• <tr id="yyy80"></tr>
  • <sup id="yyy80"></sup>
  • <tfoot id="yyy80"><noscript id="yyy80"></noscript></tfoot>
  • 99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

    基于角色的通用權(quán)限管理模塊設(shè)計(jì)

    2014-04-29 00:00:00王微來

    摘 要:基于B/S架構(gòu)的信息系統(tǒng)開發(fā)過程中權(quán)限控制設(shè)計(jì)是其重要環(huán)節(jié)。本文基于角色的訪問控制(RBAC)原理,設(shè)計(jì)出一套通用的用戶權(quán)限管理模塊,提高了信息系統(tǒng)的安全性,靈活性和可擴(kuò)展性,對于實(shí)現(xiàn)信息系統(tǒng)的模塊化開發(fā),縮短開發(fā)周期具有重要的意義。

    關(guān)鍵詞:信息系統(tǒng);RBAC;角色;權(quán)限管理

    中圖分類號:TP311

    隨著信息技術(shù)的發(fā)展,基于B/S架構(gòu)的信息系統(tǒng)系統(tǒng)得到了長足的發(fā)展,其功能越來越復(fù)雜,用戶也越來越多,操作權(quán)限的控制成為信息系統(tǒng)安全性設(shè)計(jì)和開發(fā)的重要環(huán)節(jié)。設(shè)計(jì)開發(fā)一套通用的基于B/S模式的用戶權(quán)限管理模塊,對于實(shí)現(xiàn)信息系統(tǒng)的模塊化設(shè)計(jì),縮短開發(fā)周期具有重要的意義。

    1 基于角色的訪問控制(RBAC)原理

    基于角色的訪問控制(Role-Based Access Control.RBAC)概念早在20世紀(jì)70年代就隨著多用戶、多應(yīng)用在線系統(tǒng)的出現(xiàn)而產(chǎn)生,但真正形成一套完整理論的則是由Sandhu等人于1996年在IEEE上發(fā)表的文章——基于角色的訪問控制模型,習(xí)慣上稱為RBAC96模型。[1]RBAC的核心思想是將訪問權(quán)限與角色相聯(lián)系,角色是根據(jù)應(yīng)用系統(tǒng)的不同任務(wù)需要而設(shè)置,通過給用戶分配適合的角色,讓用戶和訪問權(quán)限相聯(lián)系。[2]

    RBAC模型中,系統(tǒng)的最終用戶并沒有與數(shù)據(jù)對象有直接聯(lián)系,而是通過角色這個(gè)中間層來訪問后臺(tái)數(shù)據(jù)信息,從而實(shí)現(xiàn)了用戶與訪問權(quán)限的邏輯分離。[3]這樣的授權(quán)管理與個(gè)體用戶單一授權(quán)相比較,具有強(qiáng)大的可操作性和可管理性,能有效地增強(qiáng)對用戶訪問的控制和管理。

    2 系統(tǒng)設(shè)計(jì)

    2.1 數(shù)據(jù)庫設(shè)計(jì)

    RBAC模型中最重要的關(guān)系是權(quán)限和角色、角色和用戶之間的多對多的關(guān)系。

    在通用權(quán)限管理的設(shè)計(jì)過程中,我們將一個(gè)應(yīng)用系統(tǒng)細(xì)分為若干個(gè)功能模塊,再根據(jù)需要將功能模塊授權(quán)于不同角色。同時(shí)將用戶按要求分為不同的角色,一個(gè)用戶可以是某一個(gè)角色,也可是某幾個(gè)角色的成員,不同角色具有不同的權(quán)限和功能。數(shù)據(jù)庫結(jié)構(gòu)的設(shè)計(jì)如圖1所示。

    圖1 數(shù)據(jù)結(jié)構(gòu)

    (1)系統(tǒng)操作功能表。即RBAC模型中的“權(quán)限”,將系統(tǒng)各功能模塊的權(quán)限分別管理,如“X添加”等,同時(shí)為每個(gè)功能模塊分別指定一個(gè)唯一操作標(biāo)識(shí)符。操作標(biāo)識(shí)符和序號都具有唯一標(biāo)識(shí)性,其區(qū)別在于操作標(biāo)識(shí)符具有確定性和可讀性,在設(shè)計(jì)之初就可以定義。

    (2)權(quán)限映射表。維系權(quán)限和角色之間的多對多關(guān)系。

    (3)角色表。記錄角色分類信息。

    (4)人員映射表。維系角色和人員之間的多對多關(guān)系。

    (5)人員信息表。記錄人員屬性,包括用戶名、密碼、姓名、性別等信息。

    2.2 權(quán)限驗(yàn)證

    (1)權(quán)限視圖

    從系統(tǒng)設(shè)計(jì)的底層結(jié)構(gòu)中看,角色權(quán)限的分配最終還是需要確定到具體用戶的操作權(quán)限,通過數(shù)據(jù)庫中“權(quán)限—角色—用戶”的關(guān)系表,可建立權(quán)限分配視圖(如表1),系統(tǒng)底層可在權(quán)限視圖的基礎(chǔ)上進(jìn)行用戶權(quán)限的查詢和驗(yàn)證。

