用户权限管理设计方案

用户权限管理设计方案
用户认证管理设计方案
1 设计思路
为了设计一套具有较强可扩展性的用户认证管理,需要建立用户、角色和权限等数据库表,并且建立之间的关系,具体实现如下。

1.1 用户
用户仅仅是纯粹的用户,用来记录用户相关信息,如用户名、密码等,权限是被分离出去了的。

用户〔User〕要拥有对某种资源的权限,必须通过角色〔Role〕去关联。

用户通常具有以下属性：
编号,在系统中唯一。

名称,在系统中唯一。

用户口令。

注释,描述用户或角色的信息。

1.2 角色
角色是使用权限的基本单位,拥有一定数量的权限,通过角色赋予用户权限,通常具有以下属性：
编号,在系统中唯一。

名称,在系统中唯一。

注释,描述角色信息
1.3 权限
权限指用户根据角色获得对程序某些功能的操作,例如对文件的读、写、修改和删除功能,通常具有以下属性：
编号,在系统中唯一。

名称,在系统中唯一。

注释,描述权限信息
1.4 用户与角色的关系
一个用户〔User〕可以隶属于多个角色〔Role〕,一个角色组也可拥有多个用户,用户角色就是用来描述他们之间隶属关系的对象。

用户〔User〕通过角色〔Role〕关联所拥有对某种资源的权限,例如
用户〔User〕：
UserID UserName UserPwd
1 X三xxxxxx
2 李四xxxxxx
……
角色〔Role〕：
RoleID RoleName RoleNote
01 系统管理员监控系统维护管理员
02 监控人员在线监控人员
03 调度人员调度工作人员
04 一般工作人员工作人员
用户角色〔User_Role〕：
UserRoleID UserID RoleID UserRoleNote
1 1 01 用户"X三"被
分配到角色"系统管理员"
2 2 02 用户"李四"
被分配到角色"监控人员"
3 2 03 用户"李四"
被分配到角色"调度人员"
……
从该关系表可以看出,用户所拥有的特定资源可以通过用户角色来关联。

1.5 权限与角色的关系
一个角色〔Role〕可以拥有多个权限〔Permission〕,同样一个权限可分配给多个角色。

例如：
角色〔Role〕：
RoleID RoleName RoleNote
01 系统管理员监控系统维护管理员
02 监控人员在线监控人员
03 调度人员调度工作人员
04 一般工作人员工作人员
权限〔Permission〕：
PermissionID PermissionName PermissionNote
0001 增加监控允许增加监控对
象
0002 修改监控允许修改监控对
象
0003 删除监控允许删除监控对
象
0004 察看监控信息允许察看监控对象
……
角色权限〔Role_Permission〕：
RolePermissionID RoleID PermissionID RolePermissionNote
1 01 0001 角色"系统管理员"具有权限"增加监控"
2 01 0002 角色"系统管理员"具有权限"修改监控"
3 01 0003 角色"系统管理员"具有权限"删除监控"
4 01 0004 角色"系统管理员"具有权限"察看监控"
5 02 0001 角色"监控人员"具
有权限"增加监控"
6 02 0004 角色"监控人员"具有权限"察看监控"
……
由以上例子中的角色权限关系可以看出,角色权限可以建立角色和权限之间的对应关系。

1.6 建立用户权限
用户权限系统的核心由以下三部分构成：创造权限、分配权限和使用权限。

第一步由Creator创造权限〔Permission〕,Creator在设计和实现系统时会划分。

利用存储过程CreatePermissionInfo 〔PermissionName,PermissionNote〕创建权限信息,指定系统模块具有哪些权限。

第二步由系统管理员〔Administrator〕创建用户和角色,并且指定用户角色〔User－Role〕和角色权限〔Role－Permission〕的关联关系。

1>Administrator具有创建用户、修改用户和删除用户的功能：
存储过程CreateUserInfo〔UserName,UserPwd〕创建用户信息；
存储过程ModifyUserInfo〔UserName,UserPwd〕修改用户信息；
存储过程DeleteUserInfo〔UserID〕删除用户信息；
2>Administrator具有创建角色和删除角色的功能：
存储过程CreateRoleInfo〔RoleName,RoleNote〕创建角色信息；
存储过程DeleteRoleInfo<RoleID>删除角色信息；
3〕Administrator具有建立用户和角色、角色和权限的关联关系功能：存储过程GrantUserRole〔UserID,RoleID,UserRoleNote〕建立用
户和角色的关联关系；
存储过程DeleteUserRole<UserRoleID>删除用户和角色的关联
关系；
存储过程
GrantRolePermission<RoleID,PermissionID,RolePermissionNote>建立角色和权限的关联关系；
存储过程DeleteRolePermission<RolePermissionID>删除角色和权限的关联关系；
第三步用户〔User〕使用Administrator分配给的权限去使用各个系统模块。

