【正文】 ...........................................................................................................................................2 MVC概述 ........................................................................................................................................................ 2 RBAC 模型概述 ............................................................................................................................................. 3 RBAC 原理簡介 ...................................................................................................................................3 RBAC 適用性分析 ...............................................................................................................................5 RBAC 在 MVC中的應(yīng)用現(xiàn)狀 ....................................................................................................................... 6 第二章 系統(tǒng)框架分析與設(shè)計(jì) ..............................................................................................................................9 基于 MVC架構(gòu)的 WEB系統(tǒng) ......................................................................................................................... 9 RBAC 模型的建立 ...................................................................................................................................... 11 RBAC 模型在 MVC網(wǎng)站中的應(yīng)用 ............................................................................................................ 12 第三章 設(shè)計(jì)實(shí)現(xiàn) ................................................................................................................................................. 14 RBAC 框架實(shí)現(xiàn) ........................................................................................................................................... 14 RBAC 模型在系統(tǒng)中的實(shí)現(xiàn) ..................................................................................................................... 17 系統(tǒng)功能模塊的實(shí)現(xiàn) .................................................................................................................... 17 系統(tǒng)權(quán)限模塊的實(shí)現(xiàn) .................................................................................................................... 21 系統(tǒng)角色模塊的實(shí)現(xiàn) .................................................................................................................... 23 為用戶設(shè)置角色 ............................................................................................................................. 25 用戶權(quán)限功能樹的生成 ................................................................................................................ 26 第四章 系統(tǒng)測試 ................................................................................................................................................. 29 系統(tǒng)測試 ..................................................................................................................................................... 29 測試環(huán)境 .......................................................................................................................................... 29 測試方案 .......................................................................................................................................... 