【正文】 + values (,?,?,?,?))； (1, nodename)； (2, ifparent)； (3, nodedes)； (4, jdnxh)； ()； flag = true； } catch (SQLException e) { ()； flag = false； } finally { ()； } return flag； } /* 修改某一個(gè)節(jié)點(diǎn)的信息 */ public boolean UpdateNodeInfo(String nodename, String nodedes, String nodeid) { boolean flag = false； try { pstmt = con .prepareStatement(update p_jdb set jdmc = ?,jdms = ? where jdid = ?)； (1, nodename)； (2, nodedes)； (3, nodeid)； 23 ()； flag = true； } catch (SQLException e) { ()； flag = false； } finally { ()； } return flag； } ?? } 系統(tǒng)角色模塊的實(shí)現(xiàn) 系統(tǒng)中角色的實(shí)現(xiàn)類是 ，部分代碼如下所示。 GnoperatorForm 的部分實(shí)現(xiàn)代碼如下： public class GnoperatorForm extends ActionForm { private static final long serialVersionUID = 1L； private String gnid； private String cz； private String ljxjd； private String gnmc； private String gnms； private String kfgb； private String zurl； ?? public String getGnmc() { return gnmc； } public void setGnmc(String gnmc) { = gnmc； } public String getGnms() { return gnms； } public void setGnms(String gnms) { = gnms； } ?? } 實(shí)現(xiàn)功能添加的 Action類 ,部分 實(shí)現(xiàn)代碼如下： public class GnoperatorAction extends Action { 19 public ActionForward execute(ActionMapping mapping, ActionForm form,HttpServletRequest request, HttpServletResponse response) { ActionForward nextdisplay = new ActionForward()； // 生成一個(gè) ActionForward 對(duì) 象 String actionmappingpara = ()； // 接收ActionMaping 的參數(shù) if (gnoperator.equalsIgnoreCase(actionmappingpara)) { nextdisplay = gnoperator(mapping, form, request, response)； } else if (gnoperator_update.equalsIgnoreCase(actionmappingpara)) { nextdisplay = gnoperator_update(mapping, form, request, response)； } else if (gnoperator_getgn.equalsIgnoreCase(actionmappingpara)) { nextdisplay = gnoperator_getgn(mapping, form, request, response)； } return nextdisplay； } //完成 功能添加的實(shí)現(xiàn)方法 public ActionForward gnoperator(ActionMapping mapping,ActionForm form,HttpServletRequest request, HttpServletResponse response) { GnoperatorForm gnof = (GnoperatorForm) form； ActionForward forward = new ActionForward()； String method = (String) (method)； dbOp db = new dbOp()； (gbk)； if ((insert)) { // 新增功能 if ((gnof)) { ()； ()； ()； 20 (null)； (null)； (null)； (result, success)； forward = (success)； } else { (result, failure)； forward = (failure)； } } else if ((update)) { // 更新功能 if ((gnof)) { (result, 更新成功 )； forward = (successupdate)； } else { (result, 更新失 敗 )； forward = (failureupdate)； } } ()； return forward； } ?? } 完成功能添加的業(yè)務(wù)函數(shù)存放在 dbOp 類中，它的部分實(shí)現(xiàn)代碼如下： public class dbOp extends DBOperator { /** * 插入一個(gè)新的功能 */ public boolean insertintoGnb(GnoperatorForm gnof) { String gnmc = (())； String zurl = (())； String gnms = (())； String ljxjd = ()； boolean b = false； 21 String sql = insert into p_gnb(gnid, gnmc, gnms, zurl, cz, ljxjd, sfglip, kfgb) + values (,39。如表 37所示。文件方式的好處在于簡(jiǎn)單直觀，存取速度最快，但不夠安全，在 RBAC 的早 期版本中，我們采用的就是文件方式。 （ 3）建立角色的概念。 客體：指系統(tǒng)需要保護(hù)的資源。當(dāng)所有的用戶面對(duì)同一個(gè)系統(tǒng)時(shí)，就應(yīng)該做到用戶之間要有區(qū)分，即進(jìn)入系統(tǒng)后不同的用戶只能實(shí)行自身?yè)碛械臋?quán)限，不可以越權(quán)。 綜上分析，控制訪問(wèn)角色的運(yùn)用是一種開(kāi)發(fā)和 加強(qiáng)企業(yè)特殊安全策略，進(jìn)行安全管理過(guò)程流程化的有效手段。系統(tǒng)通過(guò)比較主體和客體的敏感標(biāo)記來(lái)決定一個(gè)主體是否能 夠訪問(wèn)某個(gè)客體。這不但可以避免用戶的密碼被具有系統(tǒng)管理員權(quán)限的用戶知道，而且還在一定程度上增加了密碼被破解的難度。通過(guò)在系統(tǒng)中增加角色這個(gè)概念，很好的解決了這個(gè) 6 問(wèn)題。對(duì)頁(yè)面的限制主要是限制用 戶在特定時(shí)間和特定地點(diǎn)所能看到的功能和所能進(jìn)行的操作。 會(huì)話（ Session）：用戶是一個(gè)靜態(tài)的概念，會(huì)話則是一個(gè)動(dòng)態(tài)的概念?？梢允侨?、計(jì)算機(jī)、機(jī)器人等，一般指人。系統(tǒng)中的不同類型的用戶對(duì)信息都具有相同的權(quán)限，可以任意的修改和刪除，這對(duì)于一些重要的信息是非常危險(xiǎn)的。 企業(yè)網(wǎng)站大部分屬于商務(wù)網(wǎng)站，企業(yè)通過(guò)利用 Web 系統(tǒng)，可以方便的發(fā)布產(chǎn)品信息，管理訂單信息，管理內(nèi)部的諸如人事、員工薪酬信息等。本文在RBAC20xx 建議標(biāo)準(zhǔn)的參考模型 (下稱 NIST RBAC 模型 )的基礎(chǔ)上，結(jié)合綜合信息管理系 統(tǒng)以及軟件系統(tǒng)集成的要求和特點(diǎn)，將 RBAC 訪問(wèn)控制框架應(yīng)用到一個(gè)已有的以 MVC 為架構(gòu)建立而成的商務(wù)網(wǎng)站中去。 在構(gòu)建 Web 系統(tǒng)之初，就要考慮系統(tǒng)的安全性，考慮用戶對(duì)系統(tǒng)的訪問(wèn)控制。這兩個(gè)模型清晰的表征了 RBAC 概念并且蘊(yùn)涵了他人的工作，成為 RBAC 的經(jīng)典模型。 角色激活（ Role Activation）：是指用戶從被授權(quán)的角色中選擇一組角色的過(guò)程。這樣每個(gè)用戶登錄時(shí)就可以根據(jù)角色得到一棵功能樹(shù)從而使用系統(tǒng)中的資源。用戶登錄后將用戶的類型保存到 session 中，在用戶訪問(wèn)頁(yè)面時(shí)就可以根據(jù)用戶的不同類型，以及他們對(duì)時(shí)間、空間等硬性約束的滿足情況來(lái)顯示相應(yīng)的功能和數(shù)據(jù)。