数据权限控制方法、装置、电子设备和存储介质

技术领域

本申请涉及大数据技术领域，尤其涉及一种数据权限控制方法、装置、电子设备和存储介质。

背景技术

目前，数据平台通常仅包括租户，相关技术中，通常将多个数据任务糅合在一个租户下，然而，这种将多个数据任务糅合在一个租户下的方式，由于租户中的租户数据对所有数据任务都是开放的，因此，各个数据任务都是可以执行的，即，各个数据任务都可以对租户数据进行操作，从而导致数据资源的安全性难以保证。

发明内容

本申请提出了一种基于工作空间的数据权限控制方法、装置及电子设备。

本申请第一方面实施例提出了一种基于工作空间的数据权限控制方法，数据平台包括的租户对应至少一个工作空间，各所述工作空间被配置了针对所述租户的租户数据中至少部分数据的操作权限；各所述工作空间之间数据隔离；所述方法包括：在所述工作空间下创建数据任务；所述数据任务包括针对目标数据的目标操作；响应于执行所述数据任务，利用对所述工作空间配置的操作权限，对所述目标操作进行鉴权；在所述鉴权通过的情形下，执行所述数据任务。

在本申请的一个实施例中，所述方法还包括：在所述鉴权未通过的情形下，终止所述数据任务。

在本申请的一个实施例中，所述响应于执行所述数据任务，利用对所述工作空间配置的操作权限，对所述目标操作进行鉴权，包括：响应于执行所述数据任务，确定对所述目标数据执行所述目标操作所需要的操作权限；在为所述工作空间配置的操作权限中存在执行所述目标操作所需要的操作权限的情形下，确定所述目标操作鉴权通过；在为所述工作空间配置的操作权限中不存在执行所述目标操作所需要的操作权限的情形下，确定所述目标操作鉴权未通过。

在本申请的一个实施例中，所述工作空间对应至少一个用户标识，各个所述用户标识被配置了在所述工作空间下对所述目标数据所具有的操作权限，其中，所述执行所述数据任务包括：在目标用户标识在所述工作空间下针对所述目标数据所具有的操作权限中包括执行所述目标操作所需要的操作权限的情形下，执行所述数据任务，其中，所述目标用户标识为请求执行所述数据任务的用户的标识，所述目标用户标识为所述至少一个用户标识中的一个。

在本申请的一个实施例中，所述方法还包括：在所述目标用户标识在所述工作空间下针对所述目标数据所具有的操作权限中不包括执行所述目标操作所需要的操作权限的情形下，终止所述数据任务。

在本申请的一个实施例中，为所述用户标识配置在所述工作空间下对所述目标数据所具有的操作权限的方式为：接收权限配置请求，其中，所述权限配置请求用于请求为所述用户标识配置在所述工作空间下对所述目标数据所具有的操作权限；响应于所述权限配置请求，展示权限配置界面，其中，所述权限配置界面中包括：所述工作空间针对所述目标数据所具有的多个候选操作权限；将从所述多个候选操作权限中所选中的操作权限作为所述用户标识在所述工作空间下对所述目标数据所具有的操作权限。

在本申请的一个实施例中，在所述工作空间下创建数据任务之前，所述方法包括：获取所述工作空间针对所述目标数据所具有的操作权限；确定对所述目标数据执行所述目标操作所具有的操作权限；所述在所述工作空间下创建数据任务，包括：在所述工作空间针对所述目标数据所具有的操作权限中存在执行所述目标操作所需要的操作权限的情形下，在所述工作空间下创建所述数据任务。

在本申请的一个实施例中，在所述数据任务为多个，多个所述数据任务均是对所述目标数据进行操作，不同的数据任务对应不同的工作空间，在多个所述数据任务组成一个协同数据任务的情形下，所述方法还包括：对所述多个数据任务的执行顺序进行配置；

其中，所述执行所述数据任务，包括：根据配置的所述执行顺序，获取所述数据任务的前一个数据任务；在确定所述前一个数据任务对所述目标数据完成操作后，执行所述数据任务。

在本申请的一个实施例中，所述目标数据所在的数据库还执行以下操作：在所述数据任务对所述目标数据执行目标操作的过程中，对所述目标数据进行加锁；在所述数据任务对所述目标数据完成操作后，对所述目标数据进行解锁，以使得位于所述数据任务之后的下一个数据任务对所述目标数据进行操作。

