(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211200651.6 (22)申请日 2022.09.29 (71)申请人 南方电网科 学研究院有限责任公司 地址 510663 广东省广州市萝岗区科 学城 科翔路11号J1栋3、 4、 5楼及J3 栋3楼 (72)发明人 袁小凯　杨航　匡晓云　蒋屹新　 刘增才　庄磊　郭瑞鹏　曾繁超　 (74)专利代理 机构 北京集佳知识产权代理有限 公司 11227 专利代理师 李伟贤 (51)Int.Cl. G06F 21/62(2013.01) G06F 21/31(2013.01) (54)发明名称 一种数据库访问控制方法、 装置、 设备及存 储介质 (57)摘要 本申请公开了一种数据库访问控制方法、 装 置、 设备及存储介质， 方法包括： 响应客户端访问 数据库的请求指令， 确定客户端所属的用户角 色， 确定用户角色对应的数据库用户身份与访问 权限， 向数据库用户身份分配访问权 限， 通过数 据库用户身份 建立与数据库的长连接， 选择用户 角色的数据库连接池， 以供客户端在访问权限 下， 以匹配的最小授权数据库用户身份访问数据 库。 可见， 通过明确请求访问数据库的客户端所 属的用户角色， 并将该用户角色映射到数据库用 户， 打破了后端服务使用具有混合特权权限的单 数据库用户与数据库建立连接， 能够细颗粒度分 配相应的访问权限给数据库用户， 避免低等级用 户越权访问数据库， 减少SQL注入漏洞带来的安 全风险。 权利要求书2页 说明书8页 附图3页 CN 115510487 A 2022.12.23 CN 115510487 A 1.一种数据库访问控制方法， 其特 征在于， 应用于后端服 务， 包括： 响应客户端访问数据库的请求指令， 确定所述 客户端所属的用户角色； 确定所述用户角色对应的数据库用户身份与访问权限； 向所述数据库用户身份分配所述访问权限； 通过所述数据库用户 身份建立与数据库的长连接， 选择所述用户角色的数据库连接 池， 并将所述数据库连接池返回所述客户端， 以供所述客户端在所述访问权限下， 以所述数 据库用户身份访问所述数据库连接池， 所述数据库连接池包含所述数据库中属于所述用户 角色的数据信息 。 2.根据权利要求1所述的方法， 其特征在于， 确定所述用户角色对应的数据库用户身份 与访问权限， 包括： 在预设的用户角色数据库权限配置表中， 查询与所述用户角色对应的数据库用户身 份； 确定所述数据库用户身份的访问权限。 3.根据权利要求1所述的方法， 其特征在于， 所述响应客户端访 问数据库的请求指令， 确定所述 客户端所属的用户角色， 包括： 响应客户端访问数据库的请求指令， 提取 所述请求指令中的用户信息； 检查所述用户信息中的用户身份信息， 确定所述 客户端所属的用户角色。 4.根据权利要求1所述的方法， 其特征在于， 每个用户角色的数据库连接池的建立过 程， 包括： 从预设的用户角色表中确定所有用户角色； 确定每个用户角色对应的数据库用户身份与访问权限； 将所述数据库中的每个数据库用户身份具备与之对应的访问权限的数据信 息， 作为该 数据库用户身份的数据信息； 根据每个数据库用户身份的数据信 息， 建立与 该数据库用户身份对应的用户角色的数 据库连接池。 5.一种数据库访问控制装置， 其特 征在于， 应用于后端服 务， 包括： 用户角色确定单元， 用于响应客户端访 问数据库的请求指令， 确定所述客户端所属的 用户角色； 数据库身份确定单 元， 用于确定所述用户角色对应的数据库用户身份与访问权限； 权限分配单 元， 用于向所述数据库用户身份分配所述访问权限； 数据库连接池确定单元， 用于通过所述数据库用户身份建立与数据库的长连接， 选择 所述用户角色的数据库连接池， 并将所述数据库连接池返回所述客户端， 以供所述客户端 在所述访问权限下， 以所述数据库用户身份访问所述数据库连接池， 所述数据库连接池包 含所述数据库中属于所述用户角色的数据信息 。 6.根据权利要求5所述的装置， 其特 征在于， 所述数据库身份确定单 元， 包括： 身份查询单元， 用于在预设的用户角色数据库权限配置表中， 查询与所述用户角色对 应的数据库用户身份； 访问权限确定单 元， 用于确定所述数据库用户身份的访问权限。 7.根据权利要求5所述的方法， 其特 征在于， 所述用户角色确定单 元， 包括：权　利　要　求　书 1/2 页 2 CN 115510487 A 2用户信息提取单元， 用于响应客户端访 问数据库的请求指令， 提取所述请求指令中的 用户信息； 用户身份检查单元， 用于检查所述用户信息中的用户身份信息， 确定所述客户端所属 的用户角色。 8.根据权利要求5所述的装置， 其特 征在于， 还 包括： 第一连接池建立单 元， 用于从预设的用户角色表中确定所有用户角色； 第二连接池建立单 元， 用于确定每 个用户角色对应的数据库用户身份与访问权限； 第三连接池建立单元， 用于将所述数据库中的每个数据库用户身份具备与之对应的访 问权限的数据信息， 作为该 数据库用户身份的数据信息； 第四连接池建立单元， 用于根据每个数据库用户身份的数据信息， 建立与该数据库用 户身份对应的用户角色的数据库连接池。 9.一种数据库访问控制设备， 其特 征在于， 包括存 储器和处 理器； 所述存储器， 用于存 储程序； 所述处理器， 用于执行所述程序， 实现如权利要求1 ‑4任一项的数据库访问控制方法的 各个步骤。 10.一种存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机程序被处理器执 行时， 实现如权利要求1 ‑4任一项的数据库访问控制方法的各个步骤。权　利　要　求　书 2/2 页 3 CN 115510487 A 3