一種通用權(quán)限管理方案的設(shè)計方案

摘要：分析了權(quán)限管理的概念和一些與權(quán)限管理容易混淆的概念。提出了一種目前可以應(yīng)用到絕大多數(shù)與權(quán)限有關(guān)的系統(tǒng)設(shè)計中的通用權(quán)限管理方案。該方案以角色對用戶進行分組，通過用戶數(shù)據(jù)庫、角色數(shù)據(jù)庫、權(quán)限數(shù)據(jù)庫、用戶－權(quán)限數(shù)據(jù)庫以及角色-權(quán)限數(shù)據(jù)庫來實現(xiàn)權(quán)限的分層管理。該設(shè)計方案能夠由管理員方便的對權(quán)限進行設(shè)置。通過對角色的權(quán)限設(shè)置可以達到快速設(shè)置權(quán)限。通過對用戶的權(quán)限設(shè)置可以達到權(quán)限的精確控制。文章最后以某項目為基礎(chǔ)對該權(quán)限設(shè)計方案進行了實現(xiàn)。通過測試，該方案能夠很好的對用戶權(quán)限進行控制，從而提高整個系統(tǒng)的安全性。

關(guān)鍵詞：權(quán)限系統(tǒng)角色數(shù)據(jù)庫

1 權(quán)限管理的概念

權(quán)限管理是軟件系統(tǒng)中最常見的功能之一。所謂權(quán)限管理，一般指根據(jù)系統(tǒng)設(shè)置的安全規(guī)則或者安全策略，用戶可以訪問而且只能訪問自己被授權(quán)的資源，不多不少。權(quán)限管理幾乎出現(xiàn)在任何系統(tǒng)里面，只要有用戶和密碼的系統(tǒng)。尤其是在B/S機構(gòu)的系統(tǒng)中，由于沒有專門的客戶端軟件系統(tǒng)，所以權(quán)限管理就顯的尤為重要。如果一個B/S系統(tǒng)的權(quán)限管理設(shè)計的不好，那么一個“非法用戶”就可以輕而易舉的獲取整個系統(tǒng)的所有本能，包括超級管理員的功能。那么這樣的系統(tǒng)還有誰敢使用。

很多人，常將“用戶身份認證”、“密碼加密”、“系統(tǒng)管理”等概念與權(quán)限管理概念混淆。用戶身份認證，根本就不屬于權(quán)限管理范疇。用戶身份認證，是要解決這樣的問題：用戶告訴系統(tǒng)“我是誰”，系統(tǒng)就問用戶憑什么證明你就是“誰”呢？對于采用用戶名、密碼驗證的系統(tǒng)，那么就是出示密碼。當用戶名和密碼匹配，則證明當前用戶是誰；對于采用指紋等系統(tǒng)，則出示指紋；對于硬件Key等刷卡系統(tǒng)，則需要刷卡。密碼加密，是隸屬用戶身份認證領(lǐng)域，不屬于權(quán)限管理范疇。

2 權(quán)限管理的設(shè)計

2.1 權(quán)限管理的對象 在一般的系統(tǒng)設(shè)計中，權(quán)限管理的參于對象包括用戶對象、角色（或分組）對象、功能模塊對象。角色是為了完成各種工作而創(chuàng)造，用戶則依據(jù)它的責任和資格來被指派相應(yīng)的角色。功能模塊則對不同的系統(tǒng)來說各不相同，一般在系統(tǒng)設(shè)計中最終將其以圖形界元素的形式表現(xiàn)出來（比如軟件界面上的各個功能按鈕）。

2.2 權(quán)限管理舉例 下面我們舉例說明2.1中提到的用戶、角色、功能三個對象在權(quán)限管理中具體應(yīng)用。表1中列出了某文檔管理項目中權(quán)限管理的一部分設(shè)計表。從中我們可以清晰的區(qū)別出這三個對象以及它們的各自作用。

2.3 權(quán)限管理解決方案 根據(jù)2.2中的舉例就可以看出要實現(xiàn)這種分層的權(quán)限管理，需要將用戶數(shù)據(jù)、角色數(shù)據(jù)、權(quán)限數(shù)據(jù)進行保存。在一般的系統(tǒng)，為了方便的管理這些數(shù)據(jù)及其之間的關(guān)系，都是采用數(shù)據(jù)庫的方式進行管理。對簡單的、固定的權(quán)限管理也可采用xml文件或配置文件的方式來管理權(quán)限。為此可以設(shè)計以下幾張關(guān)鍵的數(shù)據(jù)表：

①用戶表：記錄用戶的相關(guān)信息，id作為唯一的用戶標識；②角色表：記錄角色的相關(guān)信息，id作為唯一的角色標識；③模塊及功能表：記錄模塊相關(guān)信息及模塊的相關(guān)功能。