本申请实施例的基于工作空间的数据权限控制方法，在数据平台包括的租户所对应的工作空间下创建数据任务，并在需要执行数据任务时，利用为该工作空间所配置的操作权限，对该数据任务中针对目标数据的目标操作进行鉴权，并在鉴权通过的情形下，执行该数据任务，从而基于为工作空间所配置的操作权限，实现了对请求操作目标数据的数据任务进行管控，使得满足条件的数据任务才能执行，保证了数据资源的安全性。

本申请第二方面实施例提出了一种基于工作空间的数据权限控制装置，数据平台包括的租户对应至少一个工作空间，各所述工作空间被配置了针对所述租户的租户数据中至少部分数据的操作权限；各所述工作空间之间数据隔离；所述装置包括：任务创建模块，用于在所述工作空间下创建数据任务；所述数据任务包括针对目标数据的目标操作；鉴权模块，用于响应于执行所述数据任务，利用对所述工作空间配置的操作权限，对所述目标操作进行鉴权；任务执行模块，用于在所述鉴权通过的情形下，执行所述数据任务。

本申请实施例的基于工作空间的数据权限控制装置，在数据平台包括的租户所对应的工作空间下创建数据任务，并在需要执行数据任务时，利用为该工作空间所配置的操作权限，对该数据任务中针对目标数据的目标操作进行鉴权，并在鉴权通过的情形下，执行该数据任务，从而基于为工作空间所配置的操作权限，实现了对请求操作目标数据的数据任务进行管控，使得满足条件的数据任务才能执行，保证了数据资源的安全性。

本申请第三方面实施例提出了一种电子设备，包括：存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如第一方面所述的基于工作空间的数据权限控制方法。

本申请第四方面实施例提出了一种非临时性计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如第一方面所述的基于工作空间的数据权限控制方法。

本申请附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本申请的实践了解到。

附图说明

本申请上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中：

图1为本申请实施例提供的一种基于工作空间的数据权限控制方法的流程示意图；

图2为本申请实施例提供的另一种基于工作空间的数据权限控制方法的流程示意图；

图3为本申请实施例提供的另一种基于工作空间的数据权限控制方法的流程示意图；

图4为权限配置界面的示例图一；

图5为权限配置界面的示例图二；

图6为本申请实施例提供的另一种基于工作空间的数据权限控制方法的流程示意图；

图7为根据本申请一个实施例的基于工作空间的数据权限控制装置的结构示意图；

图8为根据本申请一个实施例的电子设备的结构示意图。

具体实施方式

下面详细描述本申请的实施例，实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本申请，而不能理解为对本申请的限制。

图1为本申请实施例提供的一种基于工作空间的数据权限控制方法的流程示意图。

其中，需要说明的是，本申请实施例的基于工作空间的数据权限控制方法的执行主体为基于工作空间的数据权限控制装置。该基于工作空间的数据权限控制装置可以为电子设备，或者可以配置在电子设备中，以实现数据权限控制。其中，本实施例中以基于工作空间的数据权限控制装置为电子设备为例进行示例性描述。其中，需要说明的是，本实施例中的电子设备上还部署有数据平台，数据平台包括的租户对应至少一个工作空间，各工作空间被配置了针对该租户的租户数据中至少部分数据的操作权限；各工作空间之间数据隔离。其中，需要说明的是，数据平台包括的租户对应至少一个工作空间，可以理解为，数据平台包括的租户下可以包括至少一个工作空间。

如图1所示，该基于工作空间的数据权限控制方法包括以下步骤：

步骤101，在工作空间下创建数据任务，其中，数据任务包括针对目标数据的目标操作。

其中，需要说明的是，数据任务是用于对目标数据执行目标操作的任务。

其中，目标操作可以包括但不限于查询、读取、修改、新增、删除等。

其中，目标数据可以为该租户的租户数据中的至少部分数据。

步骤102，响应于执行数据任务，利用对工作空间配置的操作权限，对目标操作进行鉴权。

步骤103，在鉴权通过的情形下，执行数据任务。

本申请实施提供的基于工作空间的数据权限控制方法，在数据平台包括的租户所对应的工作空间下创建数据任务，并在需要执行数据任务时，利用为该工作空间所配置的操作权限，对该数据任务中针对目标数据的目标操作进行鉴权，并在鉴权通过的情形下，执行该数据任务，从而基于为工作空间所配置的操作权限，实现了对请求操作目标数据的数据任务进行管控，使得满足条件的数据任务才能执行，保证了数据资源的安全性。

