基于角色的访问控制在教务系统中的应用

应用系统中权限管理的隐患作者：熊斌来源：《硅谷》2012年第04期摘要：权限管理在一个应用管理系统中是不可或缺的重要组成部分，权限控制可以实现不同身份登录验证后所拥有资源的不同，一旦用户权限分配或管理不适当，必将给系统带来潜在的威胁，甚至造成不可预计的损失。

关键词：权限分配；用户管理；系统安全中图分类号：TP311.10 文献标识码：A 文章编号：1671－7597（2012）0220195－010 前言权限管理在一个应用管理系统中起着非常重要的作用，但是在程序开发时，由于一些程序员的疏忽或为了赶工程进度，在设计权限管理模块时往往会对一些细节不关心，造成权限管理中的重大安全危机。

1 权限管理中的常见问题1.1 用户管理中密码以明文显示在一个应用系统中，普遍采用用户与密码相匹配进行身份认证，确认使用者的合法性，保证系统安全。

但是，在一些小型系统或单机版应用系统中，往往为了简化开发与管理，把用户信息特别是用户密码等敏感信息进行明文管理，使得系统处理危险状态下。

缺陷分析：这种缺陷常见于一些小型应用系统，导致原因可能是：①系统设计人员为了方便使用者管理用户信息；②系统设计人员认为小系统使用的人员有限，没有必要对这些敏感数据进行加密。

解决措施：用户密码属于个人隐私，不应该公开，用户在登录系统后可以自行更改。

但在使用过程中，有些用户会遗忘自己更改过的密码，这时就需要通知系统管理员进行处理。

通常密码在数据库或用户管理界面中均要求显示为密文，而且最好是不可逆加密（如MD5），系统管理员只能重置用户密码，即初始化用户密码，而不能修改用户密码，确保用户身份的真实性。

1.2 用户管理中角色下拉列表可编辑在基于角色访问控制的模型中，所用户权限按角色进行统一设置，极大减化了授权管理的复杂性，保证了系统安全的灵活性。

如果用户角色设置不当，也将具有极大的破坏性，会造成系统的越权使用。

缺陷分析：用户权限是通过角色授权进行分配的，用户与角色存在对应关系经，在细粒度权限分配中，角色的管理并不是单一的，可能存在不同的管理人员维护不同的角色及其资源。

教务管理平台-权限及公共模块设计与开发摘要随着教育改革的不断深化，高等院校的建设与发展对国民整体素质的提高起着越来越重要的作用，建立一套能够适应这些改变的行政管理方案也就显得尤为重要。

对于教务处来说，将信息技术用于校务管理中便是迫切的要求。

教务系统中的用户数量众多，需要具有不同的权限，以实现不同的应用。

本论文介绍了开发背景，开发平台，并基于需求分析实现了教务管理平台中基于角色控制的权限系统(RBAC)及公共模块的设计与开发。

RBAC实现了用户与访问权限的逻辑分离，更符合教务平台的用户、数据和应用特征；在公共模块中实现了系统通用的日志管理，异常处理，常用类库方法等。

通过设计和应用本系统，有效的解决了教务平台中关于用户管理与权限操作等方面的问题，为系统公共模块的实现打下坚实的基础。

通过较为详尽的功能测试，表明本文的设计内容具有一定的通用性，可用于需要动态分配权限与角色的管理系统中。

关键词：权限；公共模块；RBACEducation Management Platform-The Design and Implementation of Authority System andPublic ModuleAbstractWith the continuous deepening of educational reform, the construction and development of universities players an increasingly important role to raise the overall quality, establish an administration solution to adapt these changes is particularly important. For the educational administration department, information technology use in the school management is an urgent requirement.The education management platform has large number of users and needs different authority in order to achieve different applications.This paper introduces the development background, the development platforms, the module design and development of education management platform, role based authority control system module (RBAC) and public module by requirements analysis. RBAC more separate the data and program from users, the system of education management platform for realizing the logic separation of user and access rights. The public module implements a generic system log management, exception handling, common library methods. With the developing of the system, it supplies an effective solution to the questions of user management and authority control of the platform and the public platform module methods, which has laid a solid foundation for the implementation of the system’s public module.By the detailed functional testing, it shows the generality, so the system may be used for the management system of dynamic allocation of authority and role.Key words:authority；public module；RBAC；目录论文总页数：22页1 引言 (1)1.1课题背景 (1)1.2课题目的 (1)1.3课题意义 (1)2 系统平台与相关技术 (2)2.1系统架构 (2)2.2 开发平台介绍 (2)2.2.1 Visual Studio 2005介绍 (2)2.2.2 SQL Server 2005介绍 (2)2.3 开发技术介绍 (2)2.3.1 (2)2.3.2 RBAC (3)2.3.3 Identity和IPrincipal (3)3 需求分析和数据库设计 (3)3.1 应解决的问题 (3)3.1.1 基于RBAC的权限系统. (3)3.1.2 平台需要的公共模块 (4)3.2功能需求 (4)3.2.1用户信息管理 (5)3.2.2 角色信息管理 (5)3.2.3 资源管理 (5)3.2.4 用户角色分配 (5)3.2.5 角色权限分配 (5)3.2.6 权限操作 (5)3.2.7 日志管理 (5)3.2.8 异常处理 (6)3.2.9 基础公共类库 (6)3.3非功能需求 (6)3.3.1包容性和可扩展性 (6)3.3.2系统简洁,易使用、易维护、适用非计算机专业人员使用 (6)3.3.3充分保护数据的一致性 (6)3.3.4采用先进成熟的技术，建立实用可靠的系统 (6)3.4 数据库设计 (6)4 系统设计设计与实现 (9)4.1公共模块设计 (9)4.1.1数据库通用类设计 (9)4.1.2系统工具通用类设计 (9)4.1.3系统日志和树目录设计 (10)4.1.4系统异常处理 (12)4.1.5系统通用页面设计 (12)4.2 权限系统模块的实现 (13)4.2.1 用户信息管理和角色绑定 (13)4.2.2 角色管理和权限绑定 (15)4.2.3 权限管理 (16)4.2.4 系统资源管理和权限绑定及菜单操作 (17)4.2.4 url过滤 (18)5 测试 (20)结论 (20)参考文献 (20)致谢 (21)声明 (22)1引言教务管理平台对安全问题有较高的要求，传统的访问控制方法DAC （Discretionary Access Control，自主访问控制模型）、MAC（Mandatory Access Control，强制访问控制模型）难以满足复杂的教务管理平台需求。

