在B/S架构中实现对用户权限有效性控制的一种方法-不知不识网

摘要

定义对象的权限则决定了在不同情况具有不同的访问类型。基本角色的管理在于为各类对象定义成访问权限，把角色、权限有机联系。系统中，要依照运用需求不同，给不同工作岗位构建对应角色，并依照用户责任、职务拟派适合角色。由此，用户通过所拟派角色获对应权限来实现对文件访问。

【关键词】用户权限角色访问控制模块

自主访问控制模型，即Discretionary Access Control，简称DAC，以及强制访问控制模型，即Mandatory Access Control，简称MAC，均属于难以满足复杂的企业环境需求的传统访问控制方法。目前，符合企业用户、数据、运用特点的是实现用户访问权限的逻辑分离。

（1）对权限管理进行简化，最大限度避免直接在数据、用户间进行授权或取消处理；

（2）对职责合理的划分有利，用户只有对应的权限。而这样可让越权行为降至最低；

（3）对权力滥用进行制约。敏感工作分配给不同的几个用户一起完成，需要合作操作序列则不可只由一个单个用户完成。

1 访问控制目标

用户系统是软件管理核心，其具有以下两个方面的作用：

（1）对用户资源进行分析，同时规定操作功能权限、数据边界；

（2）维护并管理数据及系统安全。目标包括：系统操作人员根据系统的“角色-用户”的织管理，角色=用户集合（同类用户组），不同角色有不同类型用户。同时界面及菜单初始化，实现用户个性化界面并方便操作，提升用户管理的系统能力。最后是数据的安全性，用户在规定功能权限内只可管理自己数据。功能类型包括了功能按钮、屏幕菜单等，角色类型则包括了几个级加盟，如经理、主管、员工级别。

2 系统的处理流程

对于系统的控制现实路径在于开发人员，对每个功能模块控制实现。此设计当中角色将一些功能总体集合，用户可有某个角色，也可直接某个功能给予此用户。权限控制体现在界面菜单、工具栏方面。不同权限级用户在登录系统之后，并不会看到不同工具栏或是腰间，当进到另一个功能界面之后，可控制界面上每个组件的状态，权限也决定了此组件的可用性等等。

3 模块设计思想

访问控制策略是应用系统必须考虑的问题。在B/S架构中实现对用户权限有效性控制属于新型的讯问类的控制模型，其不单可实现传统访问控制功能，也可方便权限管理。为了适应系统不同需求可进行灵活配置，提升系统延展性。

为了实现在B用户权利的控制的有效性的基本思路B/S架构是挂在系统中创建根据不同的作业的应用需要一个相应的角色的权限和角色（准许），在根据分配给合适的角色的用户的义务和责任同时，该角色作为与桥权限的用户，用户也通过了相应的权限分配的角色，实现对文件的访问。在与上一两多关系的形成角色和角色和权限用户授权的。该系统提供的角色定义工具允许用户根据自己的需要来确定合适的角色。有继承的角色之间的对应关系，当一个字符继承另一个角色R1 R2，R1 R2自动访问（表明R1-> R2）。角色继承反映了一个组织内的自然权利和责任之间的关系，为方便权限管理提供了帮助。角色继承提供了手段，以扩大现有的和分类的作用，这样就可以定义通过增加父母角色执行现有角色的基础上的新角色扩大权力来定义子角色，划分不同的子角色继承相同作用来体现。它也允许多重继承，即一个角色继承了多个的角色，多重继承反思的综合能力中的作用。角色是一组集合的访问权限，用户可能很多角色的成员，一个角色还可以具有许多特权，和一个特权中多个角色被重新配置。权限配置文件的工作是工作的一个步骤权威的组织角色，其委托后，相应的权限才能有实际意义。权限系统由创造权限（Creator）、分配权限（Administrator）、使用权限（User）构成。

4 数据库结构设计和建立

4.1 数据库逻辑结构

角色根据按部门或机构进行划分的，系统管理员赋给角色一定的权限。登录时可以两种属性进行登录，即用户、角色，根据角色得到用户的权限，登录后进行初始化。数据库逻辑结构主要实现两个方面的任务：一是访问控制的实体对象设计，包括对象的属性；二是实体之间的关系设计，也就逻辑关系设计。按照角色控制理论和方法，用户=角色成员，角色=用户组合，即一个角色可包含多个用户，一角色可以具有多项目功能，可以是系统功能的子集。

4.2 物理结构设计

数据库的物理结构的设计主要是选择用于环境（包括存储结构，触发器和访问方法），用于所述数据库的逻辑结构模型的物理结构中最适合的。数据库最终被存储在物理设备上。上称为数据库的物理结构的物理设备的存储结构和访问方法数据库，它依赖于给定的计算机数据库管理系统。对于给定的逻辑数据模型来选择最合适的环境的应用过程的物理结构。数据库结构的物理设计分为两个步骤。使用SQL Server 2000数据库系统的数据库管理系统的物理数据模型；对于物理结构设计评价的结构，重点是时间和空间效率。也就是说，如果评价结果符合原始设计要求，可以输入到物理实现阶段，否则，则需要重新设计或修改的物理结构，有时甚至以返回到逻辑设计阶段到修改的数据模型。

5 模块的实现

登录系统用户在此页面登录，系统做出判断，不同用户被赋予不同权限，主页面针对不同用户初始化页面，根据其权限屏蔽某些功能和页面。

首先创建ASP应用程序，但是真正具有应用程序执行功能的是一个称作global.asa的特殊文件。它是存放在WEB应用程序根目录下的一个文本文件，在该文本文件中，可以定义各种事件、利用这些事件，可以运行自己的代码，或者创建贯穿于整个应用程序寿命周期或者来访者逗留期间的变量。

6 总结

在B/S架构中实现对用户权限有效性控制，对一组用户访问控制，也单个用户进行访问来说，控制更加合理，用户组代表具有相似工作性质的用户集，可拟派完成用户组工作角色以此来控制用户组权限范围。同时，支持角色继承、多继承。通过优化用户当前的角色集可对用户权限进行改变，而改变某类角色所包含的权限时，又可改变另一组用户权限。

参考文献

[1]李严等.ASP数据库开发实例[M].北京：机械工业出版社，2005.

[2]曹天杰，张永平.管理信息系统中基于角色的访问控制[J].计算机应用，2001（8）：21.

作者单位

浙江沪杭甬高速公路股份有限公司杭州管理处浙江省杭州市 310000