文档介绍:基于J2EE平台的可配置权限
系统的设计与实现
张齐
�
余磊
华南理工大学计算机科学与工程学院
�广州
�510640
摘
�
要
�
在研究RBAC访问控制模型的基础上,设计了一种可配置的权限管理系统,并将其应用于大型
企业信息系统中。在该系统的设计过程中,详细讨论了安全控制中的资源对象、权限划分与角色定义,
并引入了组织结构、业务流程和应用分类等概念对RABC基本模型进行扩展。利用j2ee平台的优点以及
acegi框架在权限控制方面的既有成果,实现编程人员与业务人员的分离,通过对资源符的操作,来实现
系统中不同人员的不同访问权限。
关键词
�
RBAC;Acegi;J2EE;权限控制;资源符
1
�
引言
�
of RBAC基于角色的访问控制管理)授权模型[1,2],
近年来,信息系统的迅速发展,越来越多的
企业倾向于开发自己的管理信息系统,而其人员
与组织架构的复杂性对系统的安全性提出了很高
的要求,信息系统的数据安全也越来越受到人们
的重视。技术的迅猛发展,促使了
B/S这种交互方式的产生,并被广泛应用于各个
领域。由于浏览器的引入及其自身的特殊性,需
要新的方式来实现权限管理。同时在开放源代码
运动的推动下,Web应用领域基于J2EE体系的应
用框架层出不穷,其中不乏优秀的没计,如基于
MVC模式的webwork,处理持续层的Hibernate
以及服务于所有层面的Spring等。
为了防止未经授权的用户访问系统中的重要
信息,人们提出了一些权限控制模型和方法,比
较成熟的有RBAC96(role-base access control基
于角色的权限控制)和ARBAC97(Administrator
�其主要思想是系统管理员根据内部的实际需要建
立角色,并赋予角色一定的权力,再给用户赋予
一定的角色[3]。这些模型能有效保证数据的安全
性,但是目前基于该模型设计的系统也存在一些
缺陷,它只能进行粗粒度权限管理,一旦业务变
化将很难维护,并且对于菜单的显示和隐藏等操
作,程序控制较复杂。
为有效地解决目前存在的问题,本文在上述
模型的基础上,通过分析多种框架的优劣,设计
一种基于J2EE的权限控制框架,并实现了一个可
扩展性强的,易于使用的权限管理系统。该系统
在前台引入一种在显示菜单和操作菜单方面比较
ponents[4],它能够很
好的解决前台界面显示,并且对于编程方面也会
变的极其简单。在系统的整体设计中,通过引入
资源符将开发人员与业务人员分离,从而使得整
2008 06
�
31
Software Platform and Application
个系统的灵活性和可扩展性大大加强。
�
方式,可以在配置文件中配置或存放在关系数
据库。然而,Acegi本身对权限表的设计非常简
2
�系统的整体设计与实现
本系统采用了目前比较流行的架构,webwo
�单,users表{username,password,enabled}和
authorities表{username,authority},这样简
软
�
件
�rk[5]+ponents+spring+hibernate,
�单的设计肯定