RBAC权限管理在教务管理系统中的应用与实现鞠宏军;杜丽娟【摘要】Combined with practical application , RBAC-based rights management and its application in edu-cational management system are introduced in this paper.RBAC model realizes batch management of user rights by role er can get a list of resources function in accordance with the role he logins and system generates corresponding dynamic pared with traditional management system , RBAC model is easier and more intuitive in user rights and menu function.The system has good advancement and practicality.%结合实际应用，阐述了一种基于RBAC模式的权限管理在教务管理系统中的应用及实现。

该模式能够通过角色授权，实现对用户权限的批量管理，用户登录后可以根据角色获取具有的资源功能列表，并生成相应的动态菜单。

解决了传统管理系统用户权限管理、功能菜单管理不方便、不直观的问题，具有一定的先进性、实用性。

【期刊名称】《华北科技学院学报》【年(卷),期】2014(000)005【总页数】4页(P70-73)【关键词】RBAC模式;权限管理;管理信息系统;菜单动态生成【作者】鞠宏军;杜丽娟【作者单位】华北科技学院计算机学院，北京东燕郊 101601;华北科技学院计算机学院，北京东燕郊 101601【正文语种】中文【中图分类】TP311.520 引言高校教务管理系统涉及的人员多、信息量大，管理过程及操作复杂;并且必须严格区分和控制各类用户对系统访问的权限和功能，以保证系统数据及运行的安全。

基于角色的访问控制在教务系统中的应用摘要本文通过对rbac96的分析提出扩展的rbac模型（erbac），并且在高校教务系统中加以应用，验证了其有效性和实用性。

关键词 rbac；角色；访问控制中图分类号tp39 文献标识码a 文章编号 1674-6708（2011）54-0183-02传统的高校教务系统的访问控制模块通常将用户和权限直接关联，这样的授权模型不方便系统的扩展，也不够灵活，当组织规模不断扩大、结构变换频繁时，就出现了大量繁琐的授权变化，权限管理的复杂度呈现指数增长的态势，而基于角色的访问控制（role-based access control，以下简称rbac）模型能够较好的解决这个问题。

1 rbac概述rbac模型引入了“角色”的概念，使得操作权限不直接授予用户，而是通过建立“用户→角色→权限”的映射关系，来灵活的表征组织内部以及用户与权限间的关系。

现阶段rbac的研究均以rbac96为基础，rbac96[1]由ravi s.sandhu教授及其领导的乔治梅森大学信息安全技术实验室（list）提出，主要由rbac0、rbac1、rbac2和rbac3组成，如图1所示。

图 1 rbac96（包括rbac0、rbac1、rbac2和rbac3）rbac0是rbac96模型的核心，主要包括u（用户集）、r（角色集）、p（权限集）和s（会话集），p由ops（操作集）和obs（客体集）组成。

rbac1在rbac0的基础上增加了rh（角色分层）概念，使用偏序来描述这种角色继承的关系。

rbac2在rbac0的基础上引入c（约束集）来决定对rbac0各组件的操作是否被接受，只有被接受的操作才被允许。

rbac3综合了rbac1和rbac2，自然也包括了rbac0。

rbac96是一个基本模型，属于中性策略，这就决定了在应用中，可以根据实际情况对rbac96进行扩展。

2 扩展的rbac模型本文根据我院教务系统的访问控制的实际需求，对rbac96进行扩展，增加了“属性”的概念，形成了一个扩展的rbac模型，简称erbac模型。

rbac具体案例RBAC（Role-Based Access Control）是一种广泛应用于信息系统安全领域的访问控制模型，它基于角色的概念，并通过将用户分配给角色来管理和控制访问权限。