利用存储过程GetUserRole〔UserID, UserRoleID
output〕,GetRolePermission〔RoleID,Role-
-PermissinID output〕获得用户对模块的使用权限。

1.7 用户认证实现
当用户通过验证后,由系统自动生成一个128位的TicketID保存到用户数据库表中,建立存储过程Login〔UserID,UserPwd,TicketID output〕进行用户认证,认证通过得到一个TicketID,否则TicketID为null。

其流程图如下：
图1 Login流程图
得到TicketID后,客户端在调用服务端方法时传递TicketID,通过存储过程JudgeTicketPermission〔TicketID,PermissionID〕判断TicketID对应的用户所具有的权限,并根据其权限进行方法调用。

public class AuthHeader : SoapHeader {
public string Username;
public string Password;
}
public class HeaderService : WebService {
public AuthHeader sHeader;
...
}
服务中的每个WebMethod 都可以使用SoapHeader 自定义属性定义一组关联的标头。

默认情况下,标头是必需的,但也可以定义可选标头。

SoapHeader 属性指定公共字段的名称或者Client 或Server 类的属性〔本标题中称为Headers 属性〕。

在为输入标头调用方法前,WebService 设置Headers 属性的值；而当方法为输出标头返回时,WebService 检索该值。

[WebMethod<Description="This method requires a custom soap header set by the caller">]
[SoapHeader<"sHeader">]
public string SecureMethod<> {
if <sHeader == null>
return "ERROR: Please supply credentials";
else
return "USER: " + ername;
}
然后,客户端在调用要求标头的方法之前,直接在代理类上设置标头,如下面的示例所示：
HeaderService h = new HeaderService<>;
AuthHeader myHeader = new AuthHeader<>;
ername = "username";
myHeader.Password = "password";
h.AuthHeader = myHeader;
String result = h.SecureMethod<>;
3.2 .Net Remoting的安全认证方式
CallContext提供与执行代码路径一起传送的属性集,CallContext是类似于方法调用的线程本地存储的专用集合对象,并提供对每个逻辑执行线程都唯一的数据槽。

数据槽不在其他逻辑线程上的调用上下文之间共享。

当CallContext 沿执行代码路径往返传播并且由该路径中的各个对象检查时,可将对象添加到其中。

当对另一个AppDomain 中的对象进行远程方法调用时,CallContext 类将生成一个与该远程调用一起传播的
LogicalCallContext 实例。

只有公开ILogicalThreadAffinative 接口并存储在CallContext 中的对象被在LogicalCallContext 中传播到AppDomain 外部。

不支持此接口的对象不在LogicalCallContext 实例中与远程方法调用一起传输。

CallContext.SetData方法存储给定对象并将其与指定名称关
联,CallContext.GetData方法从CallContext 中检索具有指定名称的对象。

下面的代码示例说明如何使用SetData 方法将主体和标识对象传输到远程位置以进行标识。

public class ClientClass {
public static void Main<> {
GenericIdentity ident = new GenericIdentity<"Bob">;
GenericPrincipal prpal = new GenericPrincipal<ident,
Newstring[] {"Level1"}>;
LogicalCallContextData data =
new LogicalCallContextData<prpal>;
//Enter data into the CallContext
CallContext.SetData<"test data", data>;
Console.WriteLine<data.numOfAccesses>;
ChannelServices.RegisterChannel<new TcpChannel<>>; RemotingConfiguration.RegisterActivatedClientType<
typeof<HelloServiceClass>, "tcplocalhost:8082">; HelloServiceClass service = new HelloServiceClass<>;
if<service == null> {
Console.WriteLine<"Could not locate server.">;
return;
}
// call remote method
Console.WriteLine<>;
Console.WriteLine<"Calling remote object">;
Console.WriteLine<service.HelloMethod<"Caveman">>; Console.WriteLine<service.HelloMethod<"Spaceman">>; Console.WriteLine<service.HelloMethod<"Bob">>; Console.WriteLine<"Finished remote object call">; Console.WriteLine<>;
//Extract the returned data from the call context LogicalCallContextData returnedData =
<LogicalCallContextData>CallContext.GetData<"test data">;
Console.WriteLine<data.numOfAccesses>;
Console.WriteLine<returnedData.numOfAccesses>;
}
}
下面的代码示例说明如何使用GetData 方法将主体和标识对象传输到远程位置以进行标识。

