论文研究-基于基本RBAC模型的权限管理框架的设计与实现 .pdf

所需积分/C币:9 2019-08-16 17:35:53 1.88MB .PDF

基于基本RBAC模型的权限管理框架的设计与实现,吴波,王晶,基于角色的访问控制(RBAC,Role Based Access Control)最直观的描述就是权限被授予角色,角色被授予用户,权限是访问资源的唯一凭证,用�
国科技论文在线 需己可务图 许可役 户 角色 操作 控制 对塞 明用严事回 会话 图基本 模型 用户代衣人,但是也可以是·台机器或其他任何智能型物品,只要是能够发出动作的主 体即可。 角色表示一个工作职责,在一个组织机构环境中的工作职责。该职责可以关联一些关于 权力和责任的语义。 目标表示资源或对象,任何访问控制机制都是为了保护系统的资源。目标可能包括文件, 目录,数据库表等,甚至于磁盘空间,打印机等都是目标所指的范畴 操作是程序的可执行的动作,被用户调用和执行。操作的类型取决于实现系统的类型。 例如文件系统可能的操作时读与,执行等,数据库系统则是增加、删除、修改或査询操作 许可权是一个许可,对在一个或多个目标上执行操作的许可。 标准中定义的权 限均指正权限,但是并没有禁止负权限 用户角色分配:用户到角色的·种映射,表示个用户所具有的角色,在本次设计中将 是单向多对多的关系 角色许可分配:角色到权限的一种映射,表示一个角色所具有的权限集合,在本次设计 中将是单向多对多的关系。 会话集:是指用户激活角色时建立的动态的会话集合。 的关注点在于角色和用户以及角色和权限的关系,称为用户角色分配和角色权 限分配。正如前面提到的,关系的左右两侧都是单向的多对多关系。在常见的关系犁数据厍 中,只要两个表存在多对多关系,就必须要使用一个额外的关系表来记录两者之间的映射, 这样无形中给数据的一致性维护带来了麻烦。 会话在基木 模型中是比较隐晦的一个元素。木次设计中并没有涉及到,所以此 处不加以详细介绍。 权限管理框架的设计 设计思路 基于 的权限控制框架需要满足实用性、可靠性和安全性等系统性能,需要完成 包括用户登录控制,用户鉴权,用户详细信息、角色详细信息、权限详细信息、用户所拥有 角色、角色所分配的权限的增加、删除、修改和査询等具体功能 山于项目实际需求,从安全性、可靠性和实用性方面综合考虑,本次设计中采用了基本 模型,该模型中共包含了五人基本元素,分别设计使用 实体类实现模型中 的用户对象, 实体类实现模型中的角色对象, 实体类实现模型中的 角色许可分配过程, 类实现操作过程以及使用( 数据访门对 象)类实现目标对象。 由于杈限控制框架相当于项目的门户,·旦非授权用户获得了扃级别的权限,将对项目 国科技论文在线 造成巨大的危害。所以在选用基本 模型的基础上,项目总体设计中将安全性放在首 要位置。在整个框架开发过程中采用了 三种 开发过程 中最常用的框架选型,其中 实现从视图层到业务逻辑层的跳转控制、表项参数传递 负责解决对象之间的依赖问题,简化对象的获取, 简化关系数据库的 操作,使得数据库一致性得到了很好的保证。鉴于本次设计的框架并没有特別关注于前台的 设计,所以对于登录、搾制操作等客个界面仅仅使用( )语言实现了基 本功能,没有增加具体的样式控制。 整体结构设计 按照结构,本次权限控制框架设计分为三个层次:视图层,业务逻辑层,数据接凵 视图层即用户所能接触到的操作界面。用户所做的各和输入以及后台返回的所有信息都 通过视图层呈现给用户,由于本次设计并没有特别关注与前台表现,所以对于页面的美 化、格式搾制等并没有投入人多精力,而是将重点放在了业务逻辑层 业务逻辑层用来处理前台传递的各种请求以及参数,从而进行相应的方法调用、数据处 理以及返凹结果等功能。