下面将列举10个具体的RBAC案例，以展示其在不同领域中的应用。

1. 公司员工权限管理：在一个大型企业中，RBAC可以用于管理员工在内部系统中的访问权限。

不同的角色可以包括普通员工、部门经理、高级管理人员等，每个角色具有不同的权限，以保证只有具备相应权限的人员可以访问特定的信息和功能。

2. 医院信息系统权限控制：在医院的信息系统中，RBAC可以用于管理医生、护士、行政人员等角色的访问权限。

通过RBAC模型，可以确保只有经过授权的人员可以访问患者的医疗记录和其他敏感信息。

3. 银行系统权限管理：在银行系统中，RBAC可以用于管理不同角色的员工对客户账户的访问权限。

例如，柜台职员可能只能查询账户余额和交易记录，而风险控制人员可能具有更高级别的权限，可以进行账户冻结或调整额度等操作。

4. 学校教务系统权限控制：在学校的教务系统中，RBAC可以用于管理教师、学生、管理员等角色的访问权限。

教师可以查看和编辑学生成绩，学生可以查询自己的课程和成绩，管理员则具有更高级别的权限，可以管理教师和学生账号。

5. 航空公司乘客信息管理：在航空公司的系统中，RBAC可以用于管理不同角色的员工对乘客信息的访问权限。

例如，客服人员可能只能查看乘客的基本信息和航班预订记录，而安检人员可能具有更高级别的权限，可以访问乘客的身份证或护照信息。

6. 政府部门数据权限控制：在政府部门的数据管理系统中，RBAC 可以用于管理不同角色的员工对敏感数据的访问权限。

例如，税务局的工作人员可能只能查看纳税人的纳税记录，而审计人员可能具有更高级别的权限，可以查看纳税人的详细财务信息。

7. 社交媒体平台权限管理：在社交媒体平台中，RBAC可以用于管理不同类型用户的访问权限。

高校教师业务管理系统乔向杰【摘要】本文设计并实现了基于J2EE的高校教师业务管理系统.文章详细讨论了系统实现的业务模型、功能模型等需求分析过程,以及系统架构、通用查询框架、基于角色访问控制策略的“用户-角色-功能模块”的权限管理系统设计与实现等关键技术.【期刊名称】《计算机系统应用》【年(卷),期】2014(023)003【总页数】8页(P62-69)【关键词】J2EE;通用查询框架;高校教师业务管理系统;基于角色的访问控制策略【作者】乔向杰【作者单位】北京联合大学旅游学院,北京100101【正文语种】中文实现教师的专业化可持续发展, 职业生涯规划是一种有效的手段. 近年来, 许多高校为了适应国家高等教育改革的新任务和新要求, 都提出了教师的职业生涯规划项目来加强高校教师队伍的建设. 在建设的过程中, 需要评审和记录高校教师的教学、教研、教改及相关管理方面的信息; 认定教师承担科研方面的信息; 申报和评审继续教育情况的信息; 申报和评定参加有关社会服务, 如国内外访学、挂职锻炼等活动等等, 因此, 我们提出了要构建一个高校教师的业务管理系统来对这一过程的建设与实施进行管理与监控,以便于学校能从整体把握教师职业成长的动态, 提高信息管理的效率. 职业生涯规划目标不仅要与个人的职业发展观和发展需求相联系, 还要与学校的总体发展目标保持一致. 由于每个学校的阶段定位与发展目标, 以及教师的素质和特点都不同, 因而对于教师职业生涯规划的内容和要求也不尽相同. 因此, 要想找到一个已经成型而且完全适用的现成系统是比较困难的, 而且此系统同一般教师业务档案管理系统不同,它并不仅仅是对教师业务档案静态信息的管理与维护,而更强调的是教师在提高自身业务水平, 开展职业生涯规划的发展路径的动态过程管理. 本文将以北京联合大学旅游学院的教师业务管理系统的业务模型为例,探讨系统的架构、功能与关键技术实现, 希望能对其他类似院校研发相关的系统提供借鉴.1 系统分析系统开发的实践表明, 用户需求很难在系统建立前被严格地定义和描述出来, 而且用户的需求是在不断的变化的[1,2]. 而原型法则弥补了这一缺陷, 通过快速开发一个含有最终系统主要特征的原型系统, 使用户在这个原型中得到启发并同开发人员一起修改和评估模型, 通过反复的修复来产生用户满意的原型, 最终形成系统. 因此, 为了保障系统需求分析的正确性、完整性及有效性, 我们先通过开展需求调研, 同相关的职能部门及系部进行沟通, 收集相关的文件资料,然后进行系统的业务流程、数据流程、组织功能分析,形成系统的逻辑设计方案; 既而开始构建原型, 由于最终系统考虑为B/S 模式, 因此, 为了表达系统的真实性, 我们采用静态网页技术与客户端脚本技术迅速实现一个系统的原型, 该原型充分体现出了真实系统的界面与操作逻辑, 只是没有实际的数据库存储, 因此很容易让用户接受大大提高了与用户沟通的效率,经反复确认与修改后, 开始进行系统的概要设计与详细设计, 最后才开始进行编程、测试与部署.1.1 业务模型分析在进行业务模型分析时, 主要以学院发布的相关文档: 《北京联合大学教师职业生涯规划实施方案(试行)》、《科研团队及类型》、《科研团队建设基本原则》、《北京联合大学旅游学院青年教师过教学关征求意见稿》等为依据. 