本技術涉及計算機領域，尤其涉及一種鑒權方法、裝置、電子設備、存儲介質及程序產品。

背景技術：

1、安全訪問控制是限制用戶對某些資源進行訪問控制的一種技術。在實際業(yè)務場景中，需要根據實際需求管理和限制對敏感信息和系統(tǒng)的訪問權限，從而確保只有授權的用戶或實體能夠訪問特定資源，

2、然而，目前的權限控制體系通常只能實現全局控制或者針對目標對象的控制，存在兩極分化的問題。全局控制導致權限劃分過于粗操，難以滿足精細化的管理需求。針對目標對象的控制會導致權限劃分過于繁瑣，管理成本較高。因此，相關技術難以合理分配權限。

技術實現思路

1、本技術提供一種鑒權方法、裝置、電子設備、存儲介質及程序產品，能夠實現對權限的合理配置。

2、為達到上述目的，本技術采用如下技術方案：

3、第一方面，本技術提供一種鑒權方法，該方法包括：獲取操作指令；操作指令用于指示目標用戶對目標對象的目標操作；響應于操作指令，確定目標對象的權限信息；權限信息包括至少一個維度分別對應的權限標識；至少一個維度包括范圍維度；范圍維度用于表征目標對象對應的范圍；基于目標對象的權限信息進行鑒權，確定鑒權結果，鑒權結果用于指示目標用戶是否具有執(zhí)行目標操作的權限。

4、在本技術實施例中，鑒權裝置可以獲取操作指令，并響應于該操作指令，確定目標對象的權限信息。之后，鑒權裝置可以基于目標對象的權限信息進行鑒權，從而確定目標用戶是否具有執(zhí)行目標操作的權限。其中，該操作指令用于指示目標用戶對目標對象的目標操作，權限信息包括至少一個維度分別對應的權限標識，至少一個維度包括范圍維度，范圍維度用于表征目標對象對應的范圍。相比于相關技術，本技術上述技術方案能夠實現更多維度的權限管理，此外鑒權裝置還可以基于目標用戶所要操作的目標對象范圍進行權限管理，在滿足權限配置需求的情況下進一步降低了權限配置復雜度。因此，本技術提供的技術方案能夠實現對權限的合理配置。

5、在一種可能的實現方式中，范圍維度包括空間范圍、時間范圍以及版本范圍中的至少一項；空間范圍用于表征存儲目標對象的設備所在的區(qū)域；時間范圍用于表征目標對象中歷史數據對應的時間；版本范圍用于表征目標對象中歷史數據對應的版本。

6、在一種可能的實現方式中，至少一個維度還包括對象維度以及參數維度中的至少一項；對象維度用于表征目標對象；參數維度用于表征目標對象的參數；目標對象的參數包括版本參數、時間參數以及字段參數中的至少一項。

7、在一種可能的實現方式中，該方法包括：判斷是否對至少一個維度中的一個或多個維度進行鑒權；在確定對一個或多個維度進行鑒權的情況下，判斷一個或多個維度分別對應的權限標識與目標用戶的權限標識是否匹配；在一個或多個維度分別對應的權限標識與目標用戶的權限標識相匹配的情況下，確定鑒權結果為目標用戶具有執(zhí)行目標操作的權限；在一個或多個維度分別對應的權限標識中存在與目標用戶的權限標識不匹配的權限標識的情況下，確定鑒權結果為目標用戶不具有執(zhí)行目標操作的權限。

