622Web应用安全用户管理陈雪松90课件讲解.pptxVIP

6.2.2Web应用安全（用户管理）主讲教师：陈雪松

目录1统一用户管理

统一用户管理通过建立统一用户管理系统，为监所各业务部门信息化的各应用子系统提供通用的、支撑性的用户管理；实现可靠访问控制，提供用户管理的高效性，降低后台管理人员的维护工作量；并通过共享的用户信息服务，将各应用系统有机的整合在一起，实现互联互通，消除“信息孤岛”。

统一用户管理统一用户管理采用基于角色的访问控制（RBAC）授权管理模型，通过角色信息与应用系统内部权限信息的映射，形成“用户—角色—权限”三元对应关系，对各类用户进行严格的访问控制，以确保应用系统不被非法或越权访问，防止信息泄漏。user1user1user1role1role1role1permission1permission1permission1用户角色权限多对多多对多

统一用户管理03权限管理02角色管理01用户管理04统一身份认证05单点登录06数据同步管理统一用户管理

01用户管理为监所各业务部门信息化项目提供统一管理用户的界面。用户管理集中统一后，每个用户帐号只申请一次，可减少用户身份的副本，增加安全性，用户数据只维护一次即可到处使用。用户管理除了提供单个录入的方式外，还提供方便的批量导入方式，批量导入的数据经校验后直接进入到系统中。用户管理中可以通过维护用户与角色的关系，来增加或撤销用户已有的角色，然后通过“用户—角色—权限”三元对应关系，可以获取用户具有的权限。为了避免密码泄露，系统在进行密码存储和传输时，一律采用不可逆加密的方式。为了防止对简单密码的猜测，初始密码随机生成，随机密码为大写字母、数字和小写字母的随机组合。

02角色管理在基于角色的访问控制（RBAC）权限模型中，角色处于核心的位置。角色与用户关联、与权限关联，在有用户组的模型中，角色还可以和用户组关联，在更灵活的基于角色的访问控制（RBAC）模型中，角色还可以和组织机构关联。访问控制都集中在角色与权限的关联上，不同用户拥有不同的角色，不同角色拥有不同的权限。通过获取用户的角色合集，最终可以得到用户拥有的权限合集，从而可以对用户能访问的内容进行控制，不同权限拥有不同的访问。

03权限管理权限管理包括功能权限和数据权限管理。功能权限主要是控制菜单、按钮等某项具体功能。数据权限主要是控制在同一个功能下，能够看到的数据范围（包括数据项和数据记录集的数目）。与用户管理相似，权限管理中可以通过维护权限（包括功能权限和数据权限）与角色的关系，来增加或撤销角色已有的权限，然后通过”用户—角色—权限”三元对应关系，可以获取用户具有的权限。

04统一身份认证身份认证采用中央认证服务的方式来完成，每个系统不再需要自己的身份认证，实际的身份认证都自动转发到中央认证服务，由中央认证服务来完成。中央认证提供多种接口的方式，可以提供关系数据库（RDBMS）、轻量级目录访问协议（LDAP）和Web服务（WebService）等多种方式。也可以兼容多种不同系统，可以与PHP、ASP.NET等系统进行集成以提供统一身份认证服务。在项目建设中，为了保证现有系统的已有风格，统一认证可以保留原有的认证界面，对原有系统做适当的配置即可完成统一身份认证。

05单点登录用户经统一身份认证之后，如果需要进入其它系统，不需要再次登录认证，从而为用户提供多应用系统方便的单点登录功能，实现“一点登陆、多点漫游”的功能。

06数据同步管理每个应用系统可能会需要与用户管理相关的数据，统一用户管理提供了数据同步功能可以满足这种需求。数据同步分为全量和增量两种方式，同步可以配置定时触发来实现。对于用户、角色和组织机构等信息的修改，可以以增量的方式自动同步到其它各系统。用户、角色和组织机构等信息也可以通过手工或定时全量同步到其它各系统中。

谢谢大家！主讲教师：陈雪松