Web应用系统中多重角色访问控制的相关分析1背景访问控制(AccessContro1)是按照用户的身份及英所归属的某项泄义组来限制用户对某些信息的访问,或者限制对某些控制功能使用的一种技术。访问控制在身份认证环节之后,根据该身份提出的资源请求加以控制。现有的用户权限管理方法有自主访问控制(discretionaryaccesscontrol,DAC),强制访问控制(mandatoryaccesscontrol,MAC)和基于角色的访问控制(role-basedaccesscontrol,RBAC)[1]0目前行业对RBAC模型的研究聚焦于模型的扩展以及改进、信息系统应用方而。在RBAC中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。其中,权限是指针对信息系统的操作权力,权限赋予角色,角色分配给用户。这就极大地简化了权限的管理。在一个组织中,角色是为了完成%种工作而创造,用户则依据它的
责任
安全质量包保责任状安全管理目标责任状8安全事故责任追究制幼儿园安全责任状占有损害赔偿请求权
和资格来被指派相应的角色,用户可以很容易地从一个角色被指派到另一个角色。角色可依新的需求和系统的合并而赋予新的权限,而权限也可根据需要而从某角色中回收。角色与角色的关系可以建立起来以雅括更广泛的客观情况。其授权模型如图1所示。RBAC模型在应用于高校内部财务结转系统过程中,在角色和用户权限中分别设苣优先级约束和继承约朿避免了权限冲突[2],然而对于个别用户身兼多职,并且在不同的部门承担同一职位,例如一位用户既是髙校二级学院院长,又是髙校教务处处长,同时还是教材审批领导,其中院长和教务处处长的角色在系统中使用的功能操作栏相同,那么对该用户进行角色权限分配后,用户一旦登录系统进入功能栏时,应用RBAC模型分配的访问控制权限此时会出现数据错误,因为承担不同部门的同一职位在系统中获取到的数据并不相同。在此背景下,针对拥有多重角色(院长和教务处处长在系统中的角色名称均为用户部门领导)的用户,本文对RABC模型进行扩展,在不影响其他用户的前提下,实现了一种解决多重角色用户访问权限控制的方法。2基于多重角色的权限控制2.1权限控制的设汁思想在许多应用系统中,都存在一部分用户身兼多职,并且跨部门供职,这部分用户会出现承担多个部门的同一角色,这种情况下,一个用户的部门信息有多个,多个部门对应一个角色,或者多个角色。直接应用RBAC模型,在应用系统中对不同角色对应不同可见性,那么身兼多个部门职位的用户在使用系统过程中就会因为多个部门对应同一角色的原因出现数据错误的问题,鉴于此,基于多重角色的权限控制是在RBAC模型的基础上增加了为角色分配用户所属部门信息,便于对用户进行管理和角色分配时具体到一个角色对应一个部门。从而RBAC模型中的为用户分配角色就转化为用户分配角色和角色对应的部门,用户所拥有权限是为其分配所有的角色对应权限的集合,这种模式在应对各种身兼多职的情况时,具有很强的授权灵活性。对于开发基于B/S架构的Web信息系统,实质上是在开发、积累功能模块,每个功能模块都对应一些具有特立功能的页而文件,因此用户权限和页而是相联系的。设计实例时,先为用户分配角色,每个角色对应一些可操作的功能模块,即权限,分配角色时即为用户分配该角色对应的部门信息,在用户登录时依拯用户剑获得其对应的角色信息,依据角色展示给用户相应的操作栏。3基于多重角色的权限控制研究实例3.1多重角色的分配实例中由管理员为身兼多职的用户分配多重角色,分配角色时选择该角色对应用户所属部门,主要代码如下:UserRoleuserRole=null;userRole=newUserRole(role__id,user_id,priority,bumen_id);if(userRoleService・save(userRole)==true){}else{ajaxResult=AJAXUti1.newOk(分配权限失败!}多重角色用户登录系统时,根据用戸角色数据査询每一角色对应的部门信息,主要代码如下:©OverridepublicListgetUserRoles(Longid){UserRoleDAOuserRoleDao=newUserRoleDxWO;ListuserRoles=userRoleDao・getUserRoles(id);Ro1eDAOroleDao=newRo1eDAO0;BumenDAObumenDao=newBumenDAOO;Longbumen_id;Longrole_id;for(UserRoleuserRole:userRoles){role_id=userRole・getRole_id();userRole・setRole(roleDao.get(role_id));}//多重角色:查找与角色对应的部门信息。for(UserRoleuserRole:userRoles){bumen_id=userRole・getBumen_id();user?Role・setBumen(bumenDao.get(bumen_id));}returnuserRoles;}角色名称优先级(数值越小,优先级越高)角色对应部门S{item.role・nametdS{item・priority}S{item・bumen.bmname}3.2生成用户界而用户登录后验证苴合法性,权限控制系统根据用户编号从系统中读取出其对应的角色信息,再根据每个角色对应的权限为用户展示出可操作的权限集合,即功能栏。如图3中左侧的部分功能栏是给用户可操作的模块,每个子模块对应链接页,面不同权限的用户登录后的功能栏也不同。3.3权限控制1)为角色添加权限系统实例中创建了很多功能模块,每一个新增角色都是若干个功能模块根据业务逻辑需要的自由组合,新增角色时,系统为管理员用户提供了一个树形视图,能够非常方便地选择功能模块2)多重角色用户对于具有多重角色的用户,分配角色时增加一个部门信息,在用户访问具体的功能模块时可根据角色对应的部门信息获取数据,具有非常强的灵活性。4结束语基于B/S架构的Web应用系统,对于安全性方而的要求非常高,因此,本文针对企业、校园中个人身兼多职的情况,结合Jsp技术以及Web应用框架Struts解决了多重角色用户的访问控制,无需根据职务切换视图,处理工作流畅髙效。本文提出的
方案
气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载
已在一个项目中应用,运行状况良好。
浙公网安备 33021202002483