8、在一種可能的實現方式中，一個權限標識分別對應一個安全鎖以及一個安全鑰匙；安全鑰匙用于綁定具有權限的用戶；安全鎖用于綁定待鑒權的維度。

9、在一種可能的實現方式中，權限信息還包括至少一個維度分別綁定的安全鎖的類型；該方法包括：判斷是否對至少一個維度中的一個或多個維度進行鑒權；在確定對一個或多個維度進行鑒權的情況下，判斷一個或多個維度分別對應的權限標識與目標用戶的權限標識是否匹配，以及判斷一個或多個維度分別綁定的安全鎖的類型與目標操作的操作類型是否匹配；在一個或多個維度分別對應的權限標識與目標用戶的權限標識相匹配，并且一個或多個維度分別綁定的安全鎖的類型與目標操作的操作類型相匹配的情況下，確定鑒權結果為目標用戶具有執(zhí)行目標操作的權限；在一個或多個維度分別對應的權限標識中存在與目標用戶的權限標識不匹配的權限標識，或者一個或多個維度分別綁定的安全鎖的類型與目標操作的操作類型不匹配的情況下，確定鑒權結果為目標用戶不具有執(zhí)行目標操作的權限。

10、在一種可能的實現方式中，該方法包括：獲取一個或多個維度分別對應的鑒權指示信息；鑒權指示信息為預配置信息，或者為操作指令指示的信息；基于鑒權指示信息判斷是否對一個或多個維度進行鑒權。

11、在一種可能的實現方式中，鑒權指示信息的取值用于指示以下至少一項：對維度進行鑒權；不對維度進行鑒權；在維度為空間范圍的情況下，對維度的上一級空間范圍進行鑒權；在維度為空間范圍的情況下，不對維度的上一級空間范圍進行鑒權。

12、在一種可能的實現方式中，該方法包括：獲取目標用戶的權限標識組；權限標識組包括目標用戶的至少一個權限標識；在一個或多個維度分別對應的權限標識中的每個權限標識都包含在目標用戶的權限標識組中的情況下，確定一個或多個維度的權限標識與目標用戶的權限標識相匹配；在一個或多個維度分別對應的權限標識中存在權限標識不包含在目標用戶的權限標識組中的情況下，確定一個或多個維度分別對應的權限標識中存在與目標用戶的權限標識不匹配的權限標識。

13、第二方面，本技術提供一種鑒權裝置，該裝置包括：處理單元和通信單元；通信單元用于獲取操作指令；操作指令用于指示目標用戶對目標對象的目標操作；處理單元用于響應于操作指令，確定目標對象的權限信息；權限信息包括至少一個維度分別對應的權限標識；至少一個維度包括范圍維度；范圍維度用于表征目標對象對應的范圍；處理單元用于基于目標對象的權限信息進行鑒權，確定鑒權結果，鑒權結果用于指示目標用戶是否具有執(zhí)行目標操作的權限。

14、在一種可能的實現方式中，范圍維度包括空間范圍、時間范圍以及版本范圍中的至少一項；空間范圍用于表征存儲目標對象的設備所在的區(qū)域；時間范圍用于表征目標對象中歷史數據對應的時間；版本范圍用于表征目標對象中歷史數據對應的版本。

15、在一種可能的實現方式中，至少一個維度還包括對象維度以及參數維度中的至少一項；對象維度用于表征目標對象；參數維度用于表征目標對象的參數；目標對象的參數包括版本參數、時間參數以及字段參數中的至少一項。

16、在一種可能的實現方式中，處理單元用于：判斷是否對至少一個維度中的一個或多個維度進行鑒權；在確定對一個或多個維度進行鑒權的情況下，判斷一個或多個維度分別對應的權限標識與目標用戶的權限標識是否匹配；在一個或多個維度分別對應的權限標識與目標用戶的權限標識相匹配的情況下，確定鑒權結果為目標用戶具有執(zhí)行目標操作的權限；在一個或多個維度分別對應的權限標識中存在與目標用戶的權限標識不匹配的權限標識的情況下，確定鑒權結果為目標用戶不具有執(zhí)行目標操作的權限。

