角-用户映射关系表以及角-操作权限映射关系表并发送到审批表审批模块，其中，角-用户映射关系表中记录的为不同角与用户之间的映射关系，此处的用户对应的为需要访问数据库系统的所有申请人，根据实际情况为每一用户赋予不同级别的角，每一级别的角拥有的数据库元数据操作权限与实际情况；角-操作权限映射关系表中记录的为每一级别的角拥有的对数据库中元数据进行操作的一种或多种操作权限的集合。

由于本发明数据库元数据主要包括HDFS数据资源、Hive数据资源、HBase数据资源等，因此主要涉及对上述各类数据资源的操作权限的细化，具体的：

在对HDFS数据资源进行权限分配时，首先，将“HDFS磁盘目录”的每一条目录作为最小分配单元，实现对整个HDFS存储资源的划分，进而得到多个最小分配单元；然后，将不同角所对应的访问权限与其能够访问的HDFS磁盘目录进行组合，得到相应角的权限分配资源，该角在该HDFS磁盘目录上享有相应的访问权限；最后，进行用户与角之间的关联，若用户为HDFS磁盘目录路径的角，则该用户能够享有对相应数据的相应操作权限；

在对Hive数据资源和Hbase数据资源进行权限分配时，首先，对Hive和Hbase数据资源所对应的操作权限进行细化，得到每一种数据资源所包括的多种单项操作权限；其次，为不同角赋予不同的操作权限，其中，每一角能够拥有多种单项操作权限中的一种或几种；最后，进行用户与角之间的关联，若用户属于某一类操作权限的角，则该用户能够享有对相应数据的相应操作权限。

其中，由于Hive数据资源包括表、表字段、存在表中行数据，Hive数据资源的所有单项操作权限包括：建立在表、表字段上的单项操作权限，即：select查询权限、update数据修改权限、create创建操作权限、drop删除操作权限、alter修改表或者字段操作权限、index创建索引权限，其中，当为表字段进行select查询操作权限划分时，需要保证对表字段对应的父表也分配select查询权限；建立在表、存在表中行数据上的单项操作权限：lock锁表和数据行操作权限；包括Hive数据资源的操作权限进行细化时。

Hbase数据资源包括表、列族、列，且所述表和列族是一对多的关系，所述列族和列也是一对多的关系，所述表、列族、列是一一对应的父级和子集关系；Hbase数据资源的所有单项操作权限包括：Table读/读权限、Table创建权限、Table管理员权限、列族读/读权限、列族创建权限、列族管理员权限、列读/读权限、列创建权限、列管理员权限，且需保证当对子集进行权限分配时，保证对应的父级也有相应操作权限。

进一步的，权限申请表创建模块创建的权限申请表模板包括资源类型、数据库、数据表、字段、申请内容、申请说明和资源项说明，权限申请表模板可以通过系统底层技术自动获取数据库，数据表，字段的信息进行保存，还可以根据实际需要进行权限申请表相关项的增加、修改和删除功能。

进一步的，权限申请模块中设置有权限申请表生成模块、权限申请表提交模块以及权限申请表修改模块，其中，权限申请表生成模块用于根据各用户实际的权限需求在预先创建的权限申请表模板中进行权限申请，生成对应的权限申请表；权限申请表提交模块用于将生成的权限申请表发送到权限审批模块，同时将权限申请状态从草稿转变为待审批状态，并将权限申请状态发送到审批流程监控模块；权限申请表撤回修改模块用于为客户端提供撤回和修改接口，便于客户端用户随时主动或根据申请表审批模块的驳回说明对生成的权限申请表进行撤回和修改，当撤回权限申请表时，权限审批流程结束，当对权限申请表进行修改时，通过权限申请表提交模块将修改后的权限申请表发送到权限审批模块。

进一步的，申请表审批模块包括审批模块和驳回说明创建模块，其中，审批模块用于根据预设的权限审批规则对权限申请模块发送的权限申请表进行自动化流程审批，若审批通过，则将权限审批表发送到权限开放模块，同时将权限申请状态从待审批状态转变为审核通过状态，并发送到审批流程监控模块；若审批不通过，则将驳回申请表发送到权限申请模块，同时将权限申请状态从待审批状态转变为驳回状态，并发送到审批流程监控模块；驳回说明创建模块用于在权限申请表不符合预设的权限审批规则时，生成驳回说明发送到权限申请模块，供客户端用户根据驳回说明对权限申请表进行修改。