29 總結(jié)與展望 ................................................................................................................................................ 32 致謝 .............................................................................................................................................................. 33 參考文獻(xiàn) ................................................................................................................................................................. 34 附錄 A：英文原文 ................................................................................................................................................ 35 附錄 B：中文翻譯 ................................................................................................................................................ 41 1 引 言 本此 畢業(yè)設(shè)計(jì)將基于角色訪問控制（ RoleBased Access Control， RBAC）作為研究課題，來實(shí)現(xiàn)一個(gè)企業(yè)內(nèi)部管理系統(tǒng)中的權(quán)限管理部分。本文從 MVC 架構(gòu)商務(wù)管理系統(tǒng)的需求出發(fā)，首先分析了幾種訪問控制的優(yōu)缺點(diǎn)，在此基礎(chǔ)上提出了利用 RBAC 模型來進(jìn)行系統(tǒng)的訪問控制。從而在一定程度上提高工作 和管理效率，降低生產(chǎn)和管理成本。 （ 4） 潛在的框架結(jié)構(gòu)。對信息的科學(xué)管理，應(yīng)該是最高 層的用戶擁有對信息最高的權(quán)限，而處于底層或次底層的用戶僅擁有對信息最少的權(quán)限。該模型中給出了一種集中式管理的 RBAC管理方案。 角色（ Role）：一定數(shù)量的權(quán)限的集合。用戶通過被指派到角色間接獲得訪問資源的權(quán)限。一次會話是用戶的一個(gè)活躍進(jìn)程，它代表用戶與系統(tǒng)進(jìn)行交互，也叫主體（ Subject）。當(dāng)一個(gè)主體預(yù)訪問某資源時(shí)，如果該操作不在主體當(dāng)前活躍角色的授權(quán)操作之內(nèi)，該訪問將被拒絕。其他限制主要是在功能被賦予節(jié)點(diǎn)時(shí)、節(jié)點(diǎn)被賦予角色時(shí)和角色被賦予用戶時(shí)的限制。例如，管理部門內(nèi)部事務(wù)所對應(yīng)的頁面通常對用戶所在的訪問位置有較嚴(yán)的限制。在 RBAC 模型中，可以利用角色與系統(tǒng)中的所有權(quán)限關(guān)聯(lián)，使得某種角色具有某種特定的權(quán)限，從而在為用戶設(shè)定好相應(yīng)的角色之后，也就意味著得到了相應(yīng)的系統(tǒng)權(quán)限。 對于文本型輸入，如果要進(jìn)行 檢查，就得根據(jù)字段本身的性質(zhì)進(jìn)行。 （ 4）數(shù)據(jù)備份 7 一般采用數(shù)據(jù)庫系統(tǒng)自動定時(shí)備份、定時(shí)自動刪除幾天以前的數(shù)據(jù)等，即可完成數(shù)據(jù)的備份功 能。然而，對于多數(shù)組織來說，最終用戶對所訪問的信息沒有擁有權(quán)。用戶的程序不能改變他自己及任何其它客體的敏感標(biāo)記，從而系統(tǒng)可以防止特洛伊木馬的攻擊。用戶具有指派的角色（比如醫(yī)生、護(hù)士、出納、經(jīng)理）。運(yùn)用 RBAC 模型可以很好的解決 Web 系統(tǒng)中提出的訪問控制要求，而 DAC、 MAC 等等訪問控制技術(shù)由于各種各樣的局限性和特性，都不是 WEB 系統(tǒng)下實(shí)現(xiàn)訪問控制的最好選擇。 員工工資管理模塊：針對公司內(nèi)部的所有的員工的薪酬進(jìn)行管理，用戶可以方便地添加工資信息、修改工資信息、刪除工資信息和查詢某一員工在某段時(shí) 間內(nèi)的所有工資信息。 部分信息的保密。使用這種架構(gòu)一方 面便于系統(tǒng)的開發(fā)和管理；另一方面，層與層之間的開發(fā)幾乎是完全獨(dú)立的，從而降低了數(shù)據(jù)在各層之間的耦合性，提高了系統(tǒng)的可維護(hù)性和可擴(kuò)展性。 權(quán)限：對系統(tǒng)中的客體進(jìn)行特定存取的許可。通過在商務(wù) Web 系統(tǒng)中使用 RBAC 模型可以方便、科學(xué)、合理地進(jìn)行訪問控制，有了良好的訪問控制，不同的用戶在使用系統(tǒng)的時(shí)候僅能訪問自身被賦予的權(quán)限，用戶之間不能越權(quán)訪問，從而保證了信息的安全性和一致性，從而提高了系統(tǒng)的安全性。將角色與節(jié)點(diǎn)對應(yīng)起來，一個(gè)角色可以對應(yīng)多個(gè)節(jié)點(diǎn)，一個(gè)節(jié)點(diǎn)也可以對應(yīng)多個(gè)角色，這是一個(gè)多對多的關(guān)系。最后，將用戶甲的角色設(shè)定為角色 A，用戶乙的角色設(shè)定為角色 B。 LDAP 方式可以保證數(shù)據(jù)的安全和完整性，但使用不方便，普及程度也不高；數(shù)據(jù)庫方式是業(yè)界比較認(rèn)可的主流存儲方案，而且現(xiàn)在的數(shù)據(jù)庫技術(shù)也比較成熟，是較為理想的選擇。 表 33 用戶角色表 編號 列名 類型 長度 說明 約束 1 *YHID VARCHAR 8 用戶 ID 2 *JSID VARCHAR 5 角色 ID P_GNB 功能表 存放權(quán)限，一條記錄就是一個(gè)權(quán)限，一個(gè)權(quán)限指的是一個(gè)用戶可以使用的一個(gè)功能項(xiàng)，在表中記錄了該權(quán)限對應(yīng)的主 URL。 表 37 節(jié)點(diǎn)功能表 編號 列名 類型 長度 說明 約束 1 ID VARCHAR 1 節(jié)點(diǎn)層次 2 *GNID VARCHAR 5 節(jié)點(diǎn) ID 3 *JDID VARCHAR 5 節(jié)點(diǎn) ID P_DEPARTMENT 企業(yè)部門表 記錄每個(gè)企業(yè)部門所包含的部門信息。 表 311 企業(yè)員工表 編號 列名 類型 長度 說明 約束 1 *WORKERBM VARCHAR 10 員工編號 2 WORKERMC VARCHAR 50 員工姓名 3 WORKERAGE VARCHAR 3 員工年齡 4 WORKERSEX VARCHAR 1 員工性別 5 WORKERADDRESS VARCHAR 200 員工地址