权限管理设计
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
RBAC的主要思想是:权限(Permissions)是和角色(Roles)相联系的,而用户(Users)则被指定到相应的角色作为其成员。这样就使权限的管理大大简化了。
系统的权限控制主要是采用基于角色的访问控制,把权限绑定到角色上,当用户要操作权限时,就把角色赋给用户。而且在需要撤回权限时,只需把角色上的权限撤回就行了。
权限管理设计
———————————————————————————————— 作者:
———————————————————————————————— 日期:
对EMS权限管理模块设计
1.权限设计概述
1.1引言
随着Web服务的复杂度增加以及用户数量和种类的增多,安全问题在理论及工程上都是一个必须考虑的问题,而权限管理是安全问题中一个很重要的方面。因此本文针对权限做了一个分析。
用户(User):
UserID UserNameUserPwd
1张三xxxxxx
2李四xxxxxx
……
角色(Role):
RoleID(角色编号)RoleName(角色名称)RoleNote(角色注释)
01 ﻩﻩ系统管理员监控系统维护管理员
02监控人员在线监控人员
03 ﻩﻩﻩ调度人员ﻩﻩ ﻩ调度工作人员
1.3目标
直观,因为系统最终会由最终用户来维护,权限分配的直观和容易理解,显得比较重要,除了功能的必须,更主要的就是因为它足够直观。
简单,包括概念数量上的简单和意义上的简单还有功能上的简单。想用一个权限系统解决所有的权限问题是不现实的。设计中将变化的“定制”特点比较强的部分判断为业务逻辑,而将相同的“通用”特点比较强的部分判断为权限逻辑就是基于这样的思路。
3.2思路
为了设计一套具有较强可扩展性的权限管理,需要建立用户、角色和权限等数据库表,并且建立之间的关系,具体实现如下
3.3用户
用户仅仅是纯粹的用户,用来记录用户相关信息,如用户名、密码等,权限是被分离出去了的。用户(User)要拥有对某种资源的权限,必须通过角色(Role)去关联。用户通常具有以下属性:
权限可简单表述为这样的逻辑表达式:判断“Who对What(Which)进行How的操作”的逻辑表达式是否为真。
1.2意义
用户管理及权限管理一直是应用系统中不可缺少的一个部分
系统用户很多,系统功能也很多
不同用户对系统功能的需求不同
出于安全等考虑,关键的、重要的系统功能需限制部分用户的使用
出于方便性考虑,系统功能需要根据不同的用户而定制
04一般工作人员ﻩﻩ工作人员
……
用户角色(User_Role):
UserRoleIDUserID RoleIDUserRoleNote(用户角色注释)
1102用户“张三”被分配到角色“监控人员”
2202用户“李四”被分配到角色“监控人员”
……
从该关系表可以看出,用户所拥有的特定资源可以通过用户角色来关联。
角色管理:角色是赋予系统用户的职权名称。包括,新建、删除、编辑、注销等;系统初始化的时候,角色管理中默认只拥有一个超级管理员的角色,其他角色由拥有这个角色的用户创建并授权。
其他模块:其他模块的每个功能都拥有一个唯一Id,根据用户登陆的权限,再确定这些功能是否对用户开放。
3.权限设计思路
3.1 基于角色的访问控制RBAC
登陆系统:根据用户拥有的权限不同,用户所能操作的功能多少就不同,所以在登陆系统的时候就要对用户的权限进行判断。
用户管理:这里对本系统的登录用户进行维护。包括,新建、删除、编辑、注销等;系统初始化的时候,用户管理中默认只有一个拥有超级管理员角色的用户,因此在初始化登陆的时候,只能用这个用户登陆,其他的用户由这个用户创建并授予角色。
编号,在系统中唯一。
名称,在系统中唯一-----(添,删,改,查)
注释,描述权限信息.---允许增加监控对象
3.6用户与角色的关系
一个用户(User)对应一个角色(Role),一个角色可以被多个用户使用,用户角色就是用来描述他们之间隶属关系的对象。用户(User)通过角色(Role)关联所拥有对某种资源的权限,例如
