《权限系统论文 基于角色的登录功能的设计与实现.doc》由会员分享,可在线阅读,更多相关《权限系统论文 基于角色的登录功能的设计与实现.doc(24页珍藏版)》请在金锄头文库上搜索。
1、分类号密级 UDC 毕 业 论 文基于角色的登录功能的设计与实现 学生姓名 学号 指导教师 系(部) 信息工程系 专业年级 2011级计算机科学与技术 论文答辩日期 2011年5月21日 中 国 某某大 学基于角色的登录功能的设计与实现http:/localhost:8001/Login 完成日期: 指导教师签字: 答辩小组成员签字: 基于角色的登录功能的设计与实现摘 要最近,随着电子商务和电子政务的发展,网络安全已成为研发的热点和重点。如何安全可靠的控制每个用户对各种数据的访问,即数据的访问控制是每一个计算机系统都会涉及到的问题。随着系统用户数量的增多,数据访问控制的设计和实现也越来越复杂。
2、本系统采用Myeclipse作为开发环境,以Tomcat作为Web服务器,MySQL作为数据库服务器,采用JSP+JAVABEAN制作常用BEAN组件源代码。基于角色访问控制(RBAC)模型是目前国际上流行的先进的安全访问控制方法。它通过分配和取消角色来完成用户权限的授予和取消,并且提供角色分配规则。安全管理人员根据需要定义各种角色,并设置合适的访问权限。这样,整个访问控制过程就分成两个部分,即访问权限与角色相关联,角色再与用户关联,从而实现了用户与访问权限的逻辑分离。关键词: 角色;数据库;访问控制目 录1 绪论11.1 引言11.2 基于角色的登录功能的定义及其发展前景11.2.1 角色的
3、相关定义211.2.2 基于角色的登录功能的发展前景121.3 系统涉及的相关技术31.3.1 MVC架构31.3.2 开发环境Eclipse简介41.3.3 MySql数据库852 系统分析62.1 可行性分析62.1.1 资源可行性62.1.2 时间可行性62.2 需求分析62.2.1 系统功能初步需求分析62.2.2 登录系统用户的情况72.3 系统数据流分析72.3.1 系统对于普通用户的数据流程分析82.3.2 系统对于管理员的数据流程分析83 概要设计93.1 系统开发的两种模式93.1.1 B/S模式93.1.2 C/S模式93.1.3 选择B/S模式的原因103.2 相关权限管
4、理1104 详细设计124.1 数据库设计124.2 主要页面的设计134.2.1 系统主页134.2.2 登录页面145 基于角色的登录系统的测试166 结论17参考文献18致谢191 绪论1.1 引言访问控制技术是信息安全领域中的一个重要的研究内容,它在保护敏感信息、防止越权访问方面起着重要的作用。尤其是最近几年,在网络系统的安全问题日益突出的大环境下,访问控制技术也得到了人们越来越多的关注。基于角色的访问控制(RBAC)是实施面向企业安全策略的一种有效的访问控制方式。其基本思想是,对系统操作的各种权限不是直接授予具体的用户,而是在用户集合与权限集合之间建立一个角色集合。每一种角色对应一组
5、相应的权限。一旦用户被分配了适当的角色后,该用户就拥有此角色的所有操作权限。这样做的好处是,不必在每次创建用户时都进行分配权限的操作,只要分配用户相应的角色即可,而且角色的权限变更比用户的权限变更要少得多,这样将简化用户的权限管理,减少系统的开销。把对用户的授权分成两部份,用角色来充当用户行驶权限的中介。这样,用户与角色之间以及角色与权限之间就形成了两个多对多的关系。系统提供角色定义工具允许用户根据自己的需要定义相应的角色。1.2 基于角色的登录功能的定义及其发展前景1.2.1 角色的相关定义2RBAC模型中的常用术语如下:用户(User):是一个访问计算机系统中的数据或者用数据表示的其它资源
6、的主体。我们用U 表示全体用户的集合。用户一般情况下指人,也可为Agent等智能程序。权限(Permission):是对计算机系统中的数据或者用数据表示的其它资源进行访问的许可。我们用P 表示全体权限的集合。权限一般是一种抽象概念,表示对于某种客体资源的某种操作许可。因此有的模型中将权限细化为二元组(操作,对象),其中对象是访问控制系统中的真正客体,操作是作用在该对象上的一种访问方式。由于该二元组中操作一般是与具体的对象相关的,我们在今后的模型中认为权限是一个语义统一体。角色(Role):是指一个组织或任务中的工作或位置,代表了一种资格、权力和责任。我们用R表示全体角色的集合。角色是一种语义综
