[基于角色的管理系统开发记录.doc

基于角色的管理系统 开 发 记 录 佳木斯佳音信息技术有限责任公司 ２００７年10月 目 录 第一章　总体思路 1 1.1 总体流程 1 1.2 程序功能权限表 1 1.3 资源访问权限表 1 1.4 访问控制的部署 1 1.5 用户操作流程 2 1.6 RBAC系统管理 2 1.7应用系统管理 2 1.8系统配置 2 第二章　系统简介 3 第一章　总体思路 1.1 总体流程 1.1.1 程序开发：编制程序代码，编写各部分功能组件，确定各模块的主要操作功能； 1.1.2 系统部署：根据客户需求定制主要功能模块和资源数据，完成频道配置和资源(分类)配置， 1.1.3 访问控制配置：根据系统部署确定权限表和资源表，根据客户情况确定角色表，生成角色-权限映射(r-p)和角色-资源映射(r-s)。 1.1.4 会员/用户管理与配置：生成用户，生成用户-角色映射(u-r)。 1.1.5 会员/用户使用：用户登陆，通过身份认证获得角色，通过角色确定操作菜单，通过操作菜单申请操作，调用功能组件。功能组件依据用户角色查询r-p表，或者通过r-p表查询用户角色，进行权限审核。权限审核通过后，进行资源审核（业务逻辑？）。资源审核通过后执行相应操作。 访问控制分为两部分：程序访问权限控制和业务资源权限控制。 分离业务逻辑和软件逻辑 在这里我们将频道／栏目等称为“资源”，比照文件管理系统File Management System的目录进行管理，而将“资源”中的数据内容称为“文件”，比照文件管理系统中的“文件”进行管理。角色-资源按照目录方式进行映射。角色-权限按照文件方式进行映射。 1.2 程序功能权限表 程序功能权限可以理解为“对某个被管理对象的属性、方法、事件的操作能力”，某个具体权限可以也理解为“对具体对象属性、事件、方法的操作集”。将操作集赋予某角色就是角色-权限映射。 这里的“被管理对象”是指操作的目标，如频道、栏目、文章、图片、软件、影视、产品等。 1.2.1　对象的属性Attribute： 对象的属性是指对象的参数，包括基本属性和扩展属性。基本属性是指所有对象共有的属性，如只读、隐藏、存档等。扩展属性与具体功能模块有关，如文章的作者、来源等。 调用方式：Object.Attribute; 频道的属性：ID，Name，logo，Banner，ItemName，ItemUnit…… 栏目的属性：ID，Name，…… 文件的属性：ID，Name，…… 1.2.2　对象的方法method： 对象的方法是功能权限的核心，所有权限都是通过方法进行访问的，例如新建、删除、修改等。 调用方式：Object.Method(); 频道的方法：打开Open，新建栏目CreateClass，新建文件(依据不同类型文件有不同的方法)，重命名Rename…… 栏目的方法：Open，CreateClass，CreateFile，Rename，SetProperty，Delete，Clear，Order 文件的方法：Create，Open/Edit，Rename，Change，Delete，SetProperty，Cut，Copy，Past依据文件类型不同而不同。 1.2.3　对象的事件Event： 这里我们将对象的事件理解为“对象对各种操作的反映”。由于WEB的特殊性，我们仅将事件看成为操作界面中的各种用户操作。 调用方式：Object.Event(); 1.3 资源访问权限表 即资源类别控制表，如频道、栏目。 最大权限：完全控制 最小权限：没有任何权限 （参考WINDOWS 2000的文件访问策略帮助文件编写） 所 有 者：每个对象（包括栏目和文件）都有所有者，所有者控制如何设置对象的权限以及将权限授予谁，对象一经创建，创建对象的用户自动成为其所有者。管理员将创建并拥有网络中的多数对象，用户将在其主目录中创建和拥有数据文件。 所 有 权：所有权可以用以下方式转换： 当前所有者可以授予其他用户“获得所有权”权限，并允许这些用户任何时候获得所有权。 管理员可以获得其管理级控制下的任何对象的所有权。例如，如果员工突然离开公司，管理员可以控制员工的文件。尽管管理员可以获得所有权，但是管理员不应该将所有权转让给其他用户。此限制可以让管理员对其操作负责任。 栏目权限：栏目权限包括完全控制、修改、读取和执行、列出栏目内容、读取、写入。每个权限均由特殊权限逻辑组组成，下表列出了每个栏目权限，并指出了与该权限相关联的特殊权限。 栏目访问权限表 特殊权限 完全控制 修改 读取和执行 列出栏目内容 读取 写入 遍历栏目/执行文件 ■ ■ ■ ■ 列出栏目/读