普通管理员:它是由超级管理员创建的,并授予权限,它能够管理系统中大部分的功能,它可以查看所有普通管理员、普通用户的信息,它只能对由它自己创建的用户进行编辑、删除操作,和管理拥有权限的模块。
普通用户:它是系统中最低权限的角色,它只能对自己拥有的权限进行操作,一般情况下,它的权限是对信息的浏览和对自己信息的录入,修改。
编号,在系统中唯一。
名称,在系统中唯一。
用户口令。
注释,描述用户或角色的信息。
3.4角色
角色是使用权限的基本单位,拥有一定数量的权限,通过角色赋予用户权限,通常具有以下属性:
编号,在系统中唯一。
名称,在系统中唯一----(监控人员)
注释,描述角色信息. ---(在线监控人员)
3.5权限
权限指用户根据角色获得对程序某些功能的操作,例如对文件的读、写、修改和删除功能,通常具有以下属性:
扩展,采用可继承的方式解决了权限在扩展上的困难。引进Group概念在支持权限以组方式定义的同时有效避免了权限的重复定义。
2.基于角色的权限管理设计(Role-BasedAccess Control,RBAC)
2.1权限管理用例图
2.2用例图描述
超级管理员:系统中默认的角色,它是系统中拥有最高权限的角色,它不仅能够管理其他的管理员和用户,而且还可以对系统中每个模块的任一功能进行操作、维护。
3.7权限与角色的关系
一个角色(Role)可以拥有多个权限(Permission),同样一个权限可分配给多个角色。
例如:
角色(Role):
RoleUUID(角色UUID) RoleName(角色名称)RoleRemark(角色注释)
01ﻩ系统管理员ﻩ监控系统ຫໍສະໝຸດ Baidu护管理员
02ﻩ监控人员在线监控人员
03 ﻩﻩ调度人员ﻩ调度工作人员
04一般工作人员ﻩ工作人员
……
权限(Privilege):
PrivilegeUUID(权限UUID)PrivilegeName(权限名称)PrivilegeRemark(权限注释)
0001ﻩ增加监控允许增加监控对象
0002ﻩ修改监控ﻩﻩﻩ允许修改监控对象
0003ﻩﻩ删除监控ﻩﻩﻩ允许删除监控对象
0004 ﻩﻩ察看监控信息ﻩ允许察看监控对象
系统的权限控制主要是采用基于角色的访问控制,把权限绑定到角色上,当用户要操作权限时,就把角色赋给用户。而且在需要撤回权限时,只需把角色上的权限撤回就行了。
权限管理设计
———————————————————————————————— 作者:
———————————————————————————————— 日期:
对EMS权限管理模块设计
1.权限设计概述
1.1引言
随着Web服务的复杂度增加以及用户数量和种类的增多,安全问题在理论及工程上都是一个必须考虑的问题,而权限管理是安全问题中一个很重要的方面。因此本文针对权限做了一个分析。
用户(User):
UserID UserNameUserPwd
1张三xxxxxx
2李四xxxxxx
……
角色(Role):
RoleID(角色编号)RoleName(角色名称)RoleNote(角色注释)
01 ﻩﻩ系统管理员监控系统维护管理员
02监控人员在线监控人员
03 ﻩﻩﻩ调度人员ﻩﻩ ﻩ调度工作人员
1.3目标
直观,因为系统最终会由最终用户来维护,权限分配的直观和容易理解,显得比较重要,除了功能的必须,更主要的就是因为它足够直观。
简单,包括概念数量上的简单和意义上的简单还有功能上的简单。想用一个权限系统解决所有的权限问题是不现实的。设计中将变化的“定制”特点比较强的部分判断为业务逻辑,而将相同的“通用”特点比较强的部分判断为权限逻辑就是基于这样的思路。
3.2思路
为了设计一套具有较强可扩展性的权限管理,需要建立用户、角色和权限等数据库表,并且建立之间的关系,具体实现如下
3.3用户
用户仅仅是纯粹的用户,用来记录用户相关信息,如用户名、密码等,权限是被分离出去了的。用户(User)要拥有对某种资源的权限,必须通过角色(Role)去关联。用户通常具有以下属性:
