【正文】 rolenum,String roletype) {boolean flag = false；try {pstmt = con.prepareStatement(insert into p_jsb(jsid, jsmc, jsms, jsxyhzds, jslx) + values(,?,?,?,?))；24(1, rolename)；(2, roledes)；(3, rolenum)；(4, roletype)；()；flag = true；} catch (SQLException e) {()；flag = false；} finally {()；}return flag；}/** 更新某個角色的信息 */public boolean ChgrolebyId(String rolename, String roledes, String rolenum,String roleid) {boolean flag = false；try {pstmt = con.prepareStatement(update p_jsb set jsmc=?,jsms=?,jsxyhzds=? where jsid=?)；(1, rolename)；(2, roledes)；(3, rolenum)；(4, roleid)；()；flag = true；} catch (SQLException e) {flag = false；()；} finally {()；}25return flag；}……} 為用戶設置角色添加完系統(tǒng)功能，建立好權限節(jié)點，此時節(jié)點和系統(tǒng)的功能關聯在一起；建立好角色并為某個角色分配好節(jié)點之后，系統(tǒng)角色與系統(tǒng)的功能就建立了關聯，最后一步就是將系統(tǒng)用戶和建立的系統(tǒng)角色建立關聯，為某用戶設置某一角色，設置好之后，該用戶就可以獲取該角色關聯到的所有系統(tǒng)功能。用來實現這一功能的 Java 類是 ，具體實現代碼如下。public class dbOp extends DBOperator {/** * 為一組用戶設置角色 */public boolean insertYhJs(String jsid, String yhid[]) {String sql = ；boolean b = false；try {for (int i = 0； i ； i++) {sql = insert into p_yhjsb (jsid, yhid) values (39。 + jsid+ 39。,39。 + yhid[i] + 39。)；(sql)；}b = true；} catch (Exception e) {(e)；b = false；}return b；}/** * 刪除用戶角色26 */public boolean deleteYhJs(String yhid, String jsid) {boolean b = false；String sql = delete p_yhjsb where yhid = 39。 + yhid + 39。 and jsid = 39。+ jsid + 39。；try {PreparedStatement delete_stm = (sql)；()；()；b = true；} catch (Exception e) {(e)；b = false；}return b；}……} 用戶權限功能樹的生成 在實現了 RBAC 模型的 Web 系統(tǒng)中，每個用戶（設置好某個系統(tǒng)角色之后）登陸成功之后，會在頁面的左側看到相應的權限功能樹，即表示該用戶對系統(tǒng)擁有的管理和使用權限。權限功能樹的生成，需通過如下幾個步驟：（1）首先根據用戶的 ID 獲取該用戶的角色 ID，有了角色 ID 之后，接著要根據角色 ID 獲取該角色 ID 對應的權限 ID，有了權限節(jié)點 ID，就可以獲取該節(jié)點 ID 下對應的所有功能。實現代碼如下。/** * 獲得用戶的權限樹 */public ArrayList getUserTree(String userId) {ArrayList array = new ArrayList()；27String sql = select p_jdb.* from (select * from ( select * from p_yhjsb where yhid=39。+ userId+ 39。)b, p_jsjdb where + = )yhjs, p_jdb where =；try {query_statement = sql；result = null；result = ()；while (()) {oneTree oree = new oneTree()；((jdid))；((jdmc))；((fjdid))；((jdms))；(oree)；String jdid = (jdid)；(jdid, array)；／／ 對某個節(jié)點進行處理}} catch (Exception e) {}return array；}/** * 權限樹的實體類 */ public class oneTree implements Serializable {String id； // 中節(jié)點的 IDString pid； // 上面節(jié)點的父節(jié)點String name； // 樹中節(jié)點顯示的名字String url； // 樹中節(jié)點對應的主 URLString title； // 鼠標移到節(jié)點時的提示String targer；// 點擊此 url 時新窗口出現的位置；28String icon；//String iconopen；String open；……｝（２）在獲取了該用戶的所有權限節(jié)點和功能列表后，就需要某種機制來實現在頁面上顯示成一個樹的形狀，在系統(tǒng)中使用了一個開源的 （一個用 JavaScript 實現的程序）和 （一個用來規(guī)定顯示格式的樣式表文件） ，借助它們，就可以將獲取的權限和功能列表以樹的形式顯示在頁面上。這兩個文件存在于系統(tǒng)的根目錄中。29第四章 系統(tǒng)測試 系統(tǒng)測試 測試環(huán)境測試環(huán)境下使用的操作系統(tǒng)是 Windows XP(SP2 )，cpu 為 P4 ，內存 256 兆。軟件環(huán)境是：Eclipse，MyEclipse，并使用 SWT Designer 作為Eclipse 的插件。Web 服務器是 Tomcat，開源軟件。使用的后臺數據庫服務器是 Oracle9i，提供了數據的安全性和穩(wěn)定性。 測試方案為了驗證 RBAC 模型在具體系統(tǒng)中的訪問控制效果，進行了如下的測試。