《《基于J2EE的权限管理（组件）设计方案》.pdfVIP

基于J2EE 的权限管理(组件)设计方案 文档信息： 文档名称 基于 J2EE 的权限管理（组件）设计方案 描述  该文档描述了构建一个基于 J2EE 的组件权限设计方案， 该组件具有灵活授权的特性 ；具有操控细致的特性 ；具 有即插即拔的特性 ；具有易维护的特性；具有可扩展性 负责人 明秀君 状态 初稿 文档变更历史： 时间 修改人 章节 描述 设计目标  具有灵活授权的特性；  具有操控细致的特性；  具有即插即拔的特性；  具有易维护的特性；  具有可扩展性； 设计思路 基于角色访问控制是在用户和访问权限之间引入角色的概念，将用户和角色联系起来， 通过对角色的授权来控制用户对系统资源的访问，RBAC 基本思想（图1）就是根据安全策 略划分出不同的角色，资源的访问许可被封装到角色里，根据不同的用户分派不同的角色， 用户通过角色间接地访问系统资源。 RBAC 由于不是直接授权给用户，而是先授权给角色，然后再授予用户角色，这样可以 简单地改变用户的角色分配，当系统中增加新的应用功能时可以在角色中添加新的权限，从 而降低系统的复杂度。 API 资料  提供一个静态展示权限管理的页面(Html)和相应地文件信息；  提供一个关于权限管理的接口文档，返回结果以xml 形式；  提供一个配置文档和相应地jar ； 主要功能 1. 自定义操作动作(如增加、删除、修改、审核等，不再是以前见过的那种粗粒度的按模 块分配权限，或者稍微先进点的规定死某几个操作了) 。 2. 无限级功能模块管理，自定义模块排序，可以更好地对整个系统中所有模块进行分类管 理。 3. 灵活地为各模块分配操作，即每个模块有哪些操作需要被控制(将步骤 1 中添加的操作 按需分配给各模块) 。 4. 对所有用户基础信息进行管理，实行有效期机制，过期自动失效，在有效期间亦可强制 停止用户使用。 5. 自定义角色，可以起个听起来通俗易懂的名字。 6. 任意角色可任意组合系统权限功能点(比如某个模块里他只能修改数据而不能添加或删 除等其它操作) 7. 一个用户可有多个角色(多身份)，一个角色也可以被多个用户拥有(同身份) （多对多）， 灵活授权。 8. 按角色给用户授权，当授权对象数量庞大的时候就可大显身手了(比如给公司全体员工 授权) 。 9. 按用户分配角色，当某个用户以多种身份出现在系统中的时候，希望分配多个角色。 10. 用户及角色分级管理，下级用户只能拥有上级用户权限的子集，可无限级，而除了超级 管理员外其它用户都只能看到属于自己管理范围内( 自己创建的)用户，也只能分配自己 管理范围内( 自己创建)的角色，这样可以做到各司其职，管理清晰。 权限说明 1. 权限 权限通过模块+动作来产生，模块就是整个系统中的一个子模块，可能对应一个菜单， 动作也就是整个模块中（在B/S 系统中也就是一个页面的所有操作，比如“浏览、添加、 修改、删除”等）。将模块与之组合可以产生此模块下的所有权限。 2. 权限组 为了更方便的权限的管理，另将一个模块下的所有权限组合一起，组成一个“权限组”， 也就是一个模块管理权限，包括所有基本权限操作。比如一个权限组（用户管理），包 括用户的浏览、添加、删除、修改、审核等操作权限，一个权限组也是一个权限。 3. 角色 权限的集合，角色与角色之间属于平级关系，可以将基本权限或权限组添加到一个角色 中，用于方便权限的分配。 4. 用户组 权限的集合，角色与角色之间属于平级关系，可以将基本权限或权限组添加到一个角色 中，用于方便权限的分配。 5. 通过给某个人赋予权限，有4 种方式(参考飞思办公系统) A. 通过职位 a) 在职位中，职位成员的权限继承当前所在职位的权限，对于下级职位拥有的权限不 可继承。 b) 实例中：如前台这个职位，对于考勤查询有权限，则可以通过对前台这个职位设置