基于上述实施例的基础上，在鉴权未通过的情形下，终止数据任务。也就是说，在鉴权未通过的情形下，不再执行该数据任务。由此，可以避免没有对应权限的数据任务不被执行，对应地，目标数据不会被执行目标操作，提高了目标数据的安全性。

基于上述实施例的基础上，为了可以清楚理解本申请，下面结合图2对该实施例的基于工作空间的数据权限控制方法进行进一步示例性描述。

图2为本申请实施例提供的另一种基于工作空间的数据权限控制方法的流程示意图。

如图2所示，该基于工作空间的数据权限控制方法可以包括：

步骤201，在工作空间下创建数据任务，其中，数据任务包括针对目标数据的目标操作。

步骤202，响应于执行数据任务，确定对目标数据执行目标操作所需要的操作权限。

其中，可以理解的是，在不同应用场景下，确定对目标数据执行目标操作所需要的操作权限的实现方式，示例性举例如下：

作为一种示例，可根据预设的操作和操作权限两者之间的对应关系，确定出执行目标操作所需要的操作权限。

例如，在目标操作为读取操作的情形下，对应的，基于预设的操作和操作权限两者之间的对应关系，可获取读取操作所对应的操作权限为读取权限。

又例如，在目标操作为写操作的情形下，基于预设的操作和操作权限两者之间的对应关系，可获取写操作所对应的操作权限为写权限。

作为另一种示例，在数据任务中包括与该目标操作对应的权限码的情形下，可获取与权限码对应的操作权限，并将所获取到的操作权限即为执行该目标操作所需要的操作权限。

其中，不同权限码所对应的操作权限是不同的。

步骤203，在为工作空间配置的操作权限中存在执行目标操作所需要的操作权限的情形下，确定目标操作鉴权通过。

在本实施例中，获取该工作空间被配置的针对目标数据的操作权限，并判断该工作空间针对该目标数据所具有的操作权限中是否存在执行该目标操作所需要的操作权限，如果判断获知工作空间针对该目标数据所具有的操作权限中存在执行该目标操作所需要的操作权限，则确定该目标操作鉴权通过。

步骤204，在目标操作鉴权通过的情形下，执行该数据任务。

其中，可以理解的是，执行该数据任务，表示可对该目标数据执行目标操作。

步骤205，在为工作空间配置的操作权限中不存在执行目标操作所需要的操作权限的情形下，确定目标操作鉴权未通过。

步骤206，在该目标操作鉴权未通过的情形下，终止该数据任务。

其中，可以理解的是，由于该数据任务被终止，因此，该数据任务无法对目标数据执行目标操作。

本申请实施例提供的基于工作空间的数据权限控制方法，在对应工作空间下创建数据任务，在接收到执行该数据任务的请求后，确定对目标数据执行目标操作所需要的操作权限，并判断为对应工作空间配置的操作权限中是否存在执行该目标操作所需要的操作权限，并通过判断结果来确定该目标操作是否鉴权通过，并在鉴权通过的情形下，执行该数据任务，并在鉴权未通过的情形下，终止该数据任务。由此，基于为对应工作空间所配置的操作权限，准确实现了对目标操作进行鉴权，并基于鉴权结果，来确定是否执行该数据任务，从而实现了对操作目标数据的数据任务地准确管控，避免了无权对目标数据执行目标操作的数据任务被执行，有利于保证数据资源的安全性。

图3为本申请实施例提供的另一种基于工作空间的数据权限控制方法的流程示意图。其中，数据平台包括的租户对应至少一个工作空间，各工作空间被配置了针对租户的租户数据中至少部分数据的操作权限；各工作空间之间数据隔离；另外，工作空间还可以对应至少一个用户标识，各个用户标识被配置了在工作空间下对目标数据所具有的操作权限。其中，用户标识所对应的用户可在对应工作空间下创建数据任务和请求执行数据任务。

如图3所示，该基于工作空间的数据权限控制方法可以包括：

步骤301，在工作空间下创建数据任务，其中，数据任务包括针对目标数据的目标操作。

步骤302，响应于执行数据任务，利用对工作空间配置的操作权限，对目标操作进行鉴权。

其中，需要说明的是，关于步骤301和步骤302的详细描述，可参见本申请实施例中的相关描述，此处不再赘述。

步骤303，在该目标操作鉴权通过的情形下，判断该目标用户标识在工作空间下针对该目标数据所具有的操作权限是否包括执行目标操作所需要的操作权限，若是，则执行步骤304，否则执行步骤305。

