基于Web的系统权限管理实现方法.pdf

维普资讯 第32卷 第 1期 计 算 机 工 程 2006年 1月 Vo1．32 脑 J ComputerEngineering January2006 · 安全技术 · ~tlmq,l00o__3428(2006)0l—0l69．_．o2 文献标识码：A 中圈分类号tTP309 基于Web的系统权限管理实现方法 暴志剐，胡艳军，顾新建 (浙江大学现代制造工程研究所，杭州 310027) 摘 要：结合RBAC授权模型，提出了权限管理的基本思想。然后分男U介绍了两种权限管理实现方法的数据库设计和在程序中的实现，并 且给出了实现的效果图。最后从适用性和可重用性两方面对两种方法进行了详细的分析对比。 关键词t权限管理；角色；数据库设计；过滤器 RealizationMethodAboutAccessControl0fSystem Based0nW eb BAOZhigang，HUYanjan，GUXinjian (InstituteofContemporaryManufacturingEngineering，ZhejiangUniversity，Hangzhou310027) [Abstract]Firstlymakingreferencetorolebasedaccesscontrol(RBAC)model，thispaperproposesthebasicideaaboutaccesscontro1．Thenit introducesdatabasedesignoftworealizingmethodsaboutaccesscontrolandtwomehtods’realization inprogram，italsopresentsvisualeffect． Finallyitnaalyzesandcomp~esonetoanotherindetailfrom twoaspectsofapplicabilityandreusability． [Keywords]Authorizationmanagement；Role；Databasedesign；Filter 计算机技术应用的普及和企业信息化步伐的加快、以及 Java的过滤器技术，这种技术是指在一个web．xml配置文件 因特网的快速发展，使得开发基于Web的管理信息系统成为 中进行相应的截取过滤器设置，过滤器可以截取客户请求和 软件开发的一个方向，但随之而来的信息安全也越来越受到 系统响应，然后进行相应的预处理和后处理。这里所说的预 人们的关注。权限管理为解决信息系统安全性问题提供了重 处理和后处理功能，通常是指一些基本的系统服务，如权限 要保障。目前的权限管理大致上可以分为两类：系统级的安 的控制、登录和系统调试。下面分别说明这两种实现方法。 全管理，例如操作系统级的安全管理，数据库级的安全管理 2．1直接判断法 等；另一种是应用级的安全管理，该部分权限的控制主要取 (1)数据库的设计 决于具体的系统…。在应用级的安全管理方面，目前的研究 根据上述的权限管理的思想，在采用这种方法的实际系 很受关注，比较成熟的是RBAC(RolebasedAccessContro1) 统开发中使用了一个用户对应一个角色的控制策略。一共建 授权模型 j。本文结合RBAC授权模型，针对基于Web的信 立了4个表，分别是 ： 息系统提出了两种权限管理的实现方法。 1)用户表 (user)：保存用户登录名、密码、角色、真实