17、在一種可能的實現方式中，一個權限標識分別對應一個安全鎖以及一個安全鑰匙；安全鑰匙用于綁定具有權限的用戶；安全鎖用于綁定待鑒權的維度。

18、在一種可能的實現方式中，權限信息還包括至少一個維度分別綁定的安全鎖的類型；處理單元用于：判斷是否對至少一個維度中的一個或多個維度進行鑒權；在確定對一個或多個維度進行鑒權的情況下，判斷一個或多個維度分別對應的權限標識與目標用戶的權限標識是否匹配，以及判斷一個或多個維度分別綁定的安全鎖的類型與目標操作的操作類型是否匹配；在一個或多個維度分別對應的權限標識與目標用戶的權限標識相匹配，并且一個或多個維度分別綁定的安全鎖的類型與目標操作的操作類型相匹配的情況下，確定鑒權結果為目標用戶具有執(zhí)行目標操作的權限；在一個或多個維度分別對應的權限標識中存在與目標用戶的權限標識不匹配的權限標識，或者一個或多個維度分別綁定的安全鎖的類型與目標操作的操作類型不匹配的情況下，確定鑒權結果為目標用戶不具有執(zhí)行目標操作的權限。

19、在一種可能的實現方式中，通信單元用于獲取一個或多個維度分別對應的鑒權指示信息；鑒權指示信息為預配置信息，或者為操作指令指示的信息；處理單元用于基于鑒權指示信息判斷是否對一個或多個維度進行鑒權。

20、在一種可能的實現方式中，鑒權指示信息的取值用于指示以下至少一項：對維度進行鑒權；不對維度進行鑒權；在維度為空間范圍的情況下，對維度的上一級空間范圍進行鑒權；在維度為空間范圍的情況下，不對維度的上一級空間范圍進行鑒權。

21、在一種可能的實現方式中，處理單元用于：獲取目標用戶的權限標識組；權限標識組包括目標用戶的至少一個權限標識；在一個或多個維度分別對應的權限標識中的每個權限標識都包含在目標用戶的權限標識組中的情況下，確定一個或多個維度的權限標識與目標用戶的權限標識相匹配；在一個或多個維度分別對應的權限標識中存在權限標識不包含在目標用戶的權限標識組中的情況下，確定一個或多個維度分別對應的權限標識中存在與目標用戶的權限標識不匹配的權限標識。

22、第三方面，本技術提供了一種電子設備，該裝置包括：處理器和通信接口；通信接口和處理器耦合，處理器用于運行計算機程序或指令，以實現上述任一實施例所述的方法。

23、第四方面，本技術提供了一種計算機可讀存儲介質，計算機可讀存儲介質中存儲有指令，當指令在終端上運行時，使得終端執(zhí)行上述任一實施例所述的方法。

24、第五方面，本技術提供一種計算機程序產品，計算機程序產品包括計算機程序指令，計算機程序指令被處理器執(zhí)行時實現上述任一實施例所述的方法。

25、第六方面，本技術提供一種芯片，芯片包括處理器和通信接口，通信接口和處理器耦合，處理器用于運行計算機程序或指令，以實現上述任一實施例所述的方法。

26、具體的，本技術中提供的芯片還包括存儲器，用于存儲計算機程序或指令。

27、需要說明的是，上述計算機指令可以全部或者部分存儲在計算機可讀存儲介質上。其中，計算機可讀存儲介質可以與裝置的處理器封裝在一起的，也可以與裝置的處理器單獨封裝，本技術對此不作限定。

28、本技術中第二方面至第六方面的描述，可以參考第一方面的詳細描述；并且，第二方面至第六方面的描述的有益效果，可以參考第一方面的有益效果分析，此處不再贅述。

29、在本技術中，上述鑒權裝置的名字對設備或功能模塊本身不構成限定，在實際實現中，這些設備或功能模塊可以以其他名稱出現。只要各個設備或功能模塊的功能和本技術類似，屬于本技術權利要求及其等同技術的范圍之內。

30、本技術的這些方面或其他方面在以下的描述中會更加簡明易懂。