所冇的控制操作都是由业务逻辑层完成的,使得用户显小界血与数 据库交互分离,这样的设计符合 模型视图控制)模式的思 想和模式。 数据接∏层用来创建、维护基于 权限管理框架所要使用到的所有数据库衣。在 本次设计中按照纵向分割的思想,将所有的数据交互处理都设计为类,实现了各个模 块之间的解耦,更加符合软件开发的原则。本次设计选用的是数据库,而在数据库交 互时选用 来实现关系数据库的所有操作,利用它强大的关系数据库维护功能来避 免在代码中显式的维护数据库之间一致性等关系 总体架构按功能划分为仝局配冒文件及工具类、脊录处瑆及页面设计、用户操作设计、 角色操作设计、权限操作改计五大部分,每一部分中包含思想层次划分的各种类。 )全局配置及详细设计 项目最重要的 文件,萬置 实现的 文件, 实 现的 文件, 总体配置的 文件以及调试信息 需要的 文件,工具类包含了 和 所要用到的类 )登求处理及页面设计 主要包括登录页面,使用语言实现基本功能,后台由 负责完成将用户名密 码传递等信息传递给业务逻辑层,由 类实现用户登录以及鉴权等功能。 )用户操作设计 主要包括用户控制界面实现增加用户、删除用户、修改用户、查询用户,使用语言 实现基本功能,用户实体 ,用户实体对应数据库表项的映射配置文件 用来控制调用何种数据接口类中的方法的 类,以及和数据库 进行交互的 类 )角色操作设计 主要包括角色控制界面实现增加角色、删除角色、修改角色、査询角色,使用语亡 实现基本功能,角色实体 角色实体对应数据库表项的映射配置文件 用来控制调用何种数据接口类中的方法的 类,以及和数据库 国科技论文在线 进行交互的 类 )权限操作设计 主要包括权限实体 权限实体对应数据库表项的映射配置文件 ,以及和数据库进行交互的 类 权限管理框架的实现 登陆实现 登录实现过程中类之间的调用关系、参数传递过程示意图如图所示 ndex. jsp False Pasasyond Login Action ksancceu User isp laseRbeam Gemme NULL Parwan UserDao UTaerBean Lemme UserBean NULL Datasource 图登录过程示意图 脊录页面使用实现,采用 方法向传递 类传递用户名和密 码参数 类继承了 类,并覆盖了父类中的 方法。方法的 具体实现为:新建一个用户实体 将传递来的参数用户名密码赋值给新建的实体, 调用用户数据处里类 的 和 方法返回用户详细信息。如果 该用户合法,则返回详细信息后的实体被置入 ,同会话中可以直接访问; 如果不存在该用户名密码对应的用户则返回为空。 用户操作实现 针对用户操作的所有功能实现,需要进行的类之间的调用关系以及参数 的传递 示意图如图所示: 国科技论文在线 User. i UserModify Addo [DelO User Action Madu) Listo Emad Celd Ennateruune arren PaaswuMRoIs] Role narod NUIL SerbIan Data sourc 图用户操作过程小意图 实体类中定义了整个项目中要使用到的实伓的所有私有属性,以及对应 的访问和赋值方法,所有针对用广操作的对象都是 。实体类是整个项目框架中包 括传递、判断、调用以及返回等各种操作时的对象,是完整的信息封装体和载体,所以在项 目中的利用率是最高的。在实体类的实现中,由于经常涉及到类型转换等会抛出异常的错误, 所以在实现的时候在实体类的最外部加上了 来完成编译时 的控制,将所有类型转换的异常全韶忽略,这样做有助于提高运行时的效率 类是和前台即视图层交互的接口,负责将视图层传递来的数据加以处理并调 用对应的类接口实现操作。该类继承了 类,并覆盖了父类中的 万 类是所有用户操作与数据库交互的接口,对于数据库的增加、删除、修改和査 询操作都是在该类中实现的,木来繁琐的数据库交互语句因为使用了 而变得 简单易懂,代码量也减少很多。 