BBCA统一权限管理系统设计方案

(此文档为word格式，下载后您可任意编辑修改！) 统一权限管理系统

设计方案

项目名称：

承建单位：

管理单位：

意见签署页

需求确认栏

修订历史记录

目录

第1章引言 (1)

1.1概述 (1)

1.2目标 (1)

1.3术语 (2)

1.4参考资料 (3)

第2章总体设计 (4)

2.1运行环境 (4)

2.2设计思路 (4)

2.3认证服务模式 (6)

第3章功能概述 (7)

3.1系统用例 (8)

3.2处理流程 (9)

3.3应用系统设置 (11)

3.4用户管理模块设置 (11)

3.5权限及菜单设置 (13)

3.6角色管理设置 (16)

3.7应用系统调用方式 (17)

3.7.1身份验证 (17)

3.7.2获取用户权限列表 (17)

3.7.3获取菜单列表 (17)

3.7.4权限管理 (17)

3.8概念模型 (17)

第4章整合SSO (19)

第1章引言

1.1 概述

权限管理是应用系统中不可缺少的一部分，通常的做法是每开发一个系统都要将这部分功能作为一个模块来开发，一般要开发过程包含以下几个步骤：

1. 在数据库中建立用户和权限相关的表结构

2. 开发用户、角色、权限管理等的功能模块

3. 为系统的每个功能加入获取和判断权限的方法

其实在不同的应用系统中，这些功能基本上都是一样的，每个系统都要加入这些大同小异的功能无疑会带来相当多的重复性工作，浪费我们不少宝贵时间。虽然将这些功能模块化能减轻一些工作，但由于每个系统采用的开发环境不同(如有些系统采用.net技术，有些用J2EE技术)，或者虽然采用的开发技术相同，但采用的框架也可能存在差异(如在J2EE技术下有的采用Hibernate，有的采用IBATIS或者直接调用JDBC等)，造成将这些权限模块移植到不同的应用系统时还是需要对代码进行相当繁琐的修改。

1.2 目标

为了提高功能的可复用性，结合公司以往的成功项目经验，通过统一的系统规划和系统设计，开发一套通用的权限管理系统，将用户管理、权限管理及单点登录功能都集成到该系统中。该系统主要解决后期新开发的应用系统无需重新开发权限管理模块的工作，不管新开发的应用系统采用的是什么开发环境，都可以通过WebService 方法来调用权限管理系统提供的权限认证服务，而且还可以实现用户一次登录、网内通用，避免每进入一个系统都要重复登录的情况。此外，可以对区域内各信息应用系统的权限分配和权限变更进行有效的统一化管理，实现多层次统一授权，审计各种权限的使用情况，防止信息共享后的权限滥用，规范今后的应用系统的建设。

本文提供一种集成功能权限和数据权限的解决方法，以满足多层次组织中权限管

理方面的集中控制。本方法主要是基于RBAC（角色的访问控制方法）的进一步扩展和延伸，即在功能权限的基础上增加数据权限的管理，实现数据权限和功能权限的集中处理。

1.3 术语

功能权限

系统的所有权限信息。权限具有上下级关系，是一个树状的结构。如下图：

系统管理

用户管理

查看用户新增用户

修改用户删除用户

图表1:功能权限的树状关系

对于上面的每个权限，又存在两种情况，一个是只可访问，另一种是可授权，例如对于“查看用户”这个权限，如果用户只被授予“可访问”，那么他就不能将他所具有的这个权限分配给其他人。

数据权限

权限所能管理的资源，比如管理哪个部门。

用户

应用系统的具体操作者，用户可以自己拥有权限信息，可以归属于0～n个角色，可属于0～n个组。他的权限集是自身具有的权限、所属的各角色具有的权限、所属的各组具有的权限的合集。它与权限、角色、组之间的关系都是n对n的关系。

角色

为了对许多拥有相似权限的用户进行分类管理，定义了角色的概念，例如系统管理员、管理员、用户、访客等角色。

1.4 参考资料

第2章总体设计

2.1 运行环境

操作系统：Windows系列操作系统和Linux系列操作系统。

网络结构：通用权限管理系统采用B/S架构实现，可以在桌面应用和Web应用系统中通过WebService进行调用。

2.2 设计思路

权限管理系统的设计结合以往公司的成功项目经验与当前技术快速发展状况，以服务为中心，根据业务需求发现服务、描述服务并设计服务的实现。主要从以下几方面着手：

1. 独立性：

物理上独立：与各应用系统之间在物理上（部署时）相对独立（出于

网络性能考虑，可以部署在相同网络中或部署到多个节点上以达到集

群）。

数据独立：用户和权限数据存储在权限管理系统的数据库中，不同于

应用系统的业务数据的存储。

技术独立：以Web Service服务方式提供接口，保证技术实现上与应

用系统技术独立（J2EE、.NET程序都可通用）。

人事管理系统

信息门户系统

后勤系统

权限管理系统

科研管理系统

单点登陆

协同办公系统

财务管理系统

一卡通系统

图表 2.1：权限管理系统与各应用系统的关系图

2. 统一管理：各应用系统的用户和权限由权限管理系统统一管理，物理上权限管

理系统与各应用系统相对独立，但逻辑上集中统一管理。

3. 安全性：基于DES加密机制，使数据在传输与存储上更安全与完整。

4. 松耦合：以服务的方式与应用系统整合，通过WebService请求获取权限列表。

5. 通用性：适合一般应用系统管理授权的要求，整合了其它项目的以往成功经验。

6. 基于角色的策略：将用户与访问权限分离，基于角色的策略更能实现以职责为

中心的管理原则。同时既可满足集中管理，也可满足分散管理的目标权限管理。

集中管理：由系统管理员对所有岗位的进行全面和具体的职责分工，

用户权限按职责角色作出标准细致的划分，以达到集中管理。

分散管理：系统管理员为下级管理员设置部分权限，并交由下级管理

员在其部分权限范围内进行细化各岗位权限，避免权限的漏洞，达到

分散、分层管理。

7. 以应用系统为基线：权限管理系统对各应用系统的权限分开管理，以应用系统

为基线，在应用系统上设置用户和权限。

8. 参数配置：通过在各应用系统上配置某些参数，使灵活IT技术能快速适应应用

系统的实际业务。如可以通过参数设置是否分配用户组功能，控制某一应用程序的角色是否分配用户组上。