邵發(fā)明　伍紅兵　卜一波　李興德　陳磊

摘要：信息管理系統(tǒng)所面對(duì)的服務(wù)對(duì)象不同，需要對(duì)不同用戶賦予不同的權(quán)限。該文在根據(jù)信息管理系統(tǒng)的普遍設(shè)計(jì)需求，提出基于Struts的信息系統(tǒng)權(quán)限設(shè)計(jì)方法，分級(jí)、分角色進(jìn)行信息管理系統(tǒng)的權(quán)限管理。根據(jù)用戶角色在系統(tǒng)操作和信息讀取上實(shí)現(xiàn)權(quán)限細(xì)粒度劃分?；谠撃Ｊ降男畔⑾到y(tǒng)權(quán)限管理具有高效性、靈活性、適應(yīng)性以及安全性。

關(guān)鍵詞：信息管理系統(tǒng)； 權(quán)限； 角色； 分級(jí)；信息安全

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044（2012）30-7141-03

1 概述

Struts是最早的MVC開源框架，它是apache組織基于MVC模式開發(fā)的開源的單點(diǎn)控制的web應(yīng)用框架（framework）。Struts的的目的是為了減少在運(yùn)用MVC設(shè)計(jì)模型來開發(fā)Web應(yīng)用的時(shí)間。

信息管理系統(tǒng)的權(quán)限管理，是指根據(jù)不同的用戶和角色，分配不同的信息管理系統(tǒng)的操作權(quán)限。讓不同的用戶能夠享受信息管理系統(tǒng)的功能、對(duì)不同的數(shù)據(jù)庫對(duì)象進(jìn)行操作、在信息管理系統(tǒng)中完成不同的任務(wù)，并且不允許其進(jìn)行權(quán)限以外的操作確保系統(tǒng)安全有序的運(yùn)行。

2 用戶權(quán)限分配概述

2.1基于B/S系統(tǒng)的權(quán)限設(shè)計(jì)的重要性

B/S系統(tǒng)中的權(quán)限比C/S中的更顯的重要，C/S系統(tǒng)因?yàn)榫哂刑厥獾目蛻舳?，所以訪問用戶的權(quán)限檢測(cè)可以通過客戶端實(shí)現(xiàn)或通過客戶端+服務(wù)器檢測(cè)實(shí)現(xiàn)。而B/S中，瀏覽器是每一臺(tái)計(jì)算機(jī)都已具備的，如果不建立一個(gè)完整的權(quán)限檢測(cè)，那么一個(gè)“非法用戶”很可能就能通過瀏覽器輕易訪問到B/S系統(tǒng)中的所有功能。因此B/S業(yè)務(wù)系統(tǒng)都需要有一個(gè)或多個(gè)權(quán)限系統(tǒng)來實(shí)現(xiàn)訪問權(quán)限檢測(cè)，讓經(jīng)過授權(quán)的用戶可以正常合法地使用已授權(quán)功能，而對(duì)那些未經(jīng)授權(quán)的“非法用戶”將會(huì)將他們徹底的“拒之門外”。

2.2權(quán)限和角色的劃分

權(quán)限（Privilege）是授予用戶訪問系統(tǒng)中特定對(duì)象或資源，對(duì)對(duì)象或資源執(zhí)行特定操作的一種能力。

角色（Roles） 是指具有相同權(quán)限的一類用戶或者用戶組。用戶在一般情況下是指管理信息系統(tǒng)的使用者?；诮巧臋?quán)限管理將整個(gè)控制過程分成兩個(gè)步驟：訪問權(quán)限與角色關(guān)聯(lián)；角色再與用戶關(guān)聯(lián)，從而實(shí)現(xiàn)了用戶與訪問權(quán)限的邏輯分離。

2.3權(quán)限分配方法

不同職責(zé)人員對(duì)于系統(tǒng)操作的權(quán)限應(yīng)該是不同的，因此要對(duì)不同的用戶進(jìn)行用戶權(quán)限分配。

可以對(duì)“組”進(jìn)行權(quán)限分配。對(duì)于一個(gè)大企業(yè)的業(yè)務(wù)系統(tǒng)來說，如果要求管理員為其下轄員工逐一分配系統(tǒng)操作權(quán)限的話，是件耗時(shí)且不夠方便的事情。所以，系統(tǒng)中提出了對(duì)“組”進(jìn)行操作的概念，將權(quán)限一致的人員編入同一組，然后對(duì)該組進(jìn)行權(quán)限分配。

權(quán)限管理應(yīng)該是可擴(kuò)展的。它應(yīng)該可以加入到任何帶有權(quán)限管理功能的系統(tǒng)中。就像是組件一樣的可以被不斷的重用，而不是每開發(fā)一套管理系統(tǒng)，就要針對(duì)權(quán)限管理部分進(jìn)行重新開發(fā)。

