(完整版)权限管理设计.pdfVIP

对 EMS 权限管理模块设计 1. 权限设计概述 1.1 引言 随着 Web 服务的复杂度增加以及用户数量和种类的增多，安全问题在理论及工程上都 是一个必须考虑的问题， 而权限管理是安全问题中一个很重要的方面。 因此本文针对权限做 了一个分析。 权限可简单表述为这样的逻辑表达式：判断 “Who对 What(Which) 进行 How的操作” 的 逻辑表达式是否为真。 1.2 意义 ? 用户管理及权限管理一直是应用系统中不可缺少的一个部分 ? 系统用户很多，系统功能也很多 ? 不同用户对系统功能的需求不同 ? 出于安全等考虑，关键的、重要的系统功能需限制部分用户的使用 ? 出于方便性考虑，系统功能需要根据不同的用户而定制 1.3 目标 直观，因为系统最终会由最终用户来维护， 权限分配的直观和容易理解， 显得比较重要， 除了功能的必须，更主要的就是因为它足够直观。 简单，包括概念数量上的简单和意义上的简单还有功能上的简单。 想用一个权限系统解 决所有的权限问题是不现实的。 设计中将变化的 “定制”特点比较强的部分判断为业务逻辑， 而将相同的“通用”特点比较强的部分判断为权限逻辑就是基于这样的思路。 扩展，采用可继承的方式解决了权限在扩展上的困难。引进 Group 概念在支持权限以 组方式定义的同时有效避免了权限的重复定义。 2. 基于角色的权限管理设计（ Role-Based Access Control ,RBAC ） 2.1 权限管理用例图 2.2 用例图描述 超级管理员： 系统中默认的角色， 它是系统中拥有最高权限的角色， 它不仅能够管理其 他的管理员和用户，而且还可以对系统中每个模块的任一功能进行操作、维护。 普通管理员： 它是由超级管理员创建的， 并授予权限， 它能够管理系统中大部分的功能， 它可以查看所有普通管理员、 普通用户的信息， 它只能对由它自己创建的用户进行编辑、 删 除操作，和管理拥有权限的模块。 普通用户： 它是系统中最低权限的角色， 它只能对自己拥有的权限进行操作， 一般情况 下，它的权限是对信息的浏览和对自己信息的录入，修改。 登陆系统： 根据用户拥有的权限不同， 用户所能操作的功能多少就不同， 所以在登陆系 统的时候就要对用户的权限进行判断。 用户管理： 这里对本系统的登录用户进行维护。包括，新建、删除、编辑、注销等；系 统初始化的时候， 用户管理中默认只有一个拥有超级管理员角色的用户， 因此在初始化登陆 的时候，只能用这个用户登陆，其他的用户由这个用户创建并授予角色。 角色管理： 角色是赋予系统用户的职权名称。包括，新建、删除、编辑、注销等；系统 初始化的时候， 角色管理中默认只拥有一个超级管理员的角色， 其他角色由拥有这个角色的 用户创建并授权。 其他模块： 其他模块的每个功能都拥有一个唯一 Id ，根据用户登陆的权限，再确定这 些功能是否对用户开放。 3. 权限设计思路 3.1 基于角色的访问控制 RBAC RBAC 的主要思想是 :权限 （Permissions）是和角色 （Roles）相联系的， 而用户 （Users） 则被指定到相应的角色作为其成员。这样就使权限的管理大大简化了。 系统的权限控制主要是采用基于角色的访问控制， 把权限绑定到角色上， 当用户要操作 权限时，就把角色赋给用户。而且在需要撤回权限时，只需把角色上的权限撤回就行了。 3.2 思路 为了设计一套