放在會(huì)員注冊(cè)、留言本等所有客戶端提交信息的頁(yè)面，要提交信息，必須要輸入正確的驗(yàn)證碼，從而可以防止不法用戶用軟件頻繁注冊(cè)，頻繁發(fā)送不 良信息等。 強(qiáng)制訪問(wèn)控制是“強(qiáng)加”給訪問(wèn)主體的，即系統(tǒng)強(qiáng)制主體服從訪問(wèn)控制政策。 基于角色的訪問(wèn)控制模型 RBAC 比傳統(tǒng)的自主訪問(wèn)控制和強(qiáng)制訪問(wèn)控制更優(yōu)越，同時(shí)也提供了更高的靈活性和擴(kuò)展性。 系統(tǒng)角色管理模塊：用戶可以通過(guò)該模塊為系統(tǒng)中的不同的用戶設(shè)置不同的權(quán)限，并能夠修改某一用戶所賦予的權(quán)限。其核心模型如圖23 所示。在系統(tǒng)中，如對(duì)員工的添加、刪除和修改的操作，都可以描述為一個(gè)功能。系統(tǒng)中很多的地方都要存儲(chǔ)數(shù)據(jù)，并且其格式要求也不相同，數(shù)據(jù)量也差別較大。 表 35 角色節(jié)點(diǎn)表 編號(hào) 列名 類型 長(zhǎng)度 說(shuō)明 約束 1 *JSID VARCHAR 5 角色 ID 2 *JDID VARCHAR 5 節(jié)點(diǎn) ID P_JDB 節(jié)點(diǎn)表 記錄每個(gè)節(jié)點(diǎn)信息。 為了完成最終的功能添加，在相應(yīng)的 Action 實(shí)現(xiàn)類中，還需要調(diào)用模型層中的業(yè)務(wù)功能函數(shù)，來(lái)完成此次的業(yè)務(wù)邏輯。139。實(shí)現(xiàn)代碼如下。 （１）合法用戶的合法登陸 假定系統(tǒng)中存在公司經(jīng)理（為經(jīng)理設(shè)置了經(jīng)理的角色），某員工張三（為其設(shè)置了員工的角色）和系統(tǒng)的管理員（為其設(shè)置了系統(tǒng)管理員的角色），在他們輸入了正確的用戶名和用戶密碼后，將分別進(jìn)入如下圖所示的頁(yè)面。)； (sql)； } b = true； } catch (Exception e) { (e)； b = false； } return b； } /** * 刪除用戶角色 */ 26 public boolean deleteYhJs(String yhid, String jsid) { boolean b = false； String sql = delete p_yhjsb where yhid = 39。139。 表 310 企業(yè)員工工資 表 17 編號(hào) 列名 類型 長(zhǎng)度 說(shuō)明 約束 1 *ID NUMBER 工資帳單序號(hào) 2 SALARY_NUM VARCHAR 10 工資帳單金額 3 WORKERBM VARCHAR 10 員工編號(hào) 4 SALARY_DATE DATE 工資帳單發(fā)放日期 1 P_WORKER 企業(yè)員工信息表 記錄每個(gè)企業(yè)員工的信息。 表 32 角色表 編號(hào) 列名 類型 長(zhǎng)度 說(shuō)明 約束 1 *JSID VARCHAR 5 角色 ID 2 JSMC VARCHAR 50 角色名稱 3 JSMS VARCHAR 200 角色描述 可為空 15 4 JSXYHZDS NUMBER 10 此角色下的用戶最大數(shù) 可為空 5 JSLX VARCHAR 1 角色類型 P_YHJSB 用戶角色表 用于記錄用戶角色指派的內(nèi)容，即記錄每個(gè)角色被賦予了哪些用戶。 舉例來(lái)說(shuō)，假設(shè)系統(tǒng)中存在兩個(gè)權(quán)限 節(jié)點(diǎn) 1和 2，兩個(gè)角色 A 和 B，用戶有甲（經(jīng)理）和乙（部門經(jīng)理），很顯然甲和乙在登陸系統(tǒng)后應(yīng)該具有不同的權(quán)限，甲可以管理整個(gè)公司的信息，而乙僅能管理所在部門的信息。當(dāng)今的大型的信息管理系統(tǒng)都具有 13 功能復(fù)雜，用戶眾多的特點(diǎn)，如果仍采用傳統(tǒng)的權(quán)限管理方式，直接將權(quán)限分配給用戶，對(duì)具有相同權(quán)限的一類用戶同樣的授權(quán)操作將被重復(fù)很多遍，一旦用戶工作崗位有變化，則對(duì)其權(quán)限的調(diào)整將非常復(fù)雜，而基于 RBAC 模型的權(quán)限控制方法則大大簡(jiǎn)化了這種授權(quán)管理的復(fù)