基于整合了Struts 与Hibernate 的J2EE 架构的用户权限管理系统的设计与实现.pdfVIP

基于整合了 Struts 和 Hibernate 的J2EE 架构的用 户权限管理系统的设计与实现 1 1 张震P P ，杨正球P P 1 P P 北京邮电大学计算机科学技术系，北京 (100876) E-mail：HTU zhangzhen223@UTH 摘 要：基于J2EE平台的框架技术是目前开发企业管理信息系统的主流技术。本文阐述了 Struts 和Hibernate 框架技术，并通过分析这两种框架各自的优缺点，设计了整合Struts 和 Hibernate 框架技术的J2EE 架构。并指出基于Struts 和Hibernate 框架的轻量级J2EE 架构必 将成为开发企业级应用的主流技术。同时本文介绍了基于角色的访问控制理论RBAC 的基本 概念，在此基础上设计并实现了一个权限管理系统。实践表明，该设计使业务逻辑与访问控 制逻辑分开，解决了传统的权限管理系统中代码重复、分散、混乱的问题，具有有效性、可 扩展性和可维护性。 关键词：权限管理，访问控制 RBAC Struts Hibernate J2EE框架 1．引言 随着java 技术的广泛应用，基于 J2EE 的Web 应用系统以其层次性、平台无关性逐渐 被大多数的公司所认同。尤其是 J2EE 提供的中间层集成框架，用来满足没有太多费用而又 需要高可用性、高可靠性以及可扩展性的应用需求。其中目前比较流行的就有 Struts 框架 和 Hibernate 框架。但是 Struts 框架只解决了视图层、业务层和控制层的分离，并没有对复 杂的持久层提供灵活的架构支持，反之，Hibernate 框架则提供了灵活的持久层支持，对应 用的整体架构却没有任何帮助，因此通过将这两个框架整合起来，可以得到一个迅速地开发 灵活、低耦合及易于维护的信息系统的完整解决方案。随着 Web 服务的复杂度增加以及用 户数量和种类的增多，安全问题在理论及工程上都是一个必须考虑的问题，而权限管理是安 全问题中一个很重要的方面。为了满足软件代码的可扩展性、通用性、安全性，本文应用了 整合 Struts 和 Hibernate 框架技术的 J2EE 架构来实现权限管理系统，同时采用了比较成熟 的RBAC （Role-Based Access Control ，基于角色的访问控制）技术，并将这些应用于中国普 天项目信息管理系统。 2 ．系统主要技术 2.1 基于角色的访问控制 RBAC 基于角色的访问控制 RBAC 是美国国家技术与标准局（NIST ）提出的一种访问控制技 术[5]。它有效地克服了传统访问控制技术中存在的不足之处，可以减少授权管理的复杂性， 降低管理开销，而且还能为管理员提供一个比较好的实现安全政策的环境。 RBAC 的主要思想是:权限（Permissions ）是和角色（Roles ）相联系的，而用户（Users ） 则被指定到相应的角色作为其成员。这样就使权限的管理大大简化了。角色是为某机构或组 织中多种工作岗位而创建，根据用户职责、能力和资格的不同把他们指派为不同的角色；如 果需要也能很容易地改变用户的角色，新的应用、系统集成时，可以给角色授予新的权限或 是撤回一些权限。和一个角色相对应的用户集合和权限集合可能只是暂时的，而角色本身则 相对稳定得多，因为一个组织或单位的活动或功能一般不会频繁的变动。 操作（Operations ）指查看、删除、修改、查看等一系列对系统的动作。对象（Objects ） 包括系统中可操作的数据、系统资源与可监控的系统信息。权限即“操作+对象”，权限往 往是一个复杂的问题，但也可简单的表述为这样的逻辑表达式：判断“Who 对 What （Which ） 进行 How 的操