对 EMS 权限管理模块设计1.权限设计概述1.1 引言随着 Web 服务的复杂度增加以及用户数量和种类的增多,安全问题在理论及工程上都是一个必须考虑的问题,而权限管理是安全问题中一个很重要的方面。因此本文针对权限做了一个分析。权限可简单表述为这样的逻辑表达式:判断“Who 对 What(Which)进行 How 的操作"的逻辑表达式是否为真。1.2 意义❖ 用户管理及权限管理一直是应用系统中不可缺少的一个部分❖ 系统用户很多,系统功能也很多❖ 不同用户对系统功能的需求不同❖ 出于安全等考虑,关键的、重要的系统功能需限制部分用户的使用❖ 出于方便性考虑,系统功能需要根据不同的用户而定制1.3 目标直观,因为系统最终会由最终用户来维护,权限分配的直观和容易理解,显得比较重要,除了功能的必须,更主要的就是因为它足够直观。简单,包括概念数量上的简单和意义上的简单还有功能上的简单。想用一个权限系统解决所有的权限问题是不现实的。设计中将变化的“定制”特点比较强的部分判断为业务逻辑,而将相同的“通用”特点比较强的部分判断为权限逻辑就是基于这样的思路。扩展,采用可继承的方式解决了权限在扩展上的困难。引进 Group 概念在支持权限以组方式定义的同时有效避免了权限的重复定义。2.基于角色的权限管理设计(Role-BasedAccessControl,RBAC)2.1 权限管理用例图2.2 用例图描述超级管理员:系统中默认的角色,它是系统中拥有最高权限的角色,它不仅能够管理其他的管理员和用户,而且还可以对系统中每个模块的任一功能进行操作、维护。普通管理员:它是由超级管理员创建的,并授予权限,它能够管理系统中大部分的功能,它可以查看所有普通管理员、普通用户的信息,它只能对由它自己创建的用户进行编辑、删除操作,和管理拥有权限的模块。普通用户:它是系统中最低权限的角色,它只能对自己拥有的权限进行操作,一般情况下,它的权限是对信息的浏览和对自己信息的录入,修改。登陆系统:根据用户拥有的权限不同,用户所能操作的功能多少就不同,所以在登陆系统的时候就要对用户的权限进行判断。用户管理:这里对本系统的登录用户进行维护。包括,新建、删除、编辑、注销等;系统初始化的时候,用户管理中默认只有一个拥有超级管理员角色的用户,因此在初始化登陆的时候,只能用这个用户登陆,其他的用户由这个用户创建并授予角色。角色管理:角色是赋予系统用户的职权名称。包括,新建、删除、编辑、注销等;系统初始...