权限可简单表述为这样的逻辑表达式:判断“Who对What(Which)进行How的操作”的逻辑表达式是否为真。
1.2意义
用户管理及权限管理一直是应用系统中不可缺少的一个部分
系统用户很多,系统功能也很多
不同用户对系统功能的需求不同
出于安全等考虑,关键的、重要的系统功能需限制部分用户的使用
出于方便性考虑,系统功能需要根据不同的用户而定制
04一般工作人员ﻩﻩ工作人员
……
用户角色(User_Role):
UserRoleIDUserID RoleIDUserRoleNote(用户角色注释)
1102用户“张三”被分配到角色“监控人员”
2202用户“李四”被分配到角色“监控人员”
……
从该关系表可以看出,用户所拥有的特定资源可以通过用户角色来关联。
角色管理:角色是赋予系统用户的职权名称。包括,新建、删除、编辑、注销等;系统初始化的时候,角色管理中默认只拥有一个超级管理员的角色,其他角色由拥有这个角色的用户创建并授权。
其他模块:其他模块的每个功能都拥有一个唯一Id,根据用户登陆的权限,再确定这些功能是否对用户开放。
3.权限设计思路
3.1 基于角色的访问控制RBAC
登陆系统:根据用户拥有的权限不同,用户所能操作的功能多少就不同,所以在登陆系统的时候就要对用户的权限进行判断。
用户管理:这里对本系统的登录用户进行维护。包括,新建、删除、编辑、注销等;系统初始化的时候,用户管理中默认只有一个拥有超级管理员角色的用户,因此在初始化登陆的时候,只能用这个用户登陆,其他的用户由这个用户创建并授予角色。
编号,在系统中唯一。
名称,在系统中唯一-----(添,删,改,查)
注释,描述权限信息.---允许增加监控对象
3.6用户与角色的关系
一个用户(User)对应一个角色(Role),一个角色可以被多个用户使用,用户角色就是用来描述他们之间隶属关系的对象。用户(User)通过角色(Role)关联所拥有对某种资源的权限,例如
普通管理员:它是由超级管理员创建的,并授予权限,它能够管理系统中大部分的功能,它可以查看所有普通管理员、普通用户的信息,它只能对由它自己创建的用户进行编辑、删除操作,和管理拥有权限的模块。
普通用户:它是系统中最低权限的角色,它只能对自己拥有的权限进行操作,一般情况下,它的权限是对信息的浏览和对自己信息的录入,修改。
编号,在系统中唯一。
名称,在系统中唯一。
用户口令。
注释,描述用户或角色的信息。
3.4角色
角色是使用权限的基本单位,拥有一定数量的权限,通过角色赋予用户权限,通常具有以下属性:
编号,在系统中唯一。
名称,在系统中唯一----(监控人员)
注释,描述角色信息. ---(在线监控人员)
3.5权限
权限指用户根据角色获得对程序某些功能的操作,例如对文件的读、写、修改和删除功能,通常具有以下属性:
扩展,采用可继承的方式解决了权限在扩展上的困难。引进Group概念在支持权限以组方式定义的同时有效避免了权限的重复定义。
2.基于角色的权限管理设计(Role-BasedAccess Control,RBAC)
2.1权限管理用例图
2.2用例图描述
超级管理员:系统中默认的角色,它是系统中拥有最高权限的角色,它不仅能够管理其他的管理员和用户,而且还可以对系统中每个模块的任一功能进行操作、维护。
3.7权限与角色的关系
一个角色(Role)可以拥有多个权限(Permission),同样一个权限可分配给多个角色。
例如:
角色(Role):
RoleUUID(角色UUID) RoleName(角色名称)RoleRemark(角色注释)
01ﻩ系统管理员ﻩ监控系统ຫໍສະໝຸດ Baidu护管理员
02ﻩ监控人员在线监控人员
03 ﻩﻩ调度人员ﻩ调度工作人员
04一般工作人员ﻩ工作人员
……
权限(Privilege):
PrivilegeUUID(权限UUID)PrivilegeName(权限名称)PrivilegeRemark(权限注释)
0001ﻩ增加监控允许增加监控对象
0002ﻩ修改监控ﻩﻩﻩ允许修改监控对象
0003ﻩﻩ删除监控ﻩﻩﻩ允许删除监控对象
0004 ﻩﻩ察看监控信息ﻩ允许察看监控对象