其中，该目标用户标识为请求执行数据任务的用户的标识，目标用户标识为上述至少一个用户标识中的一个。

在本实施例中，在目标操作鉴权通过的情形下，可从该工作空间所对应的至少一个用户标识中获取请求执行该数据任务的用户的目标用户标识，并获取该目标用户标识在工作空间下针对该目标数据所具有的操作权限，以及判断目标用户标识在该工作空间下针对该目标数据所具有的操作权限是否包括执行该目标操作所需要的操作权限。也就是说，判断目标用户标识在该工作空间下针对该目标数据所配置的操作权限中是否存在执行该目标操作所需要的操作权限。

步骤304，执行该数据任务。

步骤305，停止该数据任务。

其中，可以理解的是，在确定目标操作鉴权未通过的情形下，停止该数据任务。

在本实施例中，在接收到执行该数据任务的请求后，利用为该数据任务所在工作空间所配置的操作权限，对目标操作进行鉴权，并在该目标操作鉴权通过的情形下，获取请求执行该数据任务的用户的目标用户标识，并判断该目标用户标识在工作空间下针对该目标数据所具有的操作权限是否包括执行目标操作所需要的操作权限，并在目标用户标识在工作空间下针对该目标数据所具有的操作权限中包括执行该目标操作所需要的操作权限的情形下，执行该数据任务，并在目标用户标识在工作空间下针对该目标数据所具有的操作权限中不包括执行该目标操作所需要的操作权限的情形下，停止该数据任务。由此，不仅结合对工作空间配置的操作权限对请求操作目标数据的数据任务进行管控，还基于请求执行该数据任务的用户在该工作空间下的操作权限，对请求操作目标数据的数据任务进行更细粒度地管控，使得具有相应权限的用户请求执行数据任务时，对应的数据任务才能被执行，从而可进一步提高了数据资源的安全性。

基于上述实施例的基础上，为了可视化进行操作权限配置，上述为用户标识配置在工作空间下对目标数据所具有的操作权限的一种可能实现方式为：接收权限配置请求，其中，权限配置请求用于请求为用户标识配置在工作空间下对目标数据所具有的操作权限；响应于权限配置请求，展示权限配置界面，其中，权限配置界面中包括：工作空间针对目标数据所具有的多个候选操作权限；将从多个候选操作权限中所选中的操作权限作为用户标识在工作空间下对目标数据所具有的操作权限。由此，使得对应人员可通过权限配置界面，实现对该目标用户在工作空间下针对该目标数据的操作权限进行可视化配置，提高了对应人员的配置体验。

例如，对于租户中的目标数据而言，对于租户所对应的工作空间B而言，假设工作空间B被配置针对目标数据所具有的操作权限为：Read权限、Upsert权限、Drop权限、Alter权限、Meta权限的情形下，在接收到权限配置请求，其中，权限配置请求用于请求为用户标识B配置在工作空间B下对目标数据所具有的操作权限，响应于该权限配置请求，所展示的权限配置界面的示例图，如图4所示，通过图4可以看出，该操作权限配置界面中的权限项中展示了工作空间B对目标数据所具有的操作权限，并通过图4可以看出，权限项中的“Read”被选中，对应的，用户列表中的用户标识B被选中了，此时，可确定用户标识B针对目标数据所具有的操作权限为Read权限。

基于上述任意一个实施例的基础上，为了可对对应工作空间针对该租户的目标数据的操作权限进行可视化配置，可展示用于对工作空间配置租户中的目标数据的操作权限的权限配置界面，并根据在权限配置界面中的配置操作，为对应工作空间配置该目标数据的操作权限。

例如，用于对工作空间配置租户中的目标数据的操作权限的权限配置界面的示例图，如图5所示，通过图5可以看出，权限配置界面在权限配置的权限项中示例出了六个选项，分别为ALL、Read、Upsert、Alter、Drop和Meta，其中，Read表示读取Read权限；Upsert表示更新权限；Alter表示修改权限；Drop表示删除权限；Meta表示对目标数据中的元数据修改权限，其中，在权限配置界面中的ALL被选中，并且权限配置界面中的工作空间列表中的对应工作空间1被选中的情形下，表示被选中的工作空间1针对该目标数据的操作权限包括了Read、Upsert、Alter、Drop和Meta。