根据学院对教师职业生涯规划实施方案的要求, 教师在制定职业生涯规划时, 首先要全面了解本单位和学院的总体发展目标与方向、学科专业建设规划、师资队伍建设规划等基本信息, 以使个人规划目标与本单位及学院发展目标更紧密地结合起来.教师个人的职业生涯设计职责包括: 自我职业评估(包括职业能力、职业兴趣、个性、职业价值观、工作业绩等方面的职业评估), 与本单位负责人交换意见, 设定个人的职业生涯发展目标, 执行职业生涯发展策略的行动计划, 进行自我职业发展的绩效评估. 对参与职业生涯规划的教师, 要求完成教学能力提升、科研能力提升、企业(行业)实践和访问学者等方面的任务.因此, 在教师的职业生涯规划信息系统中可以设计为两个阶段: 一个为职业生涯的规划阶段, 一为职业生涯规划的实施阶段. 规划阶段主要为教师对自我进行评估, 然后由系部党政负责人和专业负责人进行评估,最后由教师本人进行确认后形成教师职业生涯规划;实施阶段主要为教师根据每项规划要求至考核期到后进行项目申报, 并由相关职能部门(人事处、教务处、科研处)进行审批, 直至教师完成所有规划项目. 教师可在此期间随时查询自己的规划执行进度与状态. 同时, 院领导、系部领导也可对教师的职业生涯规划及实施情况进行实时的查询与统计分析, 以便即时调整实施方案, 提高实施效率与教师满意度. 系统的业务模型描述如图1 所示.图1 系统业务模型1.2 功能模型分析明确了系统的业务模型, 就可以对系统进行信息模型的分析, 以完成系统的逻辑设计, 最终进行物理设计, 并开始系统实施. 系统的功能模型如图2 所示.系统的功能架构主要有四大部分组成: 职业生涯规划、职业生涯评估认定、职业生涯信息服务及系统管理. 其中职业生涯规划模块主要为教师本人进行职业生涯规划的业务模块, 通过此模块教师可以进行自我评估及确认、对各项规划项目的申报以及对职业生涯规划总体信息的查询; 职业生涯评估认定模块主要为系部对教师职业规划的评估以及各职能部门对教师职业规划申报项目的审批和认定; 职业生涯信息服务是院领导及系部领导对全院及各系部教师职业规划信息的查询与统计分析, 通过此模块可以使院系领导对全院及各系部的教师职业生涯规划的进度及整体情况进行把握和跟踪, 以便进行适时和适当的政策与实施调整等. 系统管理主要为系统管理员设置用户、权限、角色, 以及进行模块的管理、公共参数的设置等.图2 系统功能模型1.3 用户角色功能分析使用该系统的用户可以分为教师、系部领导、教务处、科研处、人事处、院领导、系统管理员等, 具体的描述及职责如表1 所示.2 系统设计表1 系统用户角色职能列表用户描述职责教师参与教师职业生涯规划的教职工进行个人评估与确认、规划项目的申报系部领导各系部的教师职业规划负责人进行系部对教师职业规划的评估意见与指导、查看和跟踪本系部教师的职业生涯规划及实施情况教务处负责教师职业生涯规划教学项目相关的工作人员进行教师职业生涯规划教学能力提升项目申报的审批科研处负责教师职业生涯规划科研项目相关的工作人员进行教师职业生涯规划科研能力提升项目申报的审批人事处负责教师职业生涯规划企业（行业）实践、国内外访学项目相关的工作人员进行教师职业生涯规划社会服务能力提升项目申报的审批院领导分管教师职业能力提升项目的相关领导查看和跟踪全院教师的职业生涯规划及实施情况系统管理员负责系统设置与维护的管理人员进行系统用户管理、角色管理、用户权限分配、字典管理等2.1 总体框架与思路系统采用基于J2EE 标准的B/S 架构实现, 总体框架与思路如图3 所示. 在基础层构建系统的基本软硬件环境, 包括网络环境、服务器、系统软件、中间件, 以及进行统计分析的图表展现工具. 其中, 网络环境直接通过校园网接入, 教师在校外登录系统时采用VPN方式即可; 服务器实际应包括应用服务器与数据库服务器, 在考虑系统用户数与并发量后, 可将应用与数据库服务放在同一台性能较高的服务器上运行; 系统软件及中间件等主要为操作系统(主要采用网络操作系统如Windows Server 系列、Linux 等)、WEB 服务器软件与应用服务器软件(如Weblogic、Tomcat 等). 通过教师的职业生涯规划与实施, 系统将记录整个职业生涯规划的生命周期, 形成教师职业生涯规划的基本信息数据库, 主要包括教师的申报信息、审批信息等.整个系统基于J2EE的体系结构, 用户最终通过客户端的浏览器来使用系统.2.2 系统架构设计系统采用基于J2EE的struts+hibernate分层结构实现, 即MVC 体系结构(Model-View-Control)将显示逻辑与事务逻辑分开处理, 便于系统的维护和升级[3-5].系统实现架构如图4 所示.