角色操作实现 对角色操作的所有功能实现,需要进行的类之间的调用关系以及参数、的传递示 意图如图所示: Role. jsp rolelnpu哩p RoleMod fy jsp RaleNrynel Role RoleNnme DupliN Morill do Delo Role Action Modo Listo a lEu Displ Name Aunty SLEL lAdo)(Delo) RoleDao odo Listo RoleBean Datasource 图角色操作过程示意图 实体类中定义了整个项日中要使用到的实体的所有私有属性,以及对 国科技论文在线 的访问和赋值方法,所有针对角色操作的对象都是 。和用户实体类 类似, 角色实体类 整个顼目框架中包括传递、判断、调用以及返回等各种角色操作时的 对象,是完整的角色信息封装和载体。 类和 类也与 类和 类的具体实现一致。 权限操作实现 由」权限操作并不需要用户直接进行交互,所以权限操作没有设计视图层界面,只有对 应的实体类、类等。 实体类中定义了整个权限实伓对应的私有属性,以 及对应的访问和赋值方法,所有针对权限操作的对象都是 类是 所有权限操作与数据库父互的接凵,无论是对于数据库的增加、删除、修改或是査询都是在 该类中实现。 结论 权限管理框架至此凵经实现了所有功能,但是在实现的过程中仍然存在一些问题和可以 改进的地方。 关于模型的选用:由于稳定性和安全性的要求,本次设计的权限管理框架采用了最为稳 定成熟的基本模型,仅实现了基本功能。 关于数据库访问效率的提高:数据库存储方面,由于本次权限管理框架中涉及到的数据 库表仅包含用户、角色和权限三个表以及两个关联关系表,存储所需空间以及数据数量级较 小,所以在易用性和查询效率间权衡,使用 读取用户或者角色数据的时候关闭了延 迟加载。如果扩展设计框架,数据存储量提升的情况下,则应当考虑延迟加载的应用来避免 数据库操作的延迟过大,同时可以考虑为适当的数据库表增加索引来提高数据查询效率 关于异常的抛岀:程序执行中的异常应该尽量早的抛出,尽量晚的捎获。为了准确定位 异常抛出的位置,抛出异常的原因以及异常的种类,应当按照这样的原则进行异常处理。本 次框架设计中的代码量较小,系统异常位置较为明显,由于异常的抛出和捕获以及调试观察 会极大的影响系统效率,所以本次设计实现采取编译时控制的方式,将所有类型转换异常抛 岀关闭。在异常抛出和捕获的过程中,在捕获方法内添加提示性语句输岀到控制台,可以在 项目运行时随时监控和观察项目状态,避免切换调试状态,为项目监控提供便利。 系统灵活性和扩展性的要求需要同时满足安仝性、可靠性和实用性,并在:三者之间取得平衡, 本次设计中重点关注的是安仝性和可靠性,如果关注的重点变更,则应当对系统中部分代码 加以修改以满足要求。 参考文献 丁振国,吴环宇在治理信息系统中的应用微计算机信息(管控一休化),, 林信良 技术于册北京:电子工业出版社,

...展开详情
试读 7P 论文研究-基于基本RBAC模型的权限管理框架的设计与实现 .pdf
img

关注 私信 TA的资源

上传资源赚积分,得勋章
    最新推荐
    论文研究-基于基本RBAC模型的权限管理框架的设计与实现 .pdf 9积分/C币 立即下载
    1/7
    论文研究-基于基本RBAC模型的权限管理框架的设计与实现 .pdf第1页
    论文研究-基于基本RBAC模型的权限管理框架的设计与实现 .pdf第2页
    论文研究-基于基本RBAC模型的权限管理框架的设计与实现 .pdf第3页

    试读已结束,剩余4页未读...

    9积分/C币 立即下载 >