夏文忠 單長(zhǎng)吉

(昭通學(xué)院物理與電子信息工程學(xué)院，云南 昭通 657000)

高校圖書館門戶網(wǎng)站是圖書館所有數(shù)字資源的入口，讀者通過(guò)圖書館門戶網(wǎng)站即可快速、方便地訪問(wèn)圖書館的所有館藏?cái)?shù)字資源。當(dāng)前大部分高校圖書館已擁有多種館藏?cái)?shù)字資源，但這些數(shù)字資源都是由不同的管理信息系統(tǒng)負(fù)責(zé)管理與維護(hù)，每個(gè)系統(tǒng)都有自己的管理方式，這使得讀者在使用圖書館館藏?cái)?shù)字資源時(shí)困難重重。多個(gè)系統(tǒng)、多種使用方式對(duì)讀者訪問(wèn)數(shù)字資源造成了困難。

本文提出了基于角色控制的圖書館門戶網(wǎng)站解決方案，使得讀者可以通過(guò)圖書館自建的統(tǒng)一身份認(rèn)證［1］系統(tǒng)完成一次登錄、多個(gè)系統(tǒng)通用的訪問(wèn)策略。

1 基于角色的訪問(wèn)控制模型

RBAC是基于角色的訪問(wèn)控制模型，它滿足最小權(quán)限給予、責(zé)任分離和數(shù)據(jù)抽象［2］的安全原則。最小權(quán)限原則是授予用戶能正常使用完成業(yè)務(wù)操作最小的權(quán)限集。責(zé)任分離原則是通過(guò)調(diào)用相互獨(dú)立互斥的角色來(lái)共同完成敏感的任務(wù)，比如圖書館采編業(yè)務(wù)員與圖書館資產(chǎn)管理員共同參與圖書的驗(yàn)收業(yè)務(wù)。抽象的數(shù)據(jù)通過(guò)權(quán)限的抽象化來(lái)體現(xiàn)，如校內(nèi)用戶通過(guò)Internet訪問(wèn)圖書館數(shù)字資源可以通過(guò)增加虛擬金額獲得資源下載權(quán)限，而不用對(duì)所有用戶都提供資源下載權(quán)限。

2 RBAC在圖書館門戶中的應(yīng)用

2.1 基于RBAC的系統(tǒng)角色及訪問(wèn)控制設(shè)計(jì)

基于RBAC的圖書館門戶系統(tǒng)需要滿足實(shí)用性、方便性、穩(wěn)定性和完全性的系統(tǒng)性能要求，需要完成包括用戶登錄、用戶身份鑒別、權(quán)限管理和用戶角色分配等功能。

圖1 RBAC模型

本系統(tǒng)采用RBAC模型，分別涉及管理員Admin實(shí)體類、讀者Readers實(shí)體類、訪客Guests實(shí)體類、角色RoleBean實(shí)體類、角色許可分配Authority-Bean實(shí)體類、Action實(shí)例及實(shí)現(xiàn)數(shù)據(jù)庫(kù)CRUD操作的DAO類。

管理員類在圖書館門戶系統(tǒng)中包括兩類子實(shí)體:一是系統(tǒng)管理員;另一類是負(fù)責(zé)具體的業(yè)務(wù)功能的圖書管理員。圖書館管理員的具體權(quán)限根據(jù)各自的分工不同再做相應(yīng)的劃分。例如:負(fù)責(zé)采購(gòu)的管理員只能操作圖書查重和圖書編目，負(fù)責(zé)瀏覽的管理員只能操作讀者圖書的外借與歸還。讀者類中包括教職工和學(xué)生兩類子實(shí)體，但他們的基本權(quán)限是相同的，都能通過(guò)自己的圖書證號(hào)登錄圖書館的門戶系統(tǒng)獲得相應(yīng)的資源訪問(wèn)權(quán)限。訪客類實(shí)體只能訪問(wèn)圖書館公開的信息資源。角色RoleBean實(shí)體定義系統(tǒng)各級(jí)實(shí)體類所對(duì)應(yīng)的訪問(wèn)權(quán)限，角色許可分配實(shí)體類把角色和與之對(duì)應(yīng)的實(shí)體應(yīng)具有的權(quán)限一一對(duì)應(yīng)并分配相應(yīng)的權(quán)限。DAO負(fù)責(zé)操縱數(shù)據(jù)庫(kù)實(shí)現(xiàn)數(shù)據(jù)的查詢、刪除、更新以及增加操作。