（１）合法用戶的合法登陸假定系統(tǒng)中存在公司經理（為經理設置了經理的角色） ，某員工張三（為其設置了員工的角色）和系統(tǒng)的管理員（為其設置了系統(tǒng)管理員的角色） ，在他們輸入了正確的用戶名和用戶密碼后，將分別進入如下圖所示的頁面。圖４－１　公司經理登陸成功看到的操作界面30圖４－２　公司員工張三登陸成功看到的操作界面圖４－３　系統(tǒng)管理員登陸成功看到的操作界面（２）非法用戶的訪問存在三種情況，其一是用戶名是錯誤的，即該用戶不被系統(tǒng)承認；其二是合法用戶的登錄密碼錯誤；最后一種是用戶名是非法的，密碼也是錯誤的。31圖４－４　非法用戶登陸時看到的操作界面（３）合法用戶的登陸（未設置角色）假定有員工王五，但是還沒有為他設置系統(tǒng)角色，那么他登陸后將看到如圖４－５所示的頁面。圖４－５　合法用戶（未設置角色）登陸后看到的頁面32 總結與展望基于角色的訪問控制模型 RBAC 是目前主流的訪問控制模型，它比傳統(tǒng)的自主訪問控制和強制訪問控制更優(yōu)越，同時也提供了更高的靈活性和擴展性。RBAC 訪問控制模型實現了用戶與訪問權限的邏輯分離，減少了授權管理的復雜性，降低了管理開銷和管理的復雜度。對于現在規(guī)模日益增大的基于 B/S 架構的信息管理系統(tǒng)來說，采用 RBAC 訪問控制模型的訪問控制模塊將會起到越來越大的作用。本文分析 MVC 商務網站系統(tǒng)的特點和優(yōu)勢，并就在網站訪問控制上將強制訪問控制、自主訪問控制與當前廣泛使用的 RBAC 模型進行了分析和比較，得出RBAC 模型在ＭＶＣ應用系統(tǒng)中的優(yōu)勢，并根據最新的商務網站需求，提出了一個改進的 RBAC 模型，介紹了該模型的定義和特點，并給出了一個利用該模型設計的一個企業(yè)商務管理系統(tǒng)的實現。本方案有足夠的靈活性，對 Web 頁面的控制能達到較好的效果。為更真實的描述現實，ERBAC 模型增加了許多的控制機制。如對頁面多維度和細粒度控制，對角色、功能、節(jié)點的靜態(tài)限制和對角色的動態(tài)限制。對頁面的限制主要是限制用戶在特定時間和特定地點所能看到的功能和所能進行的操作。其他限制主要是在功能被賦予節(jié)點時、節(jié)點被賦予角色時和角色被賦予用戶時的限制。模型中有了這些限制才更完整、更真實地反應現實，從而使實際模型細化的過程更加平滑，現實和計算機實現策略達到較好的融合。另一方面，RBAC 在實際 Web 應用中仍存在一些不足，比如它進行了過多的抽象，對現實的模擬不夠。本文通過改進的 RBAC 模型對這些不足提出一些局部解決方案。除此之外，在對 RBAC 功能的擴展中還有些是很值得去研究的，比如角色生存周期以及角色根據狀態(tài)動態(tài)變更權限等。但是由于本模型實現時的數據是以關系表的形式存儲在 ORACLE 數據庫中的，雖然實現起來簡單方便，但是環(huán)境配置要求較高，且不利于向其它數據庫的移植。下一步的工作目標是用 MYSQL 或 SQLSERVER 來存儲模型實現數據，基于STRUTS 開發(fā)一個 RBAC 標簽庫，利用標簽來進一步進行 Web 頁面的訪問控制。33 致謝漫長的四年大學生活就要結束了。在我即將離開之際，回首過去，感慨萬千。在這里我要感謝各科目的老師對我的辛勤栽培，感謝同學朋友對我的鼓勵，感謝母校能夠提供給我這么良好的學習環(huán)境，特別要感謝陸悠老師在長達半年的畢業(yè)設計期間對我的指導和教誨，沒有他們就沒有我的這篇畢業(yè)論文。相信我在踏上社會這個大舞臺后，一定不會辜負所有人的期望，走出屬于自己的一片天！34參考文獻[1] Sandhu R S, Coyne E, Feinstein H, et al. RoleBased Access Control Models. IEEE Computer, 1996,29(2)：3847[2]倪晚成、劉連臣、劉偉，基于角色—頁面模型的 WEB 用戶訪問控制方法[J].計算機工程與應用，2022，21 125~126[3] 甘泉，賀也平，韓乃平. 一種改進的基于角色的訪問控制. 《計算機工程》 ，2022(7)：140142[4] 郭慧，李陽明，王麗芬. 基于角色和任務的訪問控制模型的設計與研究. 《計算機工程》 ，2022(16)：143145[5] 李沛武，盧正鼎. RBAC 角色區(qū)間的封裝和分布式管理. 《小型微型計算機系統(tǒng)》 ，2022(2)：252255[6] 孫永，王雄. 一種域增強的 RBAC 模型及其管理模型. 《計算機工程與應用》 ，2022(6)： 6064[7] (美)史迪文斯(Stevens,.) . UNIX 環(huán)境高級編程．機械工業(yè)出版社，2022[8] 孫衛(wèi)琴，李洪成．Tomcat 與 Java Web 開發(fā)技術詳解．電子工業(yè)出版社，2022[9] 孫衛(wèi)琴．精通 Struts：基于 MVC 的 Java Web 設計與開發(fā)．電子工業(yè)出版社，202235附錄 A：英文原文RoleBased Access Control for the WebJohn F. Barkley, D. Richard Kuhn, Lynne S. Rosenthal, Mark W. Skall, and Anthony V. Cincotta,National Institute of Standards and Technology Gaithersburg, Maryland 20899 ABSTRACT Establishing and maintaining a presence on the World Wide Web (Web), once a sideline for . industry, has bee a key strategic aspect of marketing and sales. Many panies have demonstrated that a well designed Web site can have a positive effect on their profitability. Enabling customers to answer their own questions by clicking their way through Web pages, instead of dealing with operators and voice response systems, increases the efficiency of the customer interface. One of the most challenging