滿足業(yè)務(wù)系統(tǒng)中的功能權(quán)限。傳統(tǒng)業(yè)務(wù)系統(tǒng)中，存在著兩種權(quán)限管理，其一是功能權(quán)限的管理，而另外一種則是資源權(quán)限的管理，在不同系統(tǒng)之間，功能權(quán)限是可以重用的，而資源權(quán)限則不能。

權(quán)限具有靈活的可配置性。系統(tǒng)能夠根據(jù)用戶的需求以及系統(tǒng)安全之間的權(quán)衡，給用戶靈活分配系統(tǒng)的權(quán)限。

3 院校設(shè)備管理系統(tǒng)的權(quán)限設(shè)計(jì)

借鑒目前主流信息管理平臺(tái)的用戶權(quán)限管理模式，以自己設(shè)計(jì)與實(shí)現(xiàn)的院校設(shè)備管理系統(tǒng)為例，對(duì)信息管理系統(tǒng)的用戶具體權(quán)限進(jìn)行分析。

3.1系統(tǒng)架構(gòu)設(shè)計(jì)

院校設(shè)備管理系統(tǒng)是為了對(duì)院校的人員、計(jì)算機(jī)、存儲(chǔ)介質(zhì)、教學(xué)科研設(shè)備、計(jì)算機(jī)入網(wǎng)及各種硬件設(shè)備報(bào)廢進(jìn)行全壽命管理的綜合信息管理系統(tǒng)。

該系統(tǒng)應(yīng)用JAVA語言開發(fā)，基于Struts框架、SQL Server數(shù)據(jù)庫，系統(tǒng)依托校園網(wǎng)，多級(jí)管理權(quán)限。系統(tǒng)信息分別由一般用戶錄入、設(shè)備管理工作人員審核、最終由系統(tǒng)管理員進(jìn)行技術(shù)審核。分級(jí)負(fù)責(zé)，系統(tǒng)自動(dòng)保持信息的一致性和準(zhǔn)確性，能夠根據(jù)需要生成各種統(tǒng)計(jì)報(bào)表。該系統(tǒng)的系統(tǒng)架構(gòu)圖如圖1所示。

3.2系統(tǒng)權(quán)限設(shè)計(jì)

院校設(shè)備管理系統(tǒng)涉及的管理用戶有三個(gè)：系統(tǒng)管理員、設(shè)備管理員和一般用戶。

系統(tǒng)管理員負(fù)責(zé)整個(gè)系統(tǒng)的管理，包括有配置管理，故障管理，安全管理及用戶管理等。

設(shè)備管理員負(fù)責(zé)審核一般用戶資格，為一般用戶建立賬號(hào)，同時(shí)也可對(duì)以有重復(fù)或錯(cuò)誤賬號(hào)進(jìn)行刪除、修改；對(duì)于已錄入設(shè)備的信息、計(jì)算機(jī)信息、存儲(chǔ)器信息進(jìn)行審核，符合要求的將通過審核并提交給系統(tǒng)管理員來進(jìn)行進(jìn)一步處理。

向教學(xué)保障單位申請(qǐng)并通過審核的人員，在設(shè)備管理員為其建立好賬戶后，就可以通過該系統(tǒng)進(jìn)行設(shè)備信息、計(jì)算機(jī)信息、存儲(chǔ)器信息等的錄入，等待設(shè)備管理員的審核，教學(xué)保障審核通過、系統(tǒng)管理員審核通過后，該設(shè)備就成功錄入設(shè)備管理系統(tǒng)，實(shí)現(xiàn)了設(shè)備信息的計(jì)算機(jī)管理。

4 院校設(shè)備管理系統(tǒng)的權(quán)限的實(shí)現(xiàn)

根據(jù)對(duì)以上三類用戶職能的分析研究，基于面向?qū)ο蟮脑O(shè)計(jì)思想，將用戶劃分為三個(gè)對(duì)象，對(duì)每個(gè)對(duì)象的功能封裝，完成對(duì)用戶權(quán)限的細(xì)致設(shè)置。

4.1基于權(quán)限管理的數(shù)據(jù)庫設(shè)計(jì)

在數(shù)據(jù)庫設(shè)計(jì)中，考慮到系統(tǒng)的權(quán)限分配的問題，在數(shù)據(jù)庫字段設(shè)計(jì)上將引入權(quán)限字段。權(quán)限字段采用整型數(shù)字，這樣的權(quán)限字段的設(shè)計(jì)有利于在后期的程序設(shè)計(jì)中，使權(quán)限判斷和權(quán)限比較轉(zhuǎn)換成數(shù)值的比較，有利于提高程序設(shè)計(jì)的靈活性以及后期的可擴(kuò)展性。本系統(tǒng)中管理員數(shù)據(jù)表數(shù)據(jù)庫模型圖設(shè)計(jì)圖如圖3。

4.2權(quán)限管理的數(shù)據(jù)庫層次的查詢代碼實(shí)現(xiàn)