    表1 權(quán)限分配視圖

    序號操作名稱操作標(biāo)示符角色用戶名鎖定狀態(tài)…

    1添加貨物BSF_add_object倉庫管理員zs允許

    2添加貨物BSF_add_object倉庫管理員ls鎖定

    3賬目管理BSF_manage_account會(huì)計(jì)zs允許

    4……

    (2)權(quán)限驗(yàn)證

    權(quán)限驗(yàn)證一般是在用戶登錄后,在進(jìn)行某項(xiàng)功能操作時(shí)對其權(quán)限的驗(yàn)證。通過查詢權(quán)限視圖使用“select count(*) from權(quán)限視圖 where username = ? And 操作標(biāo)示符=?”可從權(quán)限視圖中檢索用戶是否具有某項(xiàng)操作的權(quán)限。同時(shí),可將其封裝到permit(string username,string action)函數(shù),便于調(diào)用。

    2.3 設(shè)計(jì)與實(shí)現(xiàn)

    (1)權(quán)限管理初始化

    在系統(tǒng)數(shù)據(jù)庫中初始化“系統(tǒng)超級管理員”角色和“admin”用戶,將其相互關(guān)聯(lián),同時(shí),在系統(tǒng)操作功能表中添加“功能管理”、“功能授權(quán)”和“角色管理”三項(xiàng)系統(tǒng)功能及相應(yīng)操作標(biāo)識(shí)符,并分別授權(quán)給“系統(tǒng)超級管理員”,admin用戶將獲得系統(tǒng)的初始管理權(quán)限。

    (2)業(yè)務(wù)應(yīng)用系統(tǒng)設(shè)計(jì)

    基于RBAC模型進(jìn)行統(tǒng)一權(quán)限管理,信息系統(tǒng)在設(shè)計(jì)過程中應(yīng)按功能設(shè)計(jì)、角色設(shè)計(jì)、系統(tǒng)編碼、權(quán)限驗(yàn)證設(shè)計(jì)的順序進(jìn)行,首先將一個(gè)業(yè)務(wù)應(yīng)用分為若干個(gè)操作功能,為其一一定義唯一的“操作標(biāo)識(shí)符”,并對操作功能進(jìn)行注冊。然后設(shè)計(jì)出相應(yīng)的角色。因“操作標(biāo)識(shí)符”具有唯一性和確定性,在系統(tǒng)編碼過程中,將“操作標(biāo)識(shí)符”直接固化到系統(tǒng)功能中,實(shí)現(xiàn)權(quán)限的驗(yàn)證,如:

    Button_click()

    {

    string str_action=”BSF_XX操作”;

    string username=session[“user”].toString();

    if (Permit(username,str_action))

    // 驗(yàn)證成功

    else

    //驗(yàn)證失敗

    或用參數(shù)形式進(jìn)行傳遞,如:add.aspx?action= BSF_ XX,由頁面程序獲取action參數(shù)后進(jìn)行驗(yàn)證。

    3 結(jié)束語

    基于角色的通用權(quán)限管理模塊實(shí)現(xiàn)了信息系統(tǒng)權(quán)限管理的安全高效,通用性強(qiáng),在實(shí)際應(yīng)用中具有較高的效率和較好的效果,方便快捷。

    參考文獻(xiàn):

    [1]Sandhu R,Conyne EJ,Lfeinstein H,er al.Role based access control models[J].IEEE Computer,1996(02):38-47.

    [2]李嵐.基于角色的數(shù)據(jù)庫安全訪問控制的應(yīng)用[J].通信技術(shù),2008,10:70-72.

    [3]李向,郭曉蘭,嚴(yán)燁.基于角色的web系統(tǒng)安全策略研究[J].計(jì)算機(jī)技術(shù)與發(fā)展,2006,10:155-156.

    作者簡介:王微來(1979.10-),男,浙江臨海人,教員,講師,碩士,研究方向:教育技術(shù)。

    作者單位:軍事經(jīng)濟(jì)學(xué)院,武漢 430035

    石渠县| 崇左市| 西贡区| 大港区| 贞丰县| 忻州市| 固镇县| 嘉善县| 五莲县| 新邵县| 丹棱县| 那曲县| 阿坝| 祥云县| 达日县| 青铜峡市| 大关县| 随州市| 张家界市| 苍梧县| 英德市| 永新县| 遂昌县| 灵寿县| 搜索| 于田县| 五常市| 浙江省| 枝江市| 虹口区| 疏附县| 清河县| 巍山| 涪陵区| 萨迦县| 漳浦县| 三穗县| 昌邑市| 封开县| 曲周县| 东平县|