图6为本申请实施例提供的另一种基于工作空间的数据权限控制方法的流程示意图。其中，需要说明的是，本申请实施例的基于工作空间的数据权限控制方法的执行主体为基于工作空间的数据权限控制装置。该基于工作空间的数据权限控制装置可以为电子设备，或者可以配置在电子设备中，以实现数据权限控制。其中，本实施例中以基于工作空间的数据权限控制装置为电子设备为例进行示例性描述。

其中，需要说明的是，本实施例中的电子设备上还部署有数据平台，数据平台包括的租户对应至少一个工作空间，各工作空间被配置了针对该租户的租户数据中至少部分数据的操作权限；各工作空间之间数据隔离。

其中，需要说明的是，数据平台包括的租户对应至少一个工作空间，可以理解为，可在数据平台包括的租户下可以包括至少一个工作空间。

其中，需要说明的是，本实施例是对前述任意一个实施例的进一步细化。

如图6所示，该方法可以包括：

步骤601，接收数据任务创建请求，其中，该数据任务创建请求用于请求在该工作空间下创建数据任务，其中，数据任务包括针对目标数据的目标操作。

步骤602，响应于数据任务创建请求，获取工作空间针对目标数据所具有的操作权限。

步骤603，确定对目标数据执行目标操作所具有的操作权限。

其中，关于确定对目标数据执行目标操作所具有的操作权限的具体实现方式，可参见本申请实施例中的相关描述，此处不再赘述。

步骤604，在工作空间针对目标数据所具有的操作权限中存在执行目标操作所需要的操作权限的情形下，在工作空间下创建数据任务。

其中，可以理解的是，在工作空间针对目标数据所具有的操作权限中不存在执行目标操作所需要的操作权限的情形下，则拒绝在该工作空间下创建数据任务。

在本申请的一个实施例中，在拒绝该工作空间下创建数据任务的同时，还可以输出对应的提示信息，其中，该提示信息用于提示该工作空间不存在对该目标数据执行目标操作的权限，拒绝创建数据任务。

步骤605，响应于执行数据任务，利用对工作空间配置的操作权限，对目标操作进行鉴权。

步骤606，在鉴权通过的情形下，执行数据任务。

在本实施例中，在对应工作空间下请求创建数据任务的情况下，结合该工作空间针对该目标数据的操作权限，确定该工作空间是否具有执行目标操作的操作权限，并在该工作空间具有执行目标操作的操作权限的情形下，在该工作空间下创建数据任务，从而结合该工作空间针对该目标数据的操作权限，实现了在该工作空间下创建数据任务地有效管控，使得所创建的数据任务与为该工作空间针对目标数据所配置的操作权限匹配，避免出现过多的不能执行的数据任务，对应人员还需要对数据任务再次配置的情况的发生，从而可提高数据任务的执行成功的效率。

基于上述任意一个实施例的基础上，在数据任务为多个，不同的数据任务对应不同的工作空间，在多个数据任务组成一个协同数据任务的情形下，为了可以准确获得协同数据任务的执行结果，可对组成该协同数据任务的多个数据任务的执行顺序进行配置，并且，对于每个数据任务，在执行该数据任务时，可根据配置的执行顺序，获取该数据任务的前一个数据任务，并在确定前一个数据任务对目标数据完成操作后，执行该数据任务。由此，按照执行顺序依次执行多个数据任务，以完成这个协同数据任务，保证了数据的准确性和完整性。

其中，可以理解的是，在确定前一个数据任务对目标数据未完成操作的情况下，可暂不执行该数据任务，直至该前一个数据任务对目标数据完整操作后，再执行该数据任务。

其中，需要说明的是，组成上述协同数据任务的多个数据任务对目标数据所执行的目标操作可以是不相同的。

其中，可以理解的是，这些数据任务需要按照一定的顺序，才能完成整个协同数据任务。

例如，在数据治理技术领域中，在一个数据治理项目需要对目标数据进行数据治理，并且数据治理的顺序为数据清理、去重、转换和整合，对应地，可创建四个数据任务，分别为数据任务1、数据任务2、数据任务3和数据任务4，数据任务1对目标数据进行数据清理；数据任务2对目标数据进行去重；数据任务3对目标数据进行转换；数据任务4对目标数据进行整合，这四个数据任务组成了一个与该数据治理项目对应的协同数据任务，为了可以完成对目标数据地数据治理，可设置这四个数据任务的执行顺序为：先执行数据任务1，然后执行数据任务2，再执行数据任务3，最后执行数据任务4。