进一步的，审批模块根据预设的权限审批规则对权限申请模块发送的权限申请表进行自动化流程审批时，首先，根据角-用户映射关系表，得到权限申请表所属用户的上一层管理级用户所对应的角；然后，根据角-操作权限映射关系表，得到上一层管理级用户所对应的角所拥有的数据库元数据操作权限；将上一层管理级用户对应的角所拥有的数据库元数据操作权限与权限申请表上的申请权限进行对比，如果权限申请表上申请的所有操作权限均属于上一层管理级用户对应的角所拥有的数据库元数据操作权限，则审批通过，否则继续根据角-用户映射关系表到更上一层管理级用户及其角所拥有的操作权限，继续进行对比，直到不符合预设的权限审批规则或不能到相应的上一层管理级用户时，驳回该权限申请。

进一步的，权限开放模块包括权限授权模块、权限延期模块以及权限开放记录模块，权限授权模块用于根据收到的权限审批表为相应用户开放对应的权限，同时将权限申请状态由审核通过状态转变为已授权状态，并发送到审批流程监控模块；权限开放记录模块用于记录权限开放时间和权限收回时间，在权限收回时间对相应权限进行收回，同时将权限申请状态由已授权状态转变为已回收状态，并发送到审批流程监控模块；权限延期模块用于在权限收回时间之前，根据用户实际需求生成权限延期申请表，并将生成的权限延期申请表发送到申请表审批模块进行审批。其中，权限延期申请表中包括延期说明和延长期限。

如图1所示，基于上述通过自动审批将数据库元数据开放的系统，本发明提供的一种通过自动审批将数据库元数据开放的方法，包括以下步骤：

1)创建权限申请表模板；

本发明中创建的权限申请表模板包括以下内容：

①资源类型:选择要申请权限的资源类型，例：Hive数据资源，HDFS数据资源，HBase数据资源等等，其选择类型为必选，当选择资源类型为HDFS数据资源、HBase数据资源、队列资源类型时，数据库、数据表、字段三个选项会自动转变为禁用状态；

②数据库:当选择了资源类型后会根据选择的资源类型获取对应的类型的数据库信息，然后选择要申请权限的数据库，其选择类型为可选；

③数据表:当选择了数据库后会根据选择的数据库获取对应数据库中表，然后选择要申请权限的对应表，如果没有选择数据库将会获取所有数据库中的表信息，选择类型为可选；

④字段:当选择了数据表后会根据选择的数据表获取对应数据表中的字段，然后选择要申请权限的对应字段，如果没有选择数据表将会获取所有数据表中的字段信息，选择类型为可选；

⑤申请内容:选择要申请什么类型的权限，权限类型因选中的资源类型而改变，Hive数据资源的权限类型包括：可读权限、修改权限、管理员权限等，HDFS数据资源的权限类型包括：只读权限，仅可修改数据权限、仅可执行应用权限、可修改可执行权限等，HBase数据资源的权限类型包括：只读权限、修改权限、管理员权限等，队列资源的权限类型包括：申请队列资源、队列资源使用权限等；

⑥申请说明:描述申请资源的目的；

⑦资源项说明:根据选择的资源类型填写资源项，当选择资类型后会有相对应资源项说明的提示；例如：选择HBase数据资源后会提示:请填写HBase的数据表、列族、列信息,因为选择HBase资源类型后数据库，数据表，字段是禁用状态所以需要把信息写到资源项说明内。

2)当用户需要对元数据进行信息进行访问时，通过权限申请模块在创建的权限申请表模板中生成对应的权限申请表。

具体的，包括以下步骤：

2.1)根据各用户实际的权限需求在预先创建的权限申请表模板中进行权限申请，生成对应的权限申请表；

2.2)将生成的权限申请表发送到权限审批模块，同时将权限申请状态从草稿转变为待审批状态；

2.3)当需要对权限申请表进行修改时，通过权限申请表撤回修改模块对生成的权限申请表进行撤回和修改，当撤回权限申请表时，权限审批流程结束，当对权限申请表进行修改时，通过权限申请表提交模块将修改后的权限申请表发送到权限审批模块进行审批。

3)权限审批模块按照预设的权限申请规则对各用户的权限申请表进行审批，若审批通过，则将权限申请表发送到权限开放模块，否则，将驳回说明发送到权限申请模块。

4)权限开放模块根据收到的权限申请表对相应用户开放相应权限，并在权限到期时回收相应用户的相应权限。

以上给出一种具体的实施方式，但本发明不局限于所描述的实施方式。本发明的基本思路在于上述方案，对本领域普通技术人员而言，根据本发明的教导，设计出各种变形的模型、公式、参数并不需要花费创造性劳动。在不脱离本发明的原理和精神的情况下对实施方式进行的变化、修改、替换和变形仍落入本发明的保护范围内。