图3 系统总体框架图4 系统实现的架构浏览器层: 用户通过浏览器与系统进行交互, 浏览器向系统提交请求后, 经过系统处理仍返回到客户端浏览器界面.Web 层: 从客户浏览器获得客户输入, 对数据进行验证后传递给逻辑层的组件, 再将从业务逻辑层获得的处理结果返回给浏览器. Web 层由控制器Servlet 和视图JSP 组成, 封装在Web 容器中. 业务流程控制一般均由控制器Servlet 开发, 响应用户的查询等请求并调用业务逻辑层的JavaBean 来实现复杂的业务逻辑[3].业务逻辑层: 处理控制器传递过来的用户数据,经过业务及数据处理后返回给控制器,再由控制器返回给视图层显示结果. 业务逻辑层封装了系统提供给用户的接口, 主要由JavaBean 或EJB 来实现.数据持久层: 完成持久对象到关系数据库的映射,并对持久对象进行操作. 业务逻辑模块由Hibernate 通过O/R 映射文件实现对具体数据源的操作.数据库层: 对象持久性的具体实现, 本系统分别采用了Mysql 和oracle 进行了测试实现.2.3 通用查询框架设计对一个业务对象的管理所涉及的业务操作往往都包括新增、删除、修改、查询、浏览等操作, 比如在设置查询条件后显示查询列表, 进而可以进行新增一个项目或对查询结果列表中的记录进行修改、删除和浏览等. 因为这些操作的原理基本一致, 为了提高开发效率, 系统进行了通用查询框架的设计, 以简化对每一个查询实例的编码. 通过设计通用查询的基类,将常用的数据库表的查询、新增、删除、更新等操作进行类的方法实现, 相应模块在实现时则只须根据本模块的需求进行界面内容的设计, 在业务逻辑上则直接调用基类相应的方法即可, 而无须再在每一个模块的Action 类中编写重复的代码, 从而能大大提高开发的整体效率.2.3.1 通用查询类设计系统主要设计了四个通用类: Action、Manger、Form 及Hibernate Pojo 类. 使用DispatchAction 类型的Action 作为业务流程的控制类, 使用Manager 类处理业务逻辑. Form 为Struts 的ActionForm 类, 负责视图与控制层之间传送数据. 还有一个是对应数据库表的Hibernate Pojo 类. 这些对象总是一一对应的, 其关系如图5 所示.图5 通用查询类设计架构中提供Action 和Manager 的一个通用实现作为所有业务Action 和Manager 的基类, 通用基类里主要实现对数据库表进行增删改查的操作流程和业务逻辑, 因此子类中不必再处理这些通用业务操作.Action 实现一个 getManager 方法, 返回与该Action 相对应的Manager, 用于基类进行通用增删改查功能, 这些流程子类不用实现, 只需另外实现各业务特定的流程即可.Manager 实现一个initManger 方法, 在这个方法里设定该Manager 处理的数据库pojo 对象的类、处理的数据库表和表的主键, 这个方法在基类的构造函数里调用. 同样, Manager 的子类也不需要实现通用的增删改查数据操作, 只需另外实现各业务特定的逻辑即可.2.3.2 Struts 配置对于一个完整的功能模块来说, 主要包括查询、新增、编辑、浏览、删除等操作, 对每一个功能模块将设置一个该模块的struts 配置文件struts-config-xxx.xml(其中xxx 代表一个模块的包名), 然后把该配置文件加到Struts 的主配置参数上:在WEB-INF\web.xml 找到Struts 的控制层action sevlet, 增加一个初始参数:在struts-config-xxx.xml 文件中还需再分别配置相应的ActionForm及处理页面的Action类和结果页面的forward 信息:2.3.3 实现流程以系统的新增业务操作为例, 增加页面一般从列表页面的按钮链接进入, 增加页面不需要Action, 直接forward 到相应的jsp 页面. 用户在增加页面填写提交后, 由Action 的add 方法或submit 方法处理添加操作, 并根据具体的配置, 返回到列表页面或增加页面.具体流程如图6 所示.图6 新增功能实现流程2.4 权限管理设计2.4.1 访问控制模型与策略通过对系统的业务模型及功能模型尤其是用户角色功能的分析, 我们发现不同的用户所需使用系统的功能,或者说其应在系统中执行的业务操作和类型是不同的.比如, 参与的教师应具有的是对自己职业生涯的规划、项目申报以及进度查询等功能; 职能部门的相关人员则是对教师申报的相关项目按规则进行审批(参见表1), 而这些内容是不能由参与教师进行操作的. 同时, 一个用户可以拥有多个角色, 亦可拥有其除所拥有角色之外而特有的功能. 因此, 系统需要对用户及角色进行分类管理并进行权限的分配. 针对以上的系统需求, 我们设计了一个基于角色的访问控制策略(Role Based Access Control, RBAC)[6-10], 即用户-角色-功能模块的权限系统.