2.2 圖書館系統(tǒng)模塊設(shè)計(jì)

高校圖書館門戶系統(tǒng)提供服務(wù)的對(duì)象是廣大讀者。為了區(qū)分讀者是否擁有訪問(wèn)本館資源的權(quán)限，需要對(duì)訪問(wèn)用戶進(jìn)行身份認(rèn)證。當(dāng)使用圖書館提供的借閱證號(hào)進(jìn)行登錄并成功進(jìn)入系統(tǒng)后，認(rèn)為是本館合法用戶，否則認(rèn)為是訪客用戶。對(duì)于系統(tǒng)合法用戶，通過(guò)系統(tǒng)定義的借閱證號(hào)判斷用戶是否為教職工用戶或?qū)W生用戶。但所有讀者用戶都可以使用圖書館的所有數(shù)字資源，并可操縱自己的讀者基本信息。

對(duì)于管理員組的角色，細(xì)分為系統(tǒng)管理員組和業(yè)務(wù)管理員組。系統(tǒng)管理員可以修改圖書館門戶的頁(yè)面展現(xiàn)，開啟或關(guān)閉相應(yīng)的網(wǎng)站頁(yè)面功能，查看或修改系統(tǒng)運(yùn)行參數(shù)，備份或還原圖書館門戶的數(shù)據(jù)庫(kù)表。圖書館門戶站點(diǎn)中的業(yè)務(wù)管理員組可以操作圖書館的某一子類信息，比如紙質(zhì)圖書采購(gòu)管理、編目管理、流通借還管理、讀者管理等類別，通過(guò)對(duì)相應(yīng)組別的管理來(lái)實(shí)現(xiàn)權(quán)限管理。

訪問(wèn)類實(shí)體在本系統(tǒng)中占用一定的信息訪問(wèn)量，他們可能是需要了解本校圖書館的師生員工，也可能是外?；蛘咄ㄟ^(guò)Internet訪問(wèn)的訪客，他們只能訪問(wèn)圖書館對(duì)外公開的基本信息，不能訪問(wèn)圖書館的數(shù)字資源。

根據(jù)幾類實(shí)體的分析整理，得到如圖2所示的圖書館系統(tǒng)模塊設(shè)計(jì)。

圖2 圖書館系統(tǒng)模塊設(shè)計(jì)圖

3 基于SSH框架的圖書館門戶的設(shè)計(jì)

3.1 圖書館功能權(quán)限控制功能設(shè)計(jì)

圖書館門戶是圖書館數(shù)字資源的入口，一旦有非法用戶獲得了高級(jí)別的訪問(wèn)權(quán)限，將會(huì)對(duì)圖書館整個(gè)資源庫(kù)造成巨大的危害。故在選用RBAC基本模型的基礎(chǔ)上，使用開源的SSH框架來(lái)保證系統(tǒng)的完全性和穩(wěn)定性。在SSH［3］框架中，Struts2負(fù)責(zé)頁(yè)面展示和參數(shù)傳遞，Spring負(fù)責(zé)解決對(duì)象之間的依賴問(wèn)題［4］，簡(jiǎn)化對(duì)象的獲取，核心業(yè)務(wù)邏輯的運(yùn)算。Hibernate實(shí)現(xiàn)數(shù)據(jù)庫(kù)操作的對(duì)象化，為Spring和Struts2提供穩(wěn)定的健壯的持久化操作。

圖書館門戶作為圖書館數(shù)字資源的門戶站點(diǎn)，由管理員、讀者和訪客這3類實(shí)體組成。根據(jù)各實(shí)體自身特征分別給予其不同的角色，再通過(guò)各自的角色獲得相應(yīng)的權(quán)限。其角色權(quán)限配置如圖3所示。

