Web应用系统中多重角色访问控制实现.docVIP

Web应用系统中多重角色访问控制实现 　　摘要：该文对于当前Web应用系统中存在的用户身兼多职，多重角色的情况，通过控制Web应用系统中对于不同的用户角色显示对应页面，加以用户角色属性判断，扩展了RBAC模型，并实现了一种解决多重角色用户访问权限控制的方法，能实现多重角色的组合。该方法在实际项目运行中的实践结果显示该方法能够有效运用于B/S架构的Web应用系统里用户多重角色的权限控制中 关键词：多重角色；基于角色的访问控制（RBAC）；权限控制 中图分类号：TP311.1 文献标识码：A 文章编号：1009-3044（2017）06-0140-04 Abstract： For the situation that the user is a multi-role and multi roles in the current Web application system， this paper according to control the Web application system for different user roles show the corresponding page and checking user role’s attribute and extended RBAC model， which is able to provide a method to solve the multi-role user access control，and to achieve a combination of various roles.The practical results of the method indicate that the method can be effectively used in the B/S structure of the Web application system， which need to process the roles of the user with multiple roles. Key words： multi-roles； role based access control（RBAC）； access rights 1 背景 访问控制（Access Control）是按照用户的身份及其所归属的某项定义组来限制用户对某些信息的访问，或者限制对某些控制功能使用的一种技术。访问控制在身份认证环节之后，根据该身份提出的资源请求加以控制 现有的用户权限管理方法有自主访问控制（discretionary access control，DAC），强制访问控制（mandatory access control，MAC）和基于角色的访问控制（role-based access control，RBAC）[1]。目前行业对RBAC模型的研究聚焦于模型的扩展以及改进、信息系统应用方面。在RBAC中，权限与角色相关联，用户通过成为适当角色的成员而得到这些角色的权限。其中，权限是指针对信息系统的操作权力，权限赋予角色，角色分配给用户。这就极大地简化了权限的管理。在一个组织中，角色是为了完成各种工作而创造，用户则依据它的责任和资格来被指派相应的角色，用户可以很容易地从一个角色被指派到另一个角色。角色可依新的需求和系统的合并而赋予新的权限，而权限也可根据需要而从某角色中回收。角色与角色的关系可以建立起来以囊括更广泛的客观情况。其授权模型如图l所示 RBAC模型在应用于高校内部财务结转系统过程中，在角色和用户权限中分别设置优先级约束和继承约束避免了权限冲突[2]，然而对于个别用户身兼多职，并且在不同的部门承担同一职位，例如一位用户既是高校二级学院院长，又是高校教务处处长，同时还是教材审批领导，其中院长和教务处处长的角色在系统中使用的功能操作栏相同，那么对该用户进行角色权限分配后，用户一旦登录系统进入功能栏时，应用RBAC模型分配的访问控制权限此时会出现数据错误，因为承担不同部门的同一职位在系统中获取到的数据并不相同 在此背景下，针对拥有多重角色（院长和教务处处长在系统中的角色名称均为用户部门领导）的用户，本文对RABC模型进行扩展，在不影响其他用户的前提下，实现了一种解决多重角色用户访问权限控制的方法 2 基于多重角色的权限控制 2.1 权限控制的设计思想 在许多应用系统中，都存在一部分用户身兼多职，并且跨部?T供职，这部分用户会出现承担多个部门的同一角色，这种情况下，一个用户的部门信息有多个，多个部门对应一个角色，或者多个角色。直接应用RBAC模型，在应用系统中对不同角色对应不同可见性，那么身兼多个部门职位的用户在使用系统过