這種三層的用戶權(quán)限管理為一種最基本的權(quán)限管理模式，在有的系統(tǒng)中還可以以此為基礎(chǔ)進行擴展。比如在某文檔管理系統(tǒng)還會多此一個目錄表。不同的角色的權(quán)限同時取決于在那個文檔目錄下，也就是說不同的角色的權(quán)限在不同的目錄中不是固定不變的。這種情況下可以再加上一個相應(yīng)的數(shù)據(jù)表。

3 權(quán)限管理的實現(xiàn)

3.1 數(shù)據(jù)庫的設(shè)計實現(xiàn) 根據(jù)2.3中的討論，我們建立以下幾數(shù)據(jù)庫來分別表示2.1中的權(quán)限管理各個對象。

3.1.1 員工組織結(jié)構(gòu)表(staff_structure) 包含以下幾個字段：id:編號，自動增長。name:組織結(jié)構(gòu)名稱。path:組織結(jié)構(gòu)目錄，以/分開，如/銷售部/第一小組。根據(jù)這個可以很方便的將結(jié)構(gòu)組織成樹型結(jié)構(gòu)，并進行刪除插入修改等操作。depth：結(jié)構(gòu)所在層數(shù)。以便構(gòu)成組織結(jié)構(gòu)樹。

3.1.2 員工表(staff) username:唯一標識用戶的用戶名。id_struct:外鍵，保存員工組織結(jié)構(gòu)表(staff_structure)中的主鍵id，表明員工的組織結(jié)構(gòu)。password:員工登錄密碼。real_name:員工真實姓名。image:員工照片路徑。

3.1.3 文檔目錄結(jié)構(gòu)(directory) 包含以下幾個字段：id：主鍵，唯一性編號。name：目錄名稱。path：存放父目錄id路徑（用/隔開）。date:目錄創(chuàng)建時間。depth:目錄所在層數(shù)。

3.1.4 權(quán)限表(permissions) 包含以下幾個字段：id:為編號：自動增長。

其余字段分別對應(yīng)了系統(tǒng)的具體權(quán)限。如果要擴展權(quán)限可以對該表進行擴展。利如在某文檔管理項目中有十個權(quán)限分別為創(chuàng)建子目錄、刪除子目錄、上傳文件、刪除文件、下載文件、在線閱讀、在線比較、根據(jù)模板創(chuàng)建文件、上傳模板、刪除模板。

3.1.5 目錄權(quán)限表(permissions) 包含以下幾個字段：id：主鍵，唯一性編號。id_permissions：外鍵，與permissions表相關(guān)，表示目錄權(quán)限。id_directory：外鍵，與directory表相關(guān)，表示是那個目錄的權(quán)限。username:外鍵，與staff表相關(guān)，表示該權(quán)限為哪個用戶分配。

3.2 權(quán)限表的初始化 3.1中的權(quán)限表permissions中有十個分別對應(yīng)該系統(tǒng)具體權(quán)限的字段。這些字段的數(shù)據(jù)類型為bit型。即每種權(quán)限只有打開和關(guān)閉兩種狀態(tài)。所以對應(yīng)十種具體權(quán)限的系統(tǒng)。所有權(quán)限的組合的最大數(shù)目為即1024種。所以權(quán)限表的一種設(shè)計方法為：系統(tǒng)初始化的時候使用程序把所有的權(quán)限組合都初始化好。以后在設(shè)置權(quán)限的時候只需要在這個表中查找相應(yīng)的權(quán)限組合。還有一種設(shè)計方法為：權(quán)限表在初始化的時候不存任何權(quán)限。而在以后設(shè)置權(quán)限的時候?qū)γ恳环N組合先在數(shù)據(jù)庫中搜索。如果搜索到了則取出其編號。如果沒有搜索到就將新的權(quán)限組合插入到權(quán)限表中，然后再取出其編號。

參考文獻：

[1]David F.Ferraiolo，D.Richard Kuhn and Ramaswamy ChanDramouli.《Role-Based Access Control》[M].Artech House，2003.134-136

[2]代文龍.《權(quán)限系統(tǒng)概要》[EB/OL].http://www.jdon.com/jivejdon/thre

ad/7309.html，2003.06.

[3]宋維平，曾一，涂爭光等.B/S模式下OA系統(tǒng)的權(quán)限控制設(shè)計與實現(xiàn).計算機工程與應(yīng)用，2004（35）：199-201.

[4]張曉輝.大型信息系統(tǒng)用戶權(quán)限管理.計算機應(yīng)用，2000，20(11):35-39.

基金項目：本文得到渭南師范學院科研項目、陜西教育學會科研項目的資助。

項目名稱:大規(guī)模虛擬試驗中網(wǎng)絡(luò)互聯(lián)問題研究、運用信息技術(shù)手段構(gòu)建網(wǎng)絡(luò)教研新模式研究。

項目編號:11YKZ017、SJHYBKT2011004-03。