【正文】 + values (,?,?,?,?))； (1, nodename)； (2, ifparent)； (3, nodedes)； (4, jdnxh)； ()； flag = true； } catch (SQLException e) { ()； flag = false； } finally { ()； } return flag； } /* 修改某一個節(jié)點的信息 */ public boolean UpdateNodeInfo(String nodename, String nodedes, String nodeid) { boolean flag = false； try { pstmt = con .prepareStatement(update p_jdb set jdmc = ?,jdms = ? where jdid = ?)； (1, nodename)； (2, nodedes)； (3, nodeid)； 23 ()； flag = true； } catch (SQLException e) { ()； flag = false； } finally { ()； } return flag； } ?? } 系統(tǒng)角色模塊的實現(xiàn) 系統(tǒng)中角色的實現(xiàn)類是 ，部分代碼如下所示。 GnoperatorForm 的部分實現(xiàn)代碼如下： public class GnoperatorForm extends ActionForm { private static final long serialVersionUID = 1L； private String gnid； private String cz； private String ljxjd； private String gnmc； private String gnms； private String kfgb； private String zurl； ?? public String getGnmc() { return gnmc； } public void setGnmc(String gnmc) { = gnmc； } public String getGnms() { return gnms； } public void setGnms(String gnms) { = gnms； } ?? } 實現(xiàn)功能添加的 Action類 ,部分 實現(xiàn)代碼如下： public class GnoperatorAction extends Action { 19 public ActionForward execute(ActionMapping mapping, ActionForm form,HttpServletRequest request, HttpServletResponse response) { ActionForward nextdisplay = new ActionForward()； // 生成一個 ActionForward 對 象 String actionmappingpara = ()； // 接收ActionMaping 的參數(shù) if (gnoperator.equalsIgnoreCase(actionmappingpara)) { nextdisplay = gnoperator(mapping, form, request, response)； } else if (gnoperator_update.equalsIgnoreCase(actionmappingpara)) { nextdisplay = gnoperator_update(mapping, form, request, response)； } else if (gnoperator_getgn.equalsIgnoreCase(actionmappingpara)) { nextdisplay = gnoperator_getgn(mapping, form, request, response)； } return nextdisplay； } //完成 功能添加的實現(xiàn)方法 public ActionForward gnoperator(ActionMapping mapping,ActionForm form,HttpServletRequest request, HttpServletResponse response) { GnoperatorForm gnof = (GnoperatorForm) form； ActionForward forward = new ActionForward()； String method = (String) (method)； dbOp db = new dbOp()； (gbk)； if ((insert)) { // 新增功能 if ((gnof)) { ()； ()； ()； 20 (null)； (null)； (null)； (result, success)； forward = (success)； } else { (result, failure)； forward = (failure)； } } else if ((update)) { // 更新功能 if ((gnof)) { (result, 更新成功 )； forward = (successupdate)； } else { (result, 更新失 敗 )； forward = (failureupdate)； } } ()； return forward； } ?? } 完成功能添加的業(yè)務函數(shù)存放在 dbOp 類中，它的部分實現(xiàn)代碼如下： public class dbOp extends DBOperator { /** * 插入一個新的功能 */ public boolean insertintoGnb(GnoperatorForm gnof) { String gnmc = (())； String zurl = (())； String gnms = (())； String ljxjd = ()； boolean b = false； 21 String sql = insert into p_gnb(gnid, gnmc, gnms, zurl, cz, ljxjd, sfglip, kfgb) + values (,39。