B_S应用系统用户权限管理_代英明.docx

2008 年 12 月广西轻工业计算机与信息技术第 12 期（总第 121 期）GUANGXI JOURNAL OF LIGHT INDUSTRYB/S 应用系统用户权限管理代英明 1，吴昌盛 2（１.绵阳职业技术学院计算机科学系，四川 绵阳 621900；２.中国工程物理研究院六所计算机室，四川绵阳621900）【摘要】 在 RBAC(Role-Based Access Control 基于角色的访问控制 )的思想基础上，以数据安全为中心，引入用户权限分级管理的理念，采用用户组、用户的方法, 建立了适用于大规模应用信息系统的用户权限管理模型。给出了该模型在 B/S 应用系统中的实现方法，较为详细地讲述了用户权限数据库设计、模块权限控制流程和用户权限管理人机接口设计。【关键词】 B/S 应用系统；权限管理；用户组；角色【中图分类号】 TP311【文献标识码】 Ａ【文章编号】 1003-2673(2008)12－82－031引言近些年来随着网络技术的发展和市场激烈的竞争，企业信息集成一方面向着多应用大规模方向不断发展，另一面其开发 模式也逐步从传统的 C/S 模式走向 B/S 模式；与此同时，系统 用户的数量剧增且不断的多样化，系统用户权限管理工作越来 越繁重，系统应用级的信息安全问题也更加突出。针对上述情 况，本文在 RBAC(Rose-Based Access Control 基于角色的访 问控制 )的思想基础上，以系统数据安全为中心设置模块权限， 引入分级用户管理的理念, 建立了适用与大规模应用系统用户 权限管理模型。结合“某大型企业信息集成系统”开发实例，给 出了该模型在Ｂ/Ｓ 应用系统中的具体实现原型。该系统开发 工具为 JBuilder5.0，浏览器采用 IE4.0，应用程序服务器采用 Oracle Application Server4.0，数据库服务器采用 Oracle8i。总体技术路线为 JAVA APPLET + SERVLET—既浏览器中运 行的是 APPLET 程序，服务层由若干 SERVLET 小程序扩展， SERVLET 小程序访问数据库为 APPLET 提供各种服务。中所属的地位。表 1 用户组属性表整个系统分两级管理，即整个系统内置两个管理组，内置组不能修改、删除。管理整个系统的是超级管理员组(admin-istrator)，超级管理员组成员对整个资源拥有最高权限，管理子系统的是子系统管理员组(manager)，子系统管理员组成员由超级管理员组成员指定，子系统管理员可以将本子系统内模块的权限授予用户组，也可以将用户添加到用户组中。资源权限赋予用户组，不直接赋予用户。密码规则：用户密码最少不得少于 6 位，必须是数字、字母混排，大小写混排。密码采用单向加密算法加密存储。2用户权限管理模型模块权限设置：通常大规模的信息集成系统都采用层次结构，即整个系统有多个子系统组成，子系统由若干功能模块组 成 (在 B/S 应用系统中通常一个功能模块对应一个特定的网 页)。模块权限指用户对该模块操作的使用权限。根据对数据的 使用权利，模块权限初步分为增、删、改、查、打印五项权限；不 涉及数据操作的功能按钮或菜单项的使用权限可以按一定的 规则向这五种权限上映射。功能模块(网页)初始化时根据用户 拥有该模块的权限动态设置该模块中的按钮或菜单项的状态 （即没有使用权限的按钮或菜单选项变灰）。整个系统用户权限管理采用基于 RBAC 思想的用户组、 用户的管理方法，用户与用户组之间是多对多的关系，一个用 户可以属于多个用户组，一个用户组可以有多个用户。用户对 单个模块的权限是用户所属用户组集合对该模块所拥有的权 限的叠加。通过对用户组赋予不同的属性类型（见表 1），实现 对系统用户权限的分级管理，属性类型表明用户组在整个系统【作者简介】代英明(1975-)，女，湖南常德人，研究方向：数据库技术 。3在 B/S 应用系统中该权限管理模型的实现在 B/S 应用系统中上述权限模型的实现主要由三个部分组成（如图 1 所示）：用户权限数据库、模块权限控制机制、用户权限管理人机接口。图 1 用户权限管理系统结构它们三者之间的关系是：（１）系统管理员通过用户管理子系统，利用用户组用户的方法来分配管理用户对整个应用系统拥有的操作权限，并把它保存到用户权限数据库中。（２）用户登陆系统时，B/S 应用系统程序利用模块权限控制机制，从用户权限数据库中获取该用户对系统拥有的操作权限，并利用模块权限初始化应用系统中菜单项和按钮的状态(即没有操作权限的按钮或菜单项变恢,有操作权限的激活)。823.1权限数据库用户权限数据库的合理设计是实现权限管理的基础和关 键。由于整个系统管理采用基与 RBAC 思想的用户组、用户的 管理方法，并且控制管理的基本单元是