基于上述实施例的基础上，为了保证对应数据任务可以获取正确的数据，上述目标数据所在的数据库还可以执行以下操作：在一个数据任务对目标数据执行目标操作的过程中，对目标数据进行加锁；在该数据任务对目标数据完成操作后，对目标数据进行解锁，以使得位于该数据任务之后的下一个数据任务对目标数据进行操作。由此，可以使得同一时间只允许一个数据任务对目标数据进行操作，从而避免数据的不一致性和混乱。

图7为根据本申请一个实施例的基于工作空间的数据权限控制装置的结构示意图。其中，需要说明的是，本示例中的基于工作空间的数据权限控制装置应用在电子设备中，电子设备部署有数据平台，数据平台包括的租户对应至少一个工作空间，各工作空间被配置了针对租户的租户数据中至少部分数据的操作权限；各工作空间之间数据隔离。

如图7所示，该基于工作空间的数据权限控制装置700可以包括：任务创建模块701、鉴权模块702和任务执行模块703，其中：

任务创建模块701，用于在工作空间下创建数据任务；数据任务包括针对目标数据的目标操作。

鉴权模块702，用于响应于执行数据任务，利用对工作空间配置的操作权限，对目标操作进行鉴权。

任务执行模块703，用于在鉴权通过的情形下，执行数据任务。

在本申请的一个实施例中，装置还可以包括：

任务终止模块，用于在鉴权未通过的情形下，终止数据任务。

在本申请的一个实施例中，鉴权模块702，具体用于：响应于执行数据任务，确定对目标数据执行目标操作所需要的操作权限；在为工作空间配置的操作权限中存在执行目标操作所需要的操作权限的情况下，确定目标操作鉴权通过；在为工作空间配置的操作权限中不存在执行目标操作所需要的操作权限的情况下，确定目标操作鉴权未通过。

在本申请的一个实施例中，工作空间对应至少一个用户标识，各个用户标识被配置了在工作空间下对目标数据所具有的操作权限，

其中，任务执行模块703，具体用于：在目标用户标识在工作空间下针对目标数据所具有的操作权限中包括执行目标操作所需要的操作权限的情况下，执行数据任务，其中，目标用户标识为请求执行数据任务的用户的标识，目标用户标识为至少一个用户标识中的一个。

在本申请的一个实施例中，任务终止模块，还用于：

在目标用户标识在工作空间下针对目标数据所具有的操作权限中不包括执行目标操作所需要的操作权限的情况下，终止数据任务。

在本申请的一个实施例中，为用户标识配置在工作空间下对目标数据所具有的操作权限的方式为：接收权限配置请求，其中，权限配置请求用于请求为用户标识配置在工作空间下对目标数据所具有的操作权限；响应于权限配置请求，展示权限配置界面，其中，权限配置界面中包括：工作空间针对目标数据所具有的多个候选操作权限；将从多个候选操作权限中所选中的操作权限作为用户标识在工作空间下对目标数据所具有的操作权限。

在本申请的一个实施例中，装置包括：

获取模块，用于获取工作空间针对目标数据所具有的操作权限；

确定模块，用于确定对目标数据执行目标操作所具有的操作权限；

任务创建模块701，具体用于：在工作空间针对目标数据所具有的操作权限中存在执行目标操作所需要的操作权限的情况下，在工作空间下创建数据任务。

在本申请的一个实施例中，在数据任务为多个，多个数据任务均是对目标数据进行操作，不同的数据任务对应不同的工作空间，在多个数据任务组成一个协同数据任务的情形下，该装置还可以包括：

配置模块，用于对多个数据任务的执行顺序进行配置；

其中，任务执行模块703，具体用于：

根据配置的执行顺序，获取数据任务的前一个数据任务；

在确定前一个数据任务对目标数据完成操作后，执行数据任务。

在本申请的一个实施例中，目标数据所在的数据库还执行以下操作：在数据任务对目标数据执行目标操作的过程中，对目标数据进行加锁；在数据任务对目标数据完成操作后，对目标数据进行解锁，以使得位于数据任务之后的下一个数据任务对目标数据进行操作。