如表 37所示。文件方式的好處在于簡單直觀，存取速度最快，但不夠安全，在 RBAC 的早 期版本中，我們采用的就是文件方式。 （ 3）建立角色的概念。 客體：指系統(tǒng)需要保護的資源。當所有的用戶面對同一個系統(tǒng)時，就應該做到用戶之間要有區(qū)分，即進入系統(tǒng)后不同的用戶只能實行自身擁有的權限，不可以越權。 綜上分析，控制訪問角色的運用是一種開發(fā)和 加強企業(yè)特殊安全策略，進行安全管理過程流程化的有效手段。系統(tǒng)通過比較主體和客體的敏感標記來決定一個主體是否能 夠訪問某個客體。這不但可以避免用戶的密碼被具有系統(tǒng)管理員權限的用戶知道，而且還在一定程度上增加了密碼被破解的難度。通過在系統(tǒng)中增加角色這個概念，很好的解決了這個 6 問題。對頁面的限制主要是限制用 戶在特定時間和特定地點所能看到的功能和所能進行的操作。 會話（ Session）：用戶是一個靜態(tài)的概念，會話則是一個動態(tài)的概念?？梢允侨恕⒂嬎銠C、機器人等，一般指人。系統(tǒng)中的不同類型的用戶對信息都具有相同的權限，可以任意的修改和刪除，這對于一些重要的信息是非常危險的。 企業(yè)網(wǎng)站大部分屬于商務網(wǎng)站，企業(yè)通過利用 Web 系統(tǒng)，可以方便的發(fā)布產(chǎn)品信息，管理訂單信息，管理內(nèi)部的諸如人事、員工薪酬信息等。本文在RBAC20xx 建議標準的參考模型 (下稱 NIST RBAC 模型 )的基礎上，結合綜合信息管理系 統(tǒng)以及軟件系統(tǒng)集成的要求和特點，將 RBAC 訪問控制框架應用到一個已有的以 MVC 為架構建立而成的商務網(wǎng)站中去。 在構建 Web 系統(tǒng)之初，就要考慮系統(tǒng)的安全性，考慮用戶對系統(tǒng)的訪問控制。這兩個模型清晰的表征了 RBAC 概念并且蘊涵了他人的工作，成為 RBAC 的經(jīng)典模型。 角色激活（ Role Activation）：是指用戶從被授權的角色中選擇一組角色的過程。這樣每個用戶登錄時就可以根據(jù)角色得到一棵功能樹從而使用系統(tǒng)中的資源。用戶登錄后將用戶的類型保存到 session 中，在用戶訪問頁面時就可以根據(jù)用戶的不同類型，以及他們對時間、空間等硬性約束的滿足情況來顯示相應的功能和數(shù)據(jù)。放在會員注冊、留言本等所有客戶端提交信息的頁面，要提交信息，必須要輸入正確的驗證碼，從而可以防止不法用戶用軟件頻繁注冊，頻繁發(fā)送不 良信息等。 強制訪問控制是“強加”給訪問主體的，即系統(tǒng)強制主體服從訪問控制政策。 基于角色的訪問控制模型 RBAC 比傳統(tǒng)的自主訪問控制和強制訪問控制更優(yōu)越，同時也提供了更高的靈活性和擴展性。 系統(tǒng)角色管理模塊：用戶可以通過該模塊為系統(tǒng)中的不同的用戶設置不同的權限，并能夠修改某一用戶所賦予的權限。其核心模型如圖23 所示。在系統(tǒng)中，如對員工的添加、刪除和修改的操作，都可以描述為一個功能。系統(tǒng)中很多的地方都要存儲數(shù)據(jù)，并且其格式要求也不相同，數(shù)據(jù)量也差別較大。 表 35 角色節(jié)點表 編號 列名 類型 長度 說明 約束 1 *JSID VARCHAR 5 角色 ID 2 *JDID VARCHAR 5 節(jié)點 ID P_JDB 節(jié)點表 記錄每個節(jié)點信息。 為了完成最終的功能添加，在相應的 Action 實現(xiàn)類中，還需要調(diào)用模型層中的業(yè)務功能函數(shù)，來完成此次的業(yè)務邏輯。139。實現(xiàn)代碼如下。 （１）合法用戶的合法登陸 假定系統(tǒng)中存在公司經(jīng)理（為經(jīng)理設置了經(jīng)理的角色），某員工張三（為其設置了員工的角色）和系統(tǒng)的管理員（為其設置了系統(tǒng)管理員的角色），在他們輸入了正確的用戶名和用戶密碼后，將分別進入如下圖所示的頁面。)； (sql)； } b = true； } catch (Exception e) { (e)； b = false； } return b； } /** * 刪除用戶角色 */ 26 public boolean deleteYhJs(String yhid, String jsid) { boolean b = false； String sql = delete p_yhjsb where yhid = 39。139。 表 310 企業(yè)員工工資 表 17 編號 列名 類型 長度 說明 約束 1 *ID NUMBER 工資帳單序號 2 SALARY_NUM VARCHAR 10 工資帳單金額 3 WORKERBM VARCHAR 10 員工編號 4 SALARY_DATE DATE 工資帳單發(fā)放日期 1 P_WORKER 企業(yè)員工信息表 記錄每個企業(yè)員工的信息。 表 32 角色表 編號 列名 類型 長度 說明 約束 1 *JSID VARCHAR 5 角色 ID 2 JSMC VARCHAR 50 角色名稱 3 JSMS VARCHAR 200 角色描述 可為空 15 4 JSXYHZDS NUMBER 10 此角色下的用戶最大數(shù) 可為空 5 JSLX VARCHAR 1 角色類型 P_YHJSB 用戶角色表 用于記錄用戶角色指派的內(nèi)容，即記錄每個角色被賦予了哪些用戶。 舉例來說，假設系統(tǒng)中存在兩個權限 節(jié)點 1和 2，兩個角色 A 和 B，用戶有甲（經(jīng)理）和乙（部門經(jīng)理），很顯然甲和乙在登陸系統(tǒng)后應該具有不同的權限，甲可以管理整個公司的信息，而乙僅能管理所在部門的信息。當今的大型的信息管理系統(tǒng)都具有 13 功能復雜，用戶眾多的特點，如果仍采用傳統(tǒng)的權限管理方式，直接將權限分配給用戶，對具有相同權限的一類用戶同樣的授權操作將被重復很多遍，一旦用戶工作崗位有變化，則對其權限的調(diào)整將非常復雜，而基于 RBAC 模型的權限控制方法則大大簡化了這種授權管理的復