在该系统中, 用户和角色之间、角色和功能模块之间、用户和功能模块之间均为多对多的关系, 即: 同一用户可以有多种角色, 同一角色可以赋予多个用户; 同一角色可对多个功能模块有访问权限, 同一功能模块可赋权给多个角色; 同一用户可以访问多个功能模块, 同一功能模块可赋权给多个用户. 用户和角色的权限具有继承关系, 当用户隶属于某个角色时, 其将具有该角色所拥有的所有权限, 因此, 一个用户所拥有的权限是其自身所赋予的权限与其所隶属角色的权限的并集.2.4.2 数据库设计要实现用户、权限与功能模块之间多对多的逻辑关系, 同时考虑对用户、组织及功能模块本身的管理,与权限系统相关的数据库设计如表2 及图7 所示.表2 数据库表及功能说明表名功能与说明USER_INFO 记录用户信息ORG_INFO 记录机构信息以及机构关联关系ROLE_INFO 记录角色信息USER_PERMISSION 记录用户权限信息USER_ROLE 记录用户角色关联关系USER_ORG 记录用户机构关联关系MODEL_PERMISSION 记录模块与权限对应关系ROLE_PERMISSION 记录角色权限关联关系2.4.3 授权管理与控制流程在一个完整的授权系统中, 还要有对关于系统所涉及对象的基本管理与授权操作. 主要包括用户管理、组织机构管理、角色管理与模块管理等, 它们的主要功能如下: 用户管理: 增加、修改、删除用户, 可以为用户指定部门, 还可以对用户授于某种角色, 还可以增加、修改、删除用户对模块的权限. 同时还可以根据条件查询用户. 图7 权限管理数据库设计组织机构管理: 增加新组织、修改和删除已经存在的组织. 系统采用组织机构树的形式对组织进行维护和管理. 组织机构采用的是层次结构进行的存储,每个结点都将设置一个字段来专门存储其所在的层次及上层结点编号, 这样便于将组织机构组织为一个树型进行维护.角色管理: 增加角色、修改和删除原有的角色, 并给角色授权.模块管理: 增加、修改和删除系统中所包含的功能模块及其所对应的功能权限点. 当用户登录系统时, 首先对用户身份进行验证及取得用户权限. 系统取得用户所拥有的权限点集合,并根据这些权限点决定用户是否有权访问特定的资源.例如: 如果非管理人员访问管理模块, 会被拒绝访问(或者不允许使用特定功能).用户登录系统完成验证以后, 取得两部分权限的集合, 一是来自于用户自己的权限点, 二是来自于用户所属角色所拥有的权限点. 根据用户的功能权限集合动态生成菜单, 这样不同的用户授权后将会看到不同的系统界面. 图8 所示为系统的权限设置界面; 图9所示分别为超级用户和普通教师角色登陆成功后所能看到的系统菜单与功能模块.图8 角色模块权限分配另外, 为防止非法用户直接以HTTP 方式在浏览器请求执行某页面, 在每个应用系统程序文件中还需判断该用户是否登录并建立会话, 会话是否过期; 如已建立会话, 就检查该用户是否有该页面的访问权限.图9 不同角色用户登录成功界面3 结语本文引入快速原型法设计并实现了基于J2EE 的高校教师职业生涯规划系统, 保障了系统需求分析的正确性与有效性, 并大大提高了系统开发的整体质量与效率. 在系统实施上, 采用了集成 struts 框架与hibernate框架来实现MVC模式, 使得系统的可维护性、可扩展性强; 为了提高系统开发效率, 系统设计了一个通用框架模型, 将一些操作通过基类中实现, 这样在具体的模块功能页面中, 只须修改配置文件及简单的与模块相关的jsp 页面即可; 在权限管理中, 通过基于RBAC 的用户-角色-功能模块的权限策略使得系统具有灵活的资源访问权限配置, 亦保证了系统的安全性.参考文献【相关文献】1 罗新星,朱名勋,唐中君.可信软件需求获取与分析研究综述及展望.计算机应用研究,2010,27(10):3617-3620.2 常建军等.计算机信息系统开发策略与实践.微机发展,1994,(5):11-14.3 妙旭华,包理群,李颖.基于J2EE 多层架构的重金属污染监管设计.计算机应用与软件,2013,30(4):128-130.4 李小平等.基于J2EE 多层架构的Web 开发框架研究.计算机应用研究,2008,25(5):1429-1431.5 Holmes J.孙燕等,译.struts 程序员查询辞典.北京:中国铁道出版社,2005.6 于春生,聂晶.基于组和角色的工作流权限访问控制模型.计算机应用,2011,31(3):778-780.7 陈琛等.一种基于改进RBAC 模型的EIS 权限管理框架的研究与实现.计算机应用研究,2010,27(10):3855-3858.8 呼和等.基于Web 服务的企业统一认证与授权系统.计算机应用,2011,31(2):576-580.9 严骏等.MIS 中基于部门和角色的细粒度访问控制模型.计算机应用,2011,31(2):523-526.10 杨柳,危韧,陈传波.一种扩展型基于角色权限管理模型(E-RBAC)的研究.计算机工程与科学,2006,28(9):126-128.。

