角色访问动态生成用户权限菜单树.docVIP

角色访问动态生成用户权限菜单树 一、引言 随着.NET和J2EE开发平台的推出，传统的软件开发模式开始向B/S模式转变，这种转变给系统的安全性提出了更高的要求，B/S模式下，由于HTTP协议和浏览器的特殊性，可能会造成信息的泄漏甚至使非法用户修改数据。而权限的设置、分配与管理是任何一个系统必不可少的功能。如何设计与实现其功能，目前有多种方案，传统的访问控制方法DAC（Discretionary Access Control，自主访问控制模型）、MAC（Mandatory Access Control，强制访问控制模型）难以满足复杂的企业环境需求。本文采用了现在流行的基于角色访问控制（RBAC，Role Based Access Control）的基本思想，巧妙地利用了Web控件TreeView及ASP.NET技术，设计了在B/S模式下，根据不同的用户，不同的角色权限，动态生成用户菜单树的一种具体实现方法。 本文将先介绍RBAC的基本思想，在此基础上，给出在ASP.NET中的具体实现方法。 二、角色访问控制（RBAC）的基本思想 图1 RBAC的基本思想 在RBAC中，许可Permissions（特权）就是允许对一个或多个客体执行的权力，角色就是许可的集合，如图1所示。RBAC的基本思想就是把整个访问过程分为两步：访问权限与角色关联，角色再与用户关联，从而实现了用户与访问权限的逻辑分离。 RBAC对访问权限的授权由系统管理员统一管理，系统管理员根据单位中不同的岗位定义不同的角色，用户根据其职能和责任被赋予相应的角色。一旦用户成为某角色的成员，则此用户可以完成该角色所具有的职能。 由于RBAC实现了用户与访问权限的逻辑分离，因此它极大地方便了权限管理的复杂性。可根据用户的实际工作岗位将用户与角色关联，一方面定义角色、增加删除角色中的用户易于操作，另一方面，可以通过更改角色的权限实现大批量用户权限的更新。在实际应用中，由于角色/权限之间的变化比用户/角色之间的变化要慢得多，当一个用户的职位发生了变化，只要将用户当前的角色去掉，加入代表新职务的角色即可。因此，RBAC的优点是明显的，更符合企业的应用特征。 三、用户权限菜单树 用TreeView控件动态实现用户权限菜单树的基本思想是：根据角色访问控制（RBAC）的基本原理，给用户分配不同的角色，每个角色对应一些权限，然后根据用户ID获取用户对应的角色集合，由角色集合获取对应的权限集合，再由权限集合利用TreeWiew控件动态生成一棵由该用户对应的角色能访问的页面（模块）组成的权限树。这样，用户无权访问的页面在权限菜单树就不会出现，不同的用户进入的界面不同，实现了用户权限的统一管理。 下面从功能模块设计、数据库设计、架构设计等几方面来阐述其实现过程。 1．功能模块划分 用户权限管理系统功能如图2所示，其中主要模块功能阐述如下： 用户管理模块分为：删除用户、浏览用户和角色分配三个子模块，主要负责各类用户的删除、合法性验证及为用户分配角色。用户管理模块中并没有增加用户子模块的功能，主要是由用户注册模块来实现的。 权限管理模块分为：角色管理和访问控制两个子模块。角色管理负责管理各类角色（增、删、改），为角色授予相应信息服务模块的使用权限，删除角色的某个模块的使用权限等；访问控制是保证信息安全的关键，用户登录时经身份验证后，系统根据用户具有角色的信息服务模块的使用权限自动生成访问权限集，使得用户能够访问授权的信息，拦截对没有授权信息服务的访问。 图2　用户权限管理功能模块图 2．数据库设计 在实施RBAC生成用户权限菜单树时，为了提高系统管理及数据访问的效率，在数据库中设计了用户表（表1所示）、角色表（表2所示）、用户角色表（表3所示）、角色权限表（表4所示）及菜单树结构表（表5所示）共5个表。 表1 用户信息表Users 字段名 类型 字段中文名 UserID int 用户ID主键 UserName Varchar(50) 用户名 Password Varchar(100) 用户密码用MD5加密 RealName Varchar(50) 用户真实姓名 Email Varchar(100) 用户Email State int 用户状态，默认：0 Baoliu Char(1) 保留，默认：1 表2 角色信息表Roles 字段名 类型 字段中文名 RoleID int 角色ID主键 RoleName Varchar(20) 角色名称用MD5加密 RoleDesc Varchar(50) 角色描述 PerMission Varchar(50) 角色权限 Baoliu Char(1) 保留，默认：1 表3 用户角色表UserRoles 字段名 类型 字段中文名 Role