摘 要：針對(duì)VDP系統(tǒng)中的用戶、角色、權(quán)限訪問控制的問題，提出了一種基于編碼的角色訪問控制和用戶權(quán)限設(shè)計(jì)的方法。利用角色訪問控制技術(shù)可以有效地實(shí)現(xiàn)用戶訪問權(quán)限的動(dòng)態(tài)管理，取得了較好的效果。

關(guān)鍵詞：角色；權(quán)限；設(shè)計(jì)

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A

1 前言

本項(xiàng)目即“新疆維吾爾自治區(qū)職業(yè)學(xué)校數(shù)據(jù)信息平臺(tái)（簡(jiǎn)稱VDP），由新疆維吾爾自治區(qū)職教辦職業(yè)教育協(xié)調(diào)處根據(jù)業(yè)務(wù)工作的迫切需要而提出，旨在使我區(qū)職業(yè)院校與政府職教管理部門能擺脫半手工操作模式，提高工作效率[1]；信息管理?xiàng)l理化、科學(xué)化，方便管理部門快速實(shí)現(xiàn)準(zhǔn)確的查詢與統(tǒng)計(jì)；經(jīng)過規(guī)范工作流程與信息的不斷積累，為我區(qū)職業(yè)教育管理工作提供數(shù)據(jù)基礎(chǔ)，輔助領(lǐng)導(dǎo)決策[4]。

2 角色與類的設(shè)計(jì)

角色訪問控制（Role—Based Access Control，RBAC）模型指出，角色是中介，將權(quán)限授予角色，用戶通過分配角色，從而得到對(duì)客體資源的操作權(quán)限授權(quán)[3]。而在本系統(tǒng)中，系統(tǒng)管理員具有系統(tǒng)最高級(jí)別的權(quán)限，實(shí)行信息的全局管理與數(shù)據(jù)維護(hù)工作。普通用戶由系統(tǒng)管理員分配權(quán)限，在角色權(quán)限范圍內(nèi)進(jìn)行訪問與操作。

2.1 角色設(shè)計(jì)

角色是一組用戶的集合，具有指定的權(quán)限完成特定的資源訪問與操作行為。為對(duì)有相似權(quán)限的用戶進(jìn)行分類管理，定義了系統(tǒng)管理員、管理員、用戶、訪客等角色。角色具有上下級(jí)關(guān)系，系統(tǒng)管理員通過角色授權(quán)分配權(quán)限資源，那么，下級(jí)角色的權(quán)限范圍只能在上級(jí)權(quán)限范圍實(shí)行進(jìn)行授權(quán)操作。

角色從屬于編碼級(jí)別，角色管理兩個(gè)部分，一個(gè)是菜單功能權(quán)限，和報(bào)表內(nèi)容權(quán)限。角色報(bào)表權(quán)限不同于編碼內(nèi)定權(quán)限，一旦賦予角色相關(guān)報(bào)表的權(quán)限，則本角色可以跨越編碼級(jí)別對(duì)屬于本角色的報(bào)表直接管理。但系統(tǒng)會(huì)給出提示，并記錄日志。

本系統(tǒng)初步要求建立幾個(gè)以下角色并賦予相關(guān)功能和報(bào)表管理范圍。根據(jù)實(shí)際情況予以改變這些默認(rèn)的角色。

表1 角色及相關(guān)功能說明表

序號(hào)角色用戶功能說明

1系統(tǒng)管理員職教處負(fù)責(zé)本系統(tǒng)的系統(tǒng)維護(hù)，包括院系用戶管理、授權(quán)、系統(tǒng)參數(shù)設(shè)置等等

2教師用戶各職業(yè)院

校的教師職業(yè)院校的廣大教師，負(fù)責(zé)本人的數(shù)據(jù)填報(bào)

3院校管理員各職業(yè)

院校區(qū)內(nèi)各職業(yè)院校，每個(gè)院校有且僅有一個(gè)，代表所在學(xué)校管理本院校的用戶并為用戶授權(quán)

4領(lǐng)導(dǎo)用戶各職業(yè)院

校的領(lǐng)導(dǎo)職業(yè)院校的領(lǐng)導(dǎo)，維護(hù)本人的詳細(xì)信息，也可以由院系管理員代為錄入

5地州管理員地區(qū)級(jí)數(shù)據(jù)上報(bào)主管部門查詢本地區(qū)所屬院校的上報(bào)數(shù)據(jù)

6數(shù)據(jù)審核員職教處組織自治區(qū)的數(shù)據(jù)上報(bào)；查詢并統(tǒng)計(jì)自治區(qū)所屬院校的上報(bào)數(shù)據(jù)

2.2 類的設(shè)計(jì)

角色控制RoleController依據(jù)需求設(shè)計(jì)相應(yīng)功能方法，主要代碼如下所示：

public class RoleController extends MultiActionController{

RoleHelper helper=new RoleHelper（）；

//添加角色

public void addRole（HttpServletRequest request， HttpServletResponse response） throws IOException， SQLException {}

//刪除角色

public void cancelRoleById（HttpServletRequest request， HttpServletResponse response） throws IOException， SQLException {}

//根據(jù)id查詢信息

public void getRoleById（HttpServletRequest request， HttpServletResponse response） throws IOException {}

