權限管理系統設計與研究

王欣穎 覃章健 茍攀

【摘要】 權限管理系統主要實現權限授予、權限驗證的功能[1]。權限授予實現對模塊的某個功能的操作許可，組成權限數據庫，為用戶分配角色，實現授權。權限驗證通過實現定義好的權限數據庫，判斷該用戶是否對某個模塊的某個功能具有操作權限。根據實際需要及教學輔助系統的需求，采用基于角色訪問控制技術RBAC（Role Based Access Control）實現權限管理系統，實現用戶、角色、資源等的分配與管理。

【關鍵字】 權限管理 角色訪問控制 RBAC 教學輔助系統

引言

權限管理，一般指根據系統設置的安全規則或者安全策略，采用安全授權和角色相聯系的原則，只有成為相應的角色組成員，才能獲得對應的權限且只能訪問被授權的資源。邏輯表述為：判斷“Who對What（Which）進行How的操作”的邏輯表達式是否為真。角色可以根據部門中不同的工作創建，再根據用戶的責任和資格分配資源，用戶就可以獲得對應的權限。隨著新功能的增加和刪減，角色可以分配更多的權限，也可以根據需要撤銷相應的權限。

一、權限管理系統描述

權限的核心部分是Who（權限主體）+ What （Which）（資源）+ How（具體權限）的問題，實現What和部分Which的權限問題，即創造權限、分配權限、使用權限。

基于角色的訪問控制方法（RBAC），是目前公認的解決大型企業的統一資源訪問控制的有效方法。對應用系統的所有對象資源和數據資源進行權限控制，比如應用系統的功能菜單、各個界面的按鈕、數據顯示以及各種行級數據進行權限的操控。

二、權限管理系統設計

每個權限，可分為訪問權限和可授權權限，如果用戶只授予了訪問權限，則他不能分配給其他人訪問。

2.1 用戶、角色、組

用戶（user）是權限的具體操作者，根據擁有的權限信息，可以歸屬于0～n個角色，可屬于0～n個組。用戶的權限集是用戶權限、角色權限、組權限的合集。

角色（role）是實現對相似權限的用戶進行分類管理，如管理員、用戶、訪客等。角色具有上下級關系，父角色的權限是自身和所有子角色的權限的綜合，形成樹狀的權限結構?；诮巧臋嘞尴到y，只為角色分配權限，用戶都隸屬于角色，不再單獨為用戶分配角權限。

組（group）是對用戶進行分組歸類，實現角色的合理分配，更好地管理用戶。同時組也可以具有自己的角色信息、權限信息。

2.2 權限數據庫設計

理清權限設計的思路和各對象之間的關系后，對權限管理進行數據庫建模，對象之間的關系，一般需要加入一個關聯表來示關聯的兩者的關系。實現形式如圖1所示：

三、權限管理原理及實現

目前使用較為廣泛的開源權限框架以spring security、apache shiro為主，也有采用基礎的設計，定制符合系統的權限管理?？紤]到整個項目的需要及實際應用，項目中采用自定義的方式實現權限的管理。

項目中采用自定義權限管理對項目的各項操作實現私人定制。建立一個權限管理類（AuthMethod），使用注解的形式管理controller層的資源操作。默認base權限（基本操作權限，如訪問、登陸、注銷、注冊等），引入權限注解的操作，都需要權限驗證， 只有權限驗證通過后才能看到角色所具有的權限。其實現原理為：第一、在項目工程啟動的初始化過程中，初始化整個資源的權限信息；第二、初始化用戶角色組權限；第三、初始化加載在controller層的AuthMethod注解，具體化用戶的訪問權限。

在用戶訪問的時候，采用EL表達式權限的具體操作對用戶的權限經行驗證，根據用戶具有的權限分配操作，杜絕非法用戶越權訪問。對用戶的密碼等敏感信息使用MD5加鹽加密技術加密，并定期對數據庫信息進行備份，防止數據庫因某種原因被破壞。

四、結束語

項目中采用定制權限的方式實現權限管理，為項目需要量身制作，更好的使用及控制。對系統的所有對象資源和數據資源進行權限控制，引入注解機制，對資源的具體操作進行嚴格控制，權限標簽加上EL表達式的權限控制，對數據顯示、界面按鈕、功能菜單等加以控制，更合理有效地管理及使用系統資源。

參 考 文 獻

[1] 祖 峰，熊忠陽，馮 永.信息系統權限管理新方法及實現.重慶大學學報；2003.11第26卷11期.

[2] 朱磊，周明輝，劉天成，梅宏. 一種面向服務的權限管理模型.計算機學報；2005.04第28卷第4期.