系統(tǒng)中數(shù)據(jù)庫的查詢SQL階段，通過良好的SQL數(shù)據(jù)庫語句構(gòu)架，來設(shè)計(jì)SQL查詢語句。由于采用的是JAVA嵌入式SQL語句，在SQL中嵌入用戶身份信息，并且對(duì)身份信息進(jìn)行判斷。這樣可以實(shí)現(xiàn)對(duì)數(shù)據(jù)庫信息的過濾，使系統(tǒng)前臺(tái)只能讀取到適合于該用戶角色的信息。大大的提高了數(shù)據(jù)庫查詢的合法性、安全性以及可靠性。部分嵌入式SQL的代碼如下：

4.3 權(quán)限管理的程序?qū)哟蔚拇a實(shí)現(xiàn)

在程序?qū)崿F(xiàn)層面，主要是根據(jù)不同的用戶角色，來進(jìn)行系統(tǒng)功能分配。對(duì)于B/S系統(tǒng)來說，權(quán)限的分配即體現(xiàn)為不同的用戶可以讀取不同的系統(tǒng)頁面，不同的權(quán)限在相應(yīng)的頁面可以顯示不同的系統(tǒng)模塊，實(shí)現(xiàn)不同的系統(tǒng)操作。通過對(duì)于頁面、模塊、操作的控制，大的提高了系統(tǒng)的可控性，避免用戶的非法操作，確保了系統(tǒng)的安全，完善了功能的分配，實(shí)現(xiàn)了系統(tǒng)的良好管理。根據(jù)角色、權(quán)限實(shí)現(xiàn)系統(tǒng)頁面、模塊、操作分配的部分代碼如下：

5 系統(tǒng)測(cè)試

目前該系統(tǒng)目前已經(jīng)投入運(yùn)行。在測(cè)試過程中，通過50名學(xué)生分別模擬系統(tǒng)管理員、教務(wù)管理員和一般用戶對(duì)系統(tǒng)信息錄入、信息審核等系統(tǒng)操作。測(cè)試結(jié)果表明，在權(quán)限管理個(gè)權(quán)限分配方面系統(tǒng)運(yùn)行效果良好，達(dá)到預(yù)期目的。

6 結(jié)束語

科學(xué)合理的權(quán)限劃分，可以充分滿足系統(tǒng)管理員、設(shè)備管理員和一般用戶工作的方便性和快捷性。不同的人員授予不同的權(quán)限符合設(shè)備管理系統(tǒng)的操作需求，尤其對(duì)于需要逐級(jí)審批的系統(tǒng)而言，權(quán)限管理尤為重要。通過數(shù)據(jù)庫的設(shè)計(jì)、查詢以及程序代碼的設(shè)計(jì)，可以較好的實(shí)現(xiàn)權(quán)限分配，用于三級(jí)權(quán)限管理或者多級(jí)權(quán)限管理的信息系統(tǒng)。該項(xiàng)目目前已經(jīng)通過鑒定，正在申報(bào)軍隊(duì)科學(xué)進(jìn)步獎(jiǎng)。參考文獻(xiàn)：

[1] 齊斌.基于角色的權(quán)限管理模型在大學(xué)生創(chuàng)新性項(xiàng)目管理系統(tǒng)中的研究與應(yīng)用[J].軟件導(dǎo)刊，2011（3）.

[2] 鐘旭紅.嘉應(yīng)學(xué)院成人教育教材管理系統(tǒng)的研究和開發(fā)[D].廣州：廣東工業(yè)大學(xué)，2004.

[3] 齊潤(rùn)泉.VPN技術(shù)在教育城域網(wǎng)中的應(yīng)用研究[D].山東科技大學(xué)，2004年

[4] 劉劍.農(nóng)村人力資源管理及決策支持系統(tǒng)研究[D].重慶：重慶大學(xué)，2004.

[5] 伍珍貞.高校（廣東青年干部學(xué)院）綜合教務(wù)管理系統(tǒng)的設(shè)計(jì)和研究[D].廣州：廣東工業(yè)大學(xué)，2005.

[6] 閆冬梅.三峽庫區(qū)邊坡穩(wěn)定性評(píng)價(jià)決策支持系統(tǒng)的研究與實(shí)現(xiàn)[D].武漢：武漢理工大學(xué)，2006.

[7] 邱哲，王俊標(biāo)，馬斗. Struts Web 設(shè)計(jì)與開發(fā)大全[M].北京：清華大學(xué)出版社，2006.

[8] 鄒俊.整合Struts 和Hibernate 的Web 應(yīng)用開發(fā)[J].微計(jì)算機(jī)信息，2008（9）.

[9] 蔣宏潮，尹怡欣，班曉娟 .基于SOA 的St rut s 框架應(yīng)用[J].計(jì)算機(jī)工程，2009（1）.

[10] 梁愛虎.精通SOA ： 基于服務(wù)總線的Struts + EJB + WebService 整合應(yīng)用開發(fā)[M].北京：電子工業(yè)出版社，2007.