7、合体,可以是一种抽象概念,也可以对应于具体应用领域内的职位和权利。管理员角色(Administrator Role):是一种特定的角色,用来对角色的访问权限进行设置和管理。角色激活(Role Activation):是指用户从被授权的角色中选择一组角色的过程。用户访问的时候实际具有的角色只包含激活后的角色,未激活的角色在访问中不起作用。相对于静态的角色授权来说,角色激活是一种动态的过程,提供了相当的灵活性。会话(Session):对应于一个用户和一组激活的角色,表征用户进行角色激活的过程。一个用户可以进行几次会话,在每次会话中激活不同的角色,这样用户也将具有不同的访问权限。用户必须通过会话才能
8、激活角色。1.2.2 基于角色的登录功能的发展前景在RBAC模型中,角色是实现访问控制策略的基本语义实体。系统管理员可以根据职能或机构的需求策略来创建角色、给角色分配权限和给用户分配角色等。基于角色访问控制的核心思想是将权限同角色关联起来,而用户的授权则通过赋予相应的角色来完成,用户所能访问的权限就由该用户所拥有的所有角色的权限集合的并集决定。角色之间可以有继承、限制等逻辑关系,并通过这些关系影响用户和权限的实际对应。在实际应用中,根据事业机构中不同工作的职能可以创建不同的角色,每个角色代表一个独立的访问权限实体。然后在建立了这些角色的基础上根据用户的职能分配相应的角色,这样用户的访问权限就通
9、过被授予角色的权限来体现。在用户机构或权限发生变动时,可以很灵活的将该用户从一个角色移到另一个角色来实现权限的协调转换,降低了管理的复杂度,而且这些操作对用户完全透明。另外在组织机构发生职能性改变时,应用系统只需要对角色进行重新授权或取消某些权限,就可以使系统重新适应需要。这些都使得基于角色访问控制策略的管理和访问方式具有无可比拟的灵活性和易操作性。基于角色的访问控制模型是一个策略中立的模型,完全独立于其他安全手段。由于引入角色的概念,最小权限原则得以实现,系统高度灵活并且低冗余。根据不同的应用需要可以实现不同级别的RBAC模型,并且可以实现多管理员协同管理。这些特点都进一步推动了RBAC模型
10、的理论和应用研究。目前基于RBAC的实际系统已经逐步出现,并以飞快的速度递增。二十一世纪初,一个统一的RBAC模型框架被提出并即将成为标准,基于角色的访问控制模型正逐步被理论界和工业界所接受。1.3 系统涉及的相关技术1.3.1 MVC架构模型视图控制器(MVC)15是Xerox PARC在八十年代为编程语言Smalltalk80发明的一种软件设计模式,至今已被广泛使用。最近几年被推荐为Sun公司J2EE平台的设计模式,并且受到越来越多的使用 ColdFusion 和 PHP 的开发者的欢迎。模型视图控制器模式是一个有用的工具箱。MVC一个大的好处是它能为你的应用程序处理很多不同的视图。在视图
11、中其实没有真正的处理发生,不管这些数据是联机存储的还是一个雇员列表,作为视图来讲,它只是作为一种输出数据并允许用户操纵的方式。1、模型(Model)模型是应用程序的主体部分。模型表示企业数据和业务规则。在MVC的三个部件中,模型拥有最多的处理任务。例如它可能用象EJBs和ColdFusion Components这样的构件对象来处理数据库。被模型返回的数据是中立的,就是说模型与数据格式无关,这样一个模型能为多个视图提供数据。由于应用于模型的代码只需写一次就可以被多个视图重用,所以减少了代码的重复性。2、视图(View)视图是应用程序中用户界面相关的部分,是用户看到并与之交互的界面。对老式的We
12、b应用程序来说,视图就是由HTML元素组成的界面,在新式的Web应用程序中,HTML依旧在视图中扮演着重要的角色,但一些新的技术已层出不穷,它们包括Macromedia Flash和像XHTML,XML/XSL,WML等一些标识语言和Web services.3、控制器(Controller)控制器工作就是根据用户的输入,控制用户界面数据显示和更新model对象状态。控制器接受用户的输入并调用模型和视图去完成用户的需求。所以当单击Web页面中的超链接和发送HTML表单时,控制器本身不输出任何东西和做任何处理。它只是接收请求并决定调用哪个模型构件去处理请求,然后用确定用哪个视图来显示模型处理返回
13、的数据。大部分用过程语言比如ASP、PHP开发出来的Web应用,初始的开发模板就是混合层的数据编程。例如,直接向数据库发送请求并用HTML显示,开发速度往往比较快,但由于数据页面的分离不是很直接,因而很难体现出业务模型的样子或者模型的重用性。产品设计弹性力度很小,很难满足用户的变化性需求。MVC要求对应用分层,虽然要花费额外的工作,但产品的结构清晰,产品的应用通过模型可以得到更好地体现。首先,最重要的是应该有多个视图对应一个模型的能力。在目前用户需求的快速变化下,可能有多种方式访问应用的要求。例如,订单模型可能有本系统的订单,也有网上订单,或者其他系统的订单,但对于订单的处理都是一样,也就是说订单的处理是一致的。按MVC设计模式,一个订单模型以及多个视图即可解决问题。这样减少了代码的
