web应用的权限设计实例.pdf

Web 应用的权限设计实例 撰文 / 齐咏珍 关键词 Role based Access control （基于角色的访问控制）、 XML Application Dictionary （界面元素字典化）、资源、角色 本文向您讲述一个web 应用系统中的基于RBAC 模型的权限子系统的设计 实例。 一、 引言 权限控制在任何一个多角色、不同功能分层次执行的应用中都是有其重要 性。本文提供的权限设计实例是基于RBAC 模型的，同时结合Application Dictionary 的概念，将应用系统的界面元素（菜单名称和层次关系等，即资源）都是存放在数 据库表中，以实现权限子系统中的资源管理、角色管理、权限分配。 基于角色的访问控制设计灵活性大，易于维护；本设计实例以角色授权、用户 指派角色的获得用户的权限为主；同时支持直接向用户授权，作为授权的补充形式 存在。 二 数据结构设计 本文的权限子系统包含三大实体：用户、角色、资源以及他们的关系。 通过用户角色表、授权表这两张中间表将三者的关联起来，如下图： 通过上图，我们可以看到，用户可以通过相关联的角色获得其可用资源，也 可以直接通过授权表直接获得其可用资源，所以用户的所有可用资源就是两者的 并集。在本系统中一个用户可以充当多个角色，一个角色可以使用多种资源。 三 资源管理 1 资源实体： 依据资源使用的三大对象群，将资源分为系统资源、服务资源、基础 资源三大类进行管理，其中系统资源只提供给后台管理员，服务资源提 供给授权用户使用，而基础资源提供给所有用户使用。 另外依据资源是否在用户的菜单中显示，将资源分为菜单资源和功 能性资源。 实体属性 描述 备注 resourceID 资源ID 资源唯一标识 name 资源名称 urlName 资源访问的URL 地址 由于是web 应用，其资源的访问都 是通过url 获得 description 资源详细描述 资源详细描述，便于管理人员进行 管理 parentID 资源的父亲ID resourceType 资源类别 childNum 该节点的孩子数 isMenu 该资源是否为菜单资 源 2 资源树结构： 由于树型结构的灵活性、可扩展性，所以采用以树型结构来管理本系统中 三大类资源。 一级资源的定义： 当resourceID=parentID 时，表示该资源为一级资源 叶子（资源）节点的定义： 当childNum=0 时，表示该资源为叶子（资源）节点 资源树的表现 通过迭代递归的方法，将资源数据动态的转化为xml 资源树，并将xml 数据以数据岛的方式内嵌在要展示的页面中，通过xsl 转换程序将xml 转化为可 视树。 xml 数据岛示例： xml id=xmlTree tree entity id=e1 childnum=1 rsname=Customers descriptionCustomers/description imageimages/book.gif/image imageOpenimages/bookOpen.gif/imageOpen url/ contents entity id=e2 parentid=e1 childnum=1 rsname=Microsoft