//根據(jù)修改角色名稱

public void changeRoleById（HttpServletRequest request， HttpServletResponse response） throws IOException {}

//根據(jù)登錄用戶的角色編碼獲得該編碼下所有的角色id

public void getURightByCode（HttpServletRequest request， HttpServletResponse response） throws IOException， ServletException {}

}

3 權(quán)限設(shè)計(jì)與實(shí)現(xiàn)

3.1 權(quán)限要求

本系統(tǒng)的權(quán)限要求分為資源和功能兩個(gè)部分，資源采用管理具體到報(bào)表方式，而功能則根據(jù)菜單來定義，關(guān)于審批的要求具體如下：

[A1][A2]-[B1][B2][B3][B4]-[C1][C2][C3][C4][C5][C6]

A1A2根級(jí)權(quán)限，可以統(tǒng)計(jì)查詢屬于它之下的所有編碼范圍報(bào)表信息。

B1B2B3B4屬于教育管理機(jī)構(gòu)級(jí)別，可以查詢統(tǒng)計(jì)屬于本編碼范圍之下的任何學(xué)校報(bào)表信息。

C1C2C3C4C5C6屬于終端級(jí)權(quán)限，只可查詢審批統(tǒng)計(jì)本學(xué)校內(nèi)的所有報(bào)表信息。

3.2 權(quán)限設(shè)計(jì)

根據(jù)訪問控制[2]要求，在數(shù)據(jù)庫(kù)中設(shè)計(jì)模塊表、功能表和角色表等三類表。本系統(tǒng)按照組織機(jī)構(gòu)、角色、權(quán)限三個(gè)部分設(shè)計(jì)如下：

（1）組織機(jī)構(gòu)：根據(jù)新疆的行政區(qū)劃，涉及15個(gè)地州、200多所職業(yè)院校。

（2）角色：超級(jí)管理員、數(shù)據(jù)審核員（自治區(qū)級(jí)）、地州管理員、院校領(lǐng)導(dǎo)、院校管理員、院校填報(bào)員。

（3）權(quán)限：對(duì)報(bào)表的下發(fā)、填寫、功能菜單的選擇等。

設(shè)計(jì)原理：首先創(chuàng)建根節(jié)點(diǎn)組織結(jié)構(gòu)名稱，然后添加子節(jié)點(diǎn)為各個(gè)院校名稱，再把相關(guān)角色的用戶分配到組織機(jī)構(gòu)，并為每個(gè)用戶指定角色，由角色和組織機(jī)構(gòu)來確定用戶的操作權(quán)限。

3.3 用戶角色權(quán)限實(shí)現(xiàn)

權(quán)限控制ManageController依據(jù)需求設(shè)計(jì)相應(yīng)功能方法如下：

public class ManageController extends MultiActionController {

ManageHelper helper = ManageHelper.getInstance（）；

//添加欄目權(quán)限

public void addManage（HttpServletRequest request， HttpServletResponse response） throws IOException， SQLException {}

//根據(jù)id查詢信息

public void getManageByUserRight（HttpServletRequest request， HttpServletResponse response） throws IOException {}

}

實(shí)現(xiàn)后的主要頁面如圖1—圖4所示。

4 結(jié)語

本文介紹了通過組織機(jī)構(gòu)節(jié)點(diǎn)控制，分配角色的用戶分配到組織機(jī)構(gòu)，并為每個(gè)用戶指定角色，最后由角色和組織機(jī)構(gòu)來確定用戶的操作權(quán)限設(shè)計(jì)方法[5]。最終實(shí)現(xiàn)了系統(tǒng)管理員、教師用戶、院校管理員、領(lǐng)導(dǎo)用戶、地州管理員、數(shù)據(jù)審核員等幾種角色的編碼及菜單權(quán)限分配。符合VDP系統(tǒng)角色與權(quán)限的設(shè)計(jì)需求，為整個(gè)系統(tǒng)的設(shè)計(jì)實(shí)現(xiàn)奠定了基礎(chǔ)。

參考文獻(xiàn)

[1] 李忠雄，唐雪梅.基于C#.NET的學(xué)生信息管理系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].電腦與電信，2011，7：52-53.

[2] 張銳，張建林，孫國(guó)忠.多業(yè)務(wù)系統(tǒng)的統(tǒng)一認(rèn)證授權(quán)研究與設(shè)計(jì)[J].計(jì)算機(jī)工程與設(shè)計(jì)，2009，30（8）：1826-1828.

[3] 朱一群.基于用戶信任的動(dòng)態(tài)多級(jí)訪問控制模型[J].計(jì)算機(jī)工程，2011，37（23）：129-130.

[4] 柳勝.性能測(cè)試從零開始： loadrunner入門[M].電子工業(yè)出版社，2008：16-34

[5] 趙再軍.基于角色權(quán)限分配的協(xié)同電子政務(wù)訪問控制模型研究[J].計(jì)算機(jī)科學(xué)，2010，37（8）：143-144.

作者簡(jiǎn)介：

李 欣（1979-），女，碩士，講師.研究領(lǐng)域：軟件設(shè)計(jì)與開發(fā)，數(shù)據(jù)庫(kù)管理.