基于JSPServlet的权限系统的设计与实现.pdfVIP

第 26卷 第4期 兰 州 交 通 大 学 学 报 (自 然 科 学 版 VoL26No. 2007年8月 Jou加】0日刀nzho司1的的ngUniversity(Natural阳enees) Aug2007 文童编号:1001一373(2007)04一105一4 基于JSP/Servlet的权限系统的设计与实现 何知军’， 鲁怀伟2， 陈松考， (1.兰州交通大学 电子与信息工程学院，甘肃 兰州 730070汉.兰州交通大学 数理与软件工程学院 甘肃 兰州 300701 3兰州交通大学 机电工程学院，甘南 兰州 730070) 摘 要:时用户访问权限的控制是B/S模式序统开发和应用的一个重要环节.通过对RBAC模型以及 灰”let过治 器的分析研究，给出了用户权限利断和控制的方法，并采用4层架构技术设计和实现了一个权限管理系统，有效地 实现了用户对系统的安全访问.此系统具有可维护性、可扩充性和可移植性等特性. 关键词:RBAC，过滤器，MyC;访问控制月sP 标签 中圈分类号:TP393 文献标识码:A 的访问控制信息存储在一个矩阵中集中管理，矩阵 0 引言 的行表示系统中的权限主体，列表示系统中的权限 随着计算机网络技术的不断发展，基于B/S模 对象，中间每个元素为权限主体对权限对象所拥有 式的信息系统在各企业内得到了广泛的开发和应 的访问权限[1].这两种传统的控制方法虽然在一定 用.为了提高系统的信息访问安全性，员工在进行正 程度上解决了应用系统的安全问题，但会使系统的 常的访问前，通常都要进行访问控制.有效的访问控 安全管理很复杂，应用系统的安全性和灵活性也不 制允许被授权的用户对某些资源的访问，同时拒绝 够.RBAC模型在用户和权限之间引人了角色的概 向非授权的用户提供服务，从而保障了包含大量涉 念，使管理员能根据实际需要定义各种角色，并设置 及个人、企业的信息资源得到合法有效的使用而不 和角色相对应的访问权限，而用户根据其职责被指 是被非法获取或破坏.与传统的c/s系统相比，B/S 派为不同的角色.角色作为联系用户和权限的中间 系统中的权限显得更加复杂和重要.传统的c/s系 桥梁，一个角色与权限的联系可以看作是该角色拥 统因为具有特殊的客户端，所以访问用户的权限检 有的一组权限的集合，与用户关联又可以看作是若 测可以通过客户端实现或通过客户端与服务器共同 干具有相同身份的用户的集合.这样，访问权限和角 检测来实现，而在B/S模式的系统中，浏览器成为 色相关联，角色再与用户关联，从而实现了用户与访 用户访问的主要工具，客户端的限制很少，如果缺少 问权限的逻辑分离.RBAC机制由于其具有较高的 必要的权限控制将会导致严重的安全漏洞.基于此， 可扩展性和灵活性，在分布式系统、数据库系统乃至 本文在基于角色的访问控制(Ro le一based Access 各种操作系统中都得到了一定程度的应用. Control，RBAC)模型的基础上利用Servlet过滤器 Z Servlet过滤器工作机制 技术设计了一个权限管理系统，有效地解决了系统 资源的访问控制问题. Servlet过滤器是servletZ.3规范中最主要的 新增功能，能够对servlet容器的请求和响应对象进 1权限控制的基本思想 行检查和修改它介于与之相关的Servlet或JSP页 传统的自主访问控制(DiscretionaryAccess 面和客户之间，某个资源一旦与某个过滤器相关联， Control，DAC)和强制访问控制(MandatoryAccess 则对这个资源的任何请求或这个资源的响应都要经 Control，MAC)都是基于访问控制矩阵模型ACNI 过与之关联的Servlet过滤器再调用或返回.Servl