其中，需要说明的是，前述对基于工作空间的数据权限控制装置实施例的解释说明也适用于该实施例的基于工作空间的数据权限控制装置，此处不再赘述。

本申请实施例提供的基于工作空间的数据权限控制装置，在数据平台包括的租户所对应的工作空间下创建数据任务，并在需要执行数据任务时，利用为该工作空间所配置的操作权限，对该数据任务中针对目标数据的目标操作进行鉴权，并在鉴权通过的情形下，执行该数据任务，从而基于为工作空间所配置的操作权限，实现了对请求操作目标数据的数据任务进行管控，使得满足条件的数据任务才能执行，保证了数据资源的安全性。

为了实现上述实施例，本申请还提出一种电子设备，图8为本申请实施例提供的一种电子设备的结构示意图。该电子设备包括：

存储器801、处理器802及存储在存储器801上并可在处理器802上运行的计算机程序。

处理器802执行程序时实现上述实施例中提供的基于工作空间的数据权限控制方法。

进一步地，电子设备还包括：

通信接口803，用于存储器801和处理器802之间的通信。

存储器801，用于存放可在处理器802上运行的计算机程序。

存储器801可能包含高速RAM存储器，也可能还包括非易失性存储器(non-volatile memory)，例如至少一个磁盘存储器。

处理器802，用于执行程序时实现上述实施例的基于工作空间的数据权限控制方法。

如果存储器801、处理器802和通信接口803独立实现，则通信接口803、存储器801和处理器802可以通过总线相互连接并完成相互间的通信。总线可以是工业标准体系结构(Industry Standard Architecture，简称为ISA)总线、外部设备互连(PeripheralComponent，简称为PCI)总线或扩展工业标准体系结构(Extended Industry StandardArchitecture，简称为EISA)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示，图8中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

可选的，在具体实现上，如果存储器801、处理器802及通信接口803，集成在一块芯片上实现，则存储器801、处理器802及通信接口803可以通过内部接口完成相互间的通信。

处理器802可能是一个中央处理器(Central Processing Unit，简称为CPU)，或者是特定集成电路(Application Specific Integrated Circuit，简称为ASIC)，或者是被配置成实施本申请实施例的一个或多个集成电路。

为了实现上述实施例，本申请实施例还提出一种非临时性计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述实施例中提供的基于工作空间的数据权限控制方法。

为了实现上述实施例，本申请实施例还提出一种计算机程序产品，当计算机程序产品中的指令处理器执行时，实现上述实施例中提供的基于工作空间的数据权限控制方法。

在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本申请的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。

此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本申请的描述中，“多个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。

流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为，表示包括一个或更多个用于实现定制逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分，并且本申请的优选实施方式的范围包括另外的实现，其中可以不按所示出或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本申请的实施例所属技术领域的技术人员所理解。

在流程图中表示或在此以其他方式描述的逻辑和/或步骤，例如，可以被认为是用于实现逻辑功能的可执行指令的定序列表，可以具体实现在任何计算机可读介质中，以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用，或结合这些指令执行系统、装置或设备而使用。就本说明书而言，"计算机可读介质"可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下：具有一个或多个布线的电连接部(电子装置)，便携式计算机盘盒(磁装置)，随机存取存储器(RAM)，只读存储器(ROM)，可擦除可编辑只读存储器(EPROM或闪速存储器)，光纤装置，以及便携式光盘只读存储器(CDROM)。另外，计算机可读介质甚至可以是可在其上打印程序的纸或其他合适的介质，因为可以例如通过对纸或其他介质进行光学扫描，接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得程序，然后将其存储在计算机存储器中。

应当理解，本申请的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中，多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。如，如果用硬件来实现和在另一实施方式中一样，可用本领域公知的下列技术中的任一项或他们的组合来实现：具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路，具有合适的组合逻辑门电路的专用集成电路，可编程门阵列(PGA)，现场可编程门阵列(FPGA)等。

本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成，的程序可以存储于一种计算机可读存储介质中，该程序在执行时，包括方法实施例的步骤之一或其组合。

此外，在本申请各个实施例中的各功能单元可以集成在一个处理模块中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。

上述提到的存储介质可以是只读存储器，磁盘或光盘等。尽管上面已经示出和描述了本申请的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本申请的限制，本领域的普通技术人员在本申请的范围内可以对上述实施例进行变化、修改、替换和变型。