urp高校教务管理系统URP高校教务管理系统引言教务管理系统是现代高等教育机构必备的重要工具，它提供了一种集中管理、自动化处理和高效运营的方式，以支持高校的教务工作。

URP（University Resource Planning）高校教务管理系统是一款广泛应用于国内高校的教务管理软件，它通过技术手段和优化算法，帮助学校实现教学活动的全面管理和精细化运作。

一、URP高校教务管理系统框架URP高校教务管理系统基于客户端/服务器架构，主要由前端界面、业务逻辑层和数据访问层组成。

1. 前端界面前端界面是URP系统的用户交互界面，通常为Web页面形式。

通过前端界面，教务工作人员、教师和学生可以方便地进行教务管理相关操作。

前端界面主要包含登录页面、主页、课程管理、学生成绩管理、教学评价等模块。

2. 业务逻辑层业务逻辑层是URP系统的核心组件，负责处理用户请求、调用相应的服务和模块，实现系统中的各项教务管理功能。

在URP系统中，业务逻辑层主要包括用户管理、课程管理、成绩管理、教学评价、选课管理等功能模块。

3. 数据访问层数据访问层是URP系统与数据库之间的接口层，负责处理数据库相关操作。

通过数据访问层，URP系统可以实现对学生信息、课程信息、成绩信息等数据的读取、更新、删除等操作。

数据访问层的设计需要考虑系统的性能和安全性。

二、URP高校教务管理系统功能1. 用户管理URP高校教务管理系统支持多级用户管理，包括管理员、教务工作人员、教师和学生等不同角色的用户。

通过用户管理功能，系统管理员可以对用户进行注册、登录、权限管理等操作。

2. 课程管理课程管理是URP系统的核心功能之一。

教务工作人员可以通过该功能创建、修改、删除课程信息，包括课程名称、课程编号、学分等。

教师和学生可根据自己的权限查看和选择课程。

3. 成绩管理成绩管理是URP系统的另一个重要功能。

教师可以通过成绩管理模块录入学生成绩，系统会自动计算学生成绩的平均分、绩点等信息。

收稿日期:2004211212;修返日期:2004212215基金项目:武汉市中小企业创新基金项目(200316);湖北华大网络教育技术有限责任公司华大远程教育平台联合资助项目(VAD2.0)基于角色的访问控制在网络教育中的应用研究3杨宗凯,刘宏波,刘琴涛(华中科技大学电子与信息工程系,湖北武汉430074)摘　要:基于角色的访问控制(RBAC )作为一种安全机制,是当前研究的热点之一。

如何根据网络教育的特点应用RBAC 是当前网络教育的重点和难点。

在分析了RBAC96模型的基础上,结合网络教育的特点进行系统设计,建立符合网络教育特色的新的权限管理模型,兼顾对个性权限的修改能力,最后给出该模型在网络教育中的系统实现,通过项目验证了RBAC 在网络教育中的可行性。

关键词:网络教育;基于角色的访问控制;访问控制中图法分类号:TP30912 文献标识码:A 文章编号:100123695(2005)1020134203App licati on Research for Role Based Access Contr ol Technique in E 2LearningY ANG Z ong 2kai,L I U Hong 2bo,L I U Q in 2tao(D ept .of Electronic &Infor m ation Engineering,Huazhong U niversity of Science &Technology,W uhan Hubei 430074,China )Abstract:A s a s ort of security mechanis m,Role Based Access Contr ol (RBAC )technique has been one of the hots pots in cur 2rent research .How t o app ly RBAC according t o the characteristics of E 2Learning app licati on is a challenge work .Based upon the RBAC96model,the paper builds a ne w per m issi on manage model and relates t o the ability of modifying individual per m is 2si ons,achieving the syste m design by combining with the characteristic of E 2Learning .Finally this paper gives the syste m real 2izati on in E 2Learning for this model and certifies the feasibility f or RBAC in E 2Learning .Key words:E 2Learning;RBAC (Role Based Access Contr ol );Access Contr ol1　引言远程教育在中国发展到第三代称为现代远程教育,即网络教育。

数字校园中实现基于角色访问控制的一种方法针对在数字校园环境中实现基于角色的访问控制的一种方法，本文分析了近年来学校以及其他数字环境中实现基于角色的访问控制的方法。

首先，文章讨论了基于角色访问控制（RBAC）的原理和框架，以及实现RBAC的策略。

其次，文章探讨了基于角色访问控制的实施过程，包括建模、安全性评估和部署。

进一步，我们比较了不同类型的角色访问控制方法，如等级访问控制，层次访问控制和资源访问控制，并讨论了它们在实施RBAC时的优缺点。

最后，文章给出了一些建议，以实现数字校园环境中基于角色的访问控制，这些建议基于我们在这篇文章中提出的方法。

许多学校正在采用数字化解决方案来改善课堂教学，促进校园安全，增强学生的学习体验。

这意味着不久的将来，学校将拥有大量的数字资源和服务，其中包括网络设施，学习管理系统，虚拟课堂，在线图书馆和其他有用的系统。

鉴于这一点，保护数字环境中的数据和服务至关重要。

学校需要一种有效的访问控制机制，以实现安全的访问和使用环境中的资源。

基于角色的访问控制（RBAC）可以解决上述问题，因为它可以控制对资源的存取权限，并且避免不必要的安全漏洞。

基于角色的访问控制技术是一种基于岗位的访问控制系统，允许系统管理员根据用户角色分配访问权限，以实现有效的安全管理。

例如，在数字校园中，系统管理员可以为每个用户分配一个角色，以控制他们可以访问哪些数字资源，以及他们能够执行哪些操作。

如果用户的角色发生变化，那么他们也会获得新的访问权限。

为了实现基于角色的访问控制，系统管理员需要先制定一个角色策略，指定每个角色都有哪些访问权限和操作许可。

之后，系统管理员可以根据用户角色和策略，为每个用户分配访问权限。

为了实现这一点，需要有一个基于角色建模工具，可以根据用户角色和策略来生成相应的访问配置文件，以实现安全的访问控制，同时可以更好地满足用户的个性化需求。

为了评估系统的安全性，需要进行安全评估，以确保系统的安全性和完整性。

RBAC（基于⾓⾊的访问控制）⽤户权限管理数据库设计RBAC（Role-Based Access Control，基于⾓⾊的访问控制），就是⽤户通过⾓⾊与权限进⾏关联。