using System;
using System.Text;
using System.Runtime.Remoting.Messaging;
using System.Security.Principal;
public class HelloServiceClass : MarshalByRefObject {
static int n_instances;
int instanceNum;
public HelloServiceClass<> {
n_instances++;
instanceNum = n_instances;
Console.WriteLine<this.GetType<>.Name + " has been created.
Instance # = {0}", instanceNum>;
}
~HelloServiceClass<> {
Console.WriteLine<"Destroyed instance {0} of
HelloServiceClass.", instanceNum>;
}
public String HelloMethod<String name> {
//Extract the call context data
LogicalCallContextData data =
<LogicalCallContextData>CallContext.GetData<"test data">;
IPrincipal myPrincipal = data.Principal;
//Check the user identity
if< == "Bob"> {
Console.WriteLine<"\nHello {0}, you are identified!",
>;
Console.WriteLine<data.numOfAccesses>;
}
else {
Console.WriteLine<"Go away! You are not identified!">;
return String.Empty;
}
// calculate and return result to client
return "Hi there " + name + ".";
}
}
4 详细代码设计
4.1 WebService代码设计
WebService端代码主要进行对数据库的操作,建立起Client操作数据库所需要的方法,供Client的端调用。

1〕class UserInfoMng<> 用户信息管理类,其中包括方法：
CreateUserInfo<string UserName string UserPwd> 建立用
户信息,调用存储过程CreateUserInfo〔UserName,UserPwd〕
ModifyUserInfo<string UserName string UserPwd> 修改用
户信息,调用存储过程ModifyUserInfo〔UserName,UserPwd〕
DeleteUserInfo<> 删除用户信息,调用存储过程
DeleteUserInfo
<UserID>
2〕class UserAuthentication<> 用户认证类,用来实现用户角色、权限的设置,包括方法：
CreatePermissionInfo<string PermissionName string Permissi-
-onNote> 建立权限信息,调用存储过程CreatePermissionInfo
〔PermissionName,PermissionNote〕
CreateRoleInfo<string RoleName string RoleNote> 建立角
色信息,调用存储过程CreateRoleInfo<RoleName,RoleNote>
DeleteRoleInfo<> 删除角色信息,调用存储过程
DeleteRoleInfo
<RoleID>
GrantUserRole<string UserID string RoleID string
UserRoleNote> 授予用户角色,调用存储过程
GrantUserRole<UserID,RoleID,
UserRoleNote>
DeleteUserRole<> 删除用户角色,调用存储过程
DeleteUserRole
<UserRoleID>
GrantRolePermission<string RoleID string PermissionID
string RolePermissionNote> 授予角色权限,调用存储过程
GrantRolePermission<RoleID,PermissionID,RolePermissionNo
te>
DeleteRolePermission<> 删除授予的角色权限,调用存储过
程
DeleteRolePermission<RolePermissionID>
4.2 用户认证代码设计〔Client端〕
Client端调用WebService方法来进行数据库访问,Client端代码设计主要实现界面的功能,包括：权限设置、用户管理、用户授权管理和用户认证管理
1>权限设置
class PermissionInfoMng<> 用户权限信息管理类,包括方法：
CreatePermissionInfo<> 建立权限信息
2>用户管理
class UserInfoMng<> 用户信息管理类,包括方法：
CreateUserInfo<> 建立用户信息
ModifyUserInfo<> 修改用户信息
DeleteUserInfo<> 删除用户信息
3>用户授权管理
class RoleInfoMng<> 角色信息管理类,包括方法：
CreateRoleInfo<> 建立角色信息
DeleteRoleInfo<> 删除角色信息
class UserRoleMng<> 用户角色管理类,包括方法：
GrantUserRole<> 授予用户角色
DeleteUserRole<> 删除用户角色
class RolePermissionMng<> 角色权限管理类,包括方法
GrantRolePermission<> 授予角色权限
DeleteRolePermission<> 删除角色权限
4〕用户认证管理
class Authentication<> 用户认证类,包括方法：
Login<string UserName string UserPwd> 用户登陆认证,用
户认证通过分配给用户一个TicketID,否则TicketID则为null
Logout<> 用户正常退出
ExceptionLogout<> 用户异常退出
原文地址
发表于：2006-11-30 ,修改于：2006-11-30 09:46,已浏览2049次,有评论0条推荐投诉。