圖3 圖書館角色權(quán)限配置

根據(jù)圖書館所要實(shí)現(xiàn)的功能需求，其權(quán)限控制與管理模塊的數(shù)字庫(kù)設(shè)計(jì)如圖4所示。

3.2 SSH框架在圖書館門戶的應(yīng)用

SSH框架是一個(gè)開源的輕量級(jí)框架，是J2EE框架中集中主流、高效的框架，由展現(xiàn)層的Struts2、業(yè)務(wù)邏輯層的Spring和數(shù)據(jù)庫(kù)持久層的Hibernate技術(shù)組成。在圖書館門戶站點(diǎn)的應(yīng)用中，使用Struts2進(jìn)行頁(yè)面展示和用戶數(shù)據(jù)傳遞。而Struts2是以攔截器為操作核心的技術(shù)，故圖書館門戶也以攔截器為基礎(chǔ)進(jìn)行開發(fā)配置。攔截器攔截用戶的訪問(wèn)請(qǐng)求，判斷用戶的請(qǐng)求類型，然后根據(jù)相應(yīng)的請(qǐng)求類型作出對(duì)應(yīng)的請(qǐng)求跳轉(zhuǎn)。如果用戶獲得某一類角色權(quán)限，那么他將能處理該角色可以操作的相應(yīng)權(quán)限;如果用戶未獲得此用戶權(quán)限，那么通過(guò)Struts2的攔截器Action跳轉(zhuǎn)到低級(jí)別的訪問(wèn)權(quán)限角色中執(zhí)行。

圖4 圖書館RBAC管理模塊ER模型

Spring是頁(yè)面截面編程技術(shù)的集大成者，它可以最大限度地實(shí)現(xiàn)各功能模塊間的低耦合，而對(duì)業(yè)務(wù)系統(tǒng)保持低侵入。圖書館門戶系統(tǒng)中的Spring負(fù)責(zé)處理通過(guò)Struts2攔截器攔截跳轉(zhuǎn)過(guò)來(lái)的業(yè)務(wù)請(qǐng)求，當(dāng)用戶擁有管理員組的權(quán)限時(shí)，Spring負(fù)責(zé)調(diào)用業(yè)務(wù)處理類，處理用戶請(qǐng)求。Struts2把未獲得角色相應(yīng)權(quán)限的用戶傳遞給Spring業(yè)務(wù)邏輯，則Spring調(diào)用業(yè)務(wù)邏輯把處理請(qǐng)求轉(zhuǎn)發(fā)到低一級(jí)別的處理模塊，直到角色和權(quán)限匹配。通過(guò)Spring處理的業(yè)務(wù)請(qǐng)求，再調(diào)用Hibernate處理數(shù)據(jù)庫(kù)DAO類實(shí)現(xiàn)數(shù)據(jù)庫(kù)的CRUD操作。待操作完成后結(jié)果將返回給Spring業(yè)務(wù)控制器，通過(guò)Spring業(yè)務(wù)控制器再返回給Struts2展示Action，完成整個(gè)系統(tǒng)流程。

4 結(jié)語(yǔ)

本文結(jié)合工作實(shí)際，以基于角色的RBAC模型為基礎(chǔ)，用輕量級(jí)的SSH框架設(shè)計(jì)了一個(gè)滿足圖書館應(yīng)用的身份識(shí)別與權(quán)限管理系統(tǒng)。本文解決問(wèn)題的思路和方法為開發(fā)類似信息系統(tǒng)提供了一個(gè)方向，具有開發(fā)類似系統(tǒng)的分析設(shè)計(jì)參考價(jià)值。

［1］李冰.用戶統(tǒng)一身份認(rèn)證系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)［D］.哈爾濱:哈爾濱理工大學(xué)，2005.

［2］任中方，張華.MVC模式研究的綜述［J］.計(jì)算機(jī)應(yīng)用研究 ，2004(10):1－2.

［3］馮潤(rùn)民.基于SSH的高校學(xué)生管理系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)［J］.計(jì)算機(jī)工程，2009(6):280－281.

［4］吳波，王晶.基于基本RBAC模型的權(quán)限管理框架的設(shè)計(jì)與實(shí)現(xiàn)［J］.計(jì)算機(jī)系統(tǒng)應(yīng)用，2011(4):50－52.