简单地说，⼀个⽤户拥有若⼲⾓⾊，每⼀个⾓⾊拥有若⼲权限。

这样，就构造成“⽤户-⾓⾊-权限”的授权模型。

在这种模型中，⽤户与⾓⾊之间，⾓⾊与权限之间，⼀般者是多对多的关系。

（如下图）⾓⾊是什么？可以理解为⼀定数量的权限的集合，权限的载体。

例如：⼀个论坛系统，“超级管理员”、“版主”都是⾓⾊。

版主可管理版内的帖⼦、可管理版内的⽤户等，这些是权限。

要给某个⽤户授予这些权限，不需要直接将权限授予⽤户，可将“版主”这个⾓⾊赋予该⽤户。

当⽤户的数量⾮常⼤时，要给系统每个⽤户逐⼀授权（授⾓⾊），是件⾮常烦琐的事情。

这时，就需要给⽤户分组，每个⽤户组内有多个⽤户。

除了可给⽤户授权外，还可以给⽤户组授权。

这样⼀来，⽤户拥有的所有权限，就是⽤户个⼈拥有的权限与该⽤户所在⽤户组拥有的权限之和。

（下图为⽤户组、⽤户与⾓⾊三者的关联关系） 在应⽤系统中，权限表现成什么？对功能模块的操作，对上传⽂件的删改，菜单的访问，甚⾄页⾯上某个按钮、某个图⽚的可见性控制，都可属于权限的范畴。

有些权限设计，会把功能操作作为⼀类，⽽把⽂件、菜单、页⾯元素等作为另⼀类，这样构成“⽤户-⾓⾊-权限-资源”的授权模型。

⽽在做数据表建模时，可把功能操作和资源统⼀管理，也就是都直接与权限表进⾏关联，这样可能更具便捷性和易扩展性。

（见下图） 请留意权限表中有⼀列“权限类型”，我们根据它的取值来区分是哪⼀类权限，如“MENU”表⽰菜单的访问权限、“OPERATION”表⽰功能模块的操作权限、“FILE”表⽰⽂件的修改权限、“ELEMENT”表⽰页⾯元素的可见性控制等。

这样设计的好处有⼆。

其⼀，不需要区分哪些是权限操作，哪些是资源，（实际上，有时候也不好区分，如菜单，把它理解为资源呢还是功能模块权限呢？）。

网络教育平台的访问控制和权限管理随着互联网的普及和技术的发展，网络教育平台成为了现代教育的重要组成部分。

网络教育平台的访问控制和权限管理是确保平台安全和学习效果的重要环节。

本文将就网络教育平台的访问控制和权限管理进行探讨。

一、访问控制的重要性访问控制是网络教育平台的第一道防线，它能够有效地控制学习者、教师和管理人员的访问权限，保护平台的安全。

首先，访问控制可以防止未经授权的用户进入平台，防止信息泄露和不法行为的发生。

其次，访问控制可以根据用户的身份和角色，提供个性化的学习环境和资源，提高学习效果。

因此，网络教育平台必须建立完善的访问控制机制，确保只有合法的用户才能访问平台。

二、权限管理的重要性权限管理是网络教育平台的核心环节，它能够对用户进行精确的权限分配和管理。

首先，权限管理可以根据用户的身份和角色，设置不同的权限等级，确保用户只能访问和操作与其角色相关的功能和资源。

其次，权限管理可以对用户的学习行为进行监控和评估，为教师和管理人员提供数据支持，优化教学和管理过程。

因此，网络教育平台必须建立灵活、可扩展的权限管理系统，满足不同用户的需求。

三、访问控制和权限管理的技术手段为了实现有效的访问控制和权限管理，网络教育平台可以采用多种技术手段。

首先，可以使用身份认证技术，如用户名和密码、指纹识别、人脸识别等，确保只有合法用户才能登录平台。

其次，可以使用访问控制列表（ACL）技术，根据用户的身份和角色，设置不同的访问权限。

此外，还可以使用单点登录（SSO）技术，实现用户在不同子系统中的无缝切换和访问。

这些技术手段可以提高平台的安全性和用户体验。

四、面临的挑战和解决方案网络教育平台的访问控制和权限管理面临一些挑战。

首先，如何平衡安全性和便利性是一个难题。

过于严格的访问控制和权限管理可能影响用户的使用体验，而过于宽松则可能导致安全风险。

解决这个问题的方法是根据平台的特点和用户需求，制定合理的访问控制和权限管理策略。