论文研究-面向方面的权限管理研究 .pdf

所需积分/C币:7 2019-08-17 01:05:28 229KB .PDF

面向方面的权限管理研究,陈玉良,孟祥武,本文介绍了基于角色的访问控制理论RBAC和面向方面编程AOP的基本概念,并将二者结合用于系统权限管理。实践表明,该技术使业务逻辑��
山国武技记文在线 个连接点到达时所执行的代码,包括 类型。这些是 的动态组成部分。 同时包括多种类型的内部类型定义,它们允许程序员修改程序的 内部结构,也就是类的成员和类之间的关系 是横切关注点的模块化,它们类似于 类,但是可能还包括 和 。图说明了的 基本概念 通知 切 入 程序执行 连接点 图应用方面 权限管理 主要功能 权限管理一般包括授权、鉴权和访问控制三大功能。它们共同的棊础是系统中的资源和 在这些资源上的操作。授权,形式化表小系统资源和操作并且分配这些权限,可将这些权限 信息保存在数据库或文件中;鉴权,收集用户的信息,查询权限信息,若验证通过则鉴权成 功;访问控制,在用户和资源之间提供种访问控制能力,当用户请求访问系统中的资源或 执行某些操作时,根据权限判断用户是否具有该能力 授 用户 角1鉴权伯色 页面1 页面2 执行操作 捅入 访问控制 是一足台具有权限 允许执行 显小纸果 返空值 图一次操作的权限管理 山国利技记文在线 授权 根据 基木思想,定义系统的儿种角色,每个角色的权限存在权限数据库或文件 中。同时,可以在 其础上进行简单的扩展,定义用户组,权限分配是以用户组为单 位的;将角色分配给用户组,然后将用户指定在某用户组中。引入用户组的目的是为了授权 的清晰和简化,把角色和用户组分开,用户组代表企业的真正的组织机构,角色是对应于 组权限的集合。这样系统在支持对人员授权的基础上,根据企业部门员工的实际职能,支持 对整个部门授权。这样既简化了授杈管理,又有较大的灵活度。 图对 的扩展 鉴权 负责收集用户的脊录信息,如用户名、密码、登陆时间及地址等,然后调用用户鉴 权的相关方法,验证通过后返回角色相应的页面给用户,并且将用户的安全上下文保存在当 前对话中,供访问控制使用。主要代码举例 类用」收集用户登录时的信息 将用户名和密码保存在 类中,在此还可保存用户的一些其它信息 是定义的安全上下文类, 方法验证用户并确认权限,并将 这些信息保存在安全上下文中以后可以通过该 获得用户及其权限信息 访问控制 访问搾制通过的方式来实现。当用户访问系统资源或者执行某些操作时,系统自 动调用访问控制功能来判断用户是具有该权限,在具体的业务方法中无需编写访问控制代 码。首先把基于相同访问控制策略的业务方法都放在一个包中,例如 包中。假 设业务都定义在对应类的 方法中执行,则可以定义以下切入点: 然后定义 类型的 ,来影响前面定义的 所描述的 代码的 执行 代码专门用于权限访问控制,在具体的业务方法执行前自动执行。 获得保存的安全上下文,取出用户的权限信息,用于决定是否执行该用户的请求 山国武技文在线 保存需要进行访闩控制的业务的名称,可以将之与数据库或文件中的权 限信息进行比较,若匹配则允许执行用户请求,若不匹配则抛岀异常或执行某种操作,具体 由 方法实现 可,应用之后,每个业务逻辑都放在一个地方,而不是分散到代码的各个角落 与访问控制相关的代码被模块化到特定的方面中,使权限管理的条理更加清晰。当需要在新 的业务方法中使用访问控制功能吋,只需将业务类放在合适的包中即可,而无需在业务方法 中增加权限管理代码ε同时,当访问控訇策眳发生变化的时候,我们只需改变访问控制代码, 系统其它的代码无需做任何改变,降低了耦合度,提高了灵活性。 总结 木文介绍了 和的基木技术并将二者结合用于权限管理。实验证明,此方法 使权限管炟问题变得容易解决:集中控制权限,降低了代码冗余;业务逻辑和访问控制处于 不同的模块中,具有更好的模块化;增加新的业务功能时可以使用现有的访问控制代码,具 有可扩展性:访问控制策略变化时只需修改访问控制代码,具有可维扩性。另外,权限管理 是安全问题中的一个很重要方面,还有许多工作要做,比如权限粒度的划分和权限管理的效 率等,这些问题还需要进一步研究。 参考文献 郭锋.《从入门到精通》.北京:清华出版社, 》 中文版》.李磊,程立,周悦虹.北京:人民 邮电出版社, 代文龙.《权限系统慨要》 冰

...展开详情
img

关注 私信 TA的资源

上传资源赚积分,得勋章
最新资源