基于RBAC的精品課程網站權限設計

肖群　焦慧華　李湘一

摘要：一門精品課程的建設涉及到系統管理員，課程負責人，教學團隊，學生及普通使用者等多種用戶。本文在精品課程網站建設過程中引入RBAC（Role-Based Access Control）權限設計，使精品課程網站建設中的資源得到精確控制與有效使用。

關鍵詞：精品課程；權限管理；RBAC

中圖分類號：TP311 文獻標識碼：A 文章編號：2095-2163（2016）01-

Abstract： The constcruction of a excellent course involves the system administrator， the curriculum， the teaching team， students and ordinary users and other users.This paper introduces how to design the access control system of the excellent course website， which can make the resources in the construction of the excellent course website get accurate control and effective use.

Keywords： excellent courses； access control； RBAC

0前言

精品課程建設是國家教育部為推進高校教學內容改革，教學模式創新，加強現代教育技術在教學中的應用，促進高校優質教學資源的共享而推行的高等學校教學質量與教學改革工程的重要內容。精品課程建設的核心是解決好課程內容建設問題，而課程資源建成后的共享與應用是關鍵點和落腳點[ ]。因此精品課程上網，通過網站建設實現課程資源的共享即已成為精品課程的必需環節。

精品課程網站建設涉及到把與這一門課程相關的資源上傳聯網。這些資源可分為課程簡介、教學團隊、教學大綱（課程大綱、實踐大綱）、授課教案、作業習題、實訓天堂、授課影相、模擬自測試題、自主拓展學習、教學效果等。這些內容由一個教學團隊搜集整理創作出來，并上傳到精品課程網站上。瀏覽網上的精品課程網站可以發現，很多課程網站內容都落后陳舊，甚至還有些停留在申報時的階段，與精品課程建設的主旨難以相符。究其根由，除了“重申報，輕建設，經費不到位”等方面，精品課程網站內容建設分工不明，權責不清，未發揮集體協作與長效管理機制等也是其發展過時延滯的重要原因。

本文通過分析精品課程建設中所涉及到的各類人物與角色，明確其在精品課程網站上的應用權限與擔負職責，并在精品課程網站設計過程中引入RBAC權限管理模型，把各種精品課程建設中身處不同角色的各型用戶實施和執行有效的管理，使系統管理員、課程負責人、主講教師、學生、訪客，這些不同的角色用戶均能按照系統賦予的權限獲得最佳管理并優化使用課程資源，從而使得精品課程網站能夠長期穩健地運轉及運行的。

1 RBAC模型

權限管理分自主型、強制型和基于角色的訪問控制等[ ]。其中，自主型訪問控制，控制方式太弱；強制型訪問控制，設置復雜，不靈活。 基于角色的訪問控制（RBAC）則由NIST（美國國家標準與技術研究院）提出。通過在用戶與權限直接引入角色，權限不直接賦予用戶，權限僅是賦予角色，用戶將會屬于一個或多個角色，具體的模型原理如圖1所示。

完整的RBAC模型可分為四個部分[ ]，圖1是基本模型RBAC0（Core RBAC），其下還包含角色分級模型RBAC1（Hierarchal RBAC）、角色限制模型RBAC2（Constraint RBAC）和統一模型RBAC3（Combines RBAC）。在此，給出其對應相關介紹如表1所示。

2精品課程網站建設中的角色分析

精品課程建設研究是指一個教學團隊圍繞這一門課程進行相關資源配設組合的完整過程。通過分析，不難發現精品課程網站中至少有四種角色的用戶[ ]：系統管理員、課程管理員（課程負責人）、欄目管理員（主講教師）、訪客用戶。其中，系統管理員是網站的初始用戶，權限范圍是可以添加課程與課程負責人，管理網站上的非課程資源如導入教師信息、管理訪客留言、設置網站的顯示效果等。課程負責人給團隊成員分配課程資源管理權限，一般按欄目分類。團隊成員負責資源建設與更新，同時也可以協助課程負責人管理課程。各項角色實體間的關系可以用圖2簡單表示。

3精品課程網站的權限設計

3.1設計思路

系統的研制要滿足實用性、可靠性和安全性。精品課程網站的權限設計要完成用戶登錄控制，欄目管理，資源建設與更新，課程內容的訪問監控，網站用戶及用戶權限的分配等具體功能。從項目的實際需求和安全性及實用性等方面綜合考慮，精品課程網站的權限設計采用RBAC0模型。該模型中包含五個部分，研究中分別設計為用戶表（User），角色表（Role），用戶角色分配表（User_Role），權限表（Permission），權限角色分配表（Permission_Role），其ER圖如圖3所示。

如圖3所見，模型中用戶包括課程負責人，課程建設參與者，上課的學生，訪客等。角色將包括管理員、教師、學生、課程負責人等。權限則涉及到了網站資源、網站欄目，課程資源及用戶訪問的操作管理。這里的權限設置可以相對簡單一些，把RBAC0中的操作和控制對象糅合在一起。因為精品課程網站在對課程資源的管理上不需要深入至非常細粒度，同構分別控制一個資源的“增查刪改”，將完全可以把控制的粒度限定在資源上，從而一次性把這個資源的權限賦予某個角色。如課程視頻的管理，其所有權限即均屬于一個組。因此研究中的權限表主要是指網站資源分類。權限角色分配表，則主要用于存儲各類角色都可以管理和控制哪些網站資源。

3.2功能實現

研究中，課程網站整體結構采用時下流行的三層結構，分別是：表現層，業務邏輯層，數據訪問層。具體實現中，數據訪問可以采用ORM框架簡化研究工作。權限管理將主要涉及的是業務邏輯層與表現層。

在表現層定義了頁面基類PageBase，而在頁面的裝載事件OnLoad中則會進行用戶的權限判斷，只有被賦予相應權限的用戶才能訪問該頁面。如課程團隊的教師登錄后臺后，只能實施課程資源方面的管理，當發生訪問網站全局設置的頁面行為時就會提示“權限不足，無法訪問”。

在業務邏輯層，用戶需要對用戶操作的資源對象進行判斷，只有賦予了管理權限的資源對象用戶才能訪問。如欄目管理員，在添加欄目內容時，獲得欄目列表的GetColumnList函數就要從數據訪問層中獲得的欄目列表中進行篩選，只有賦予了管理權限的欄目才可提供相應顯示；同時，在把內容添加回數據庫時也要判斷當前操作員是否具備管理該欄目的權限，從而防范發生機器非法惡意提交。

4結束語

本文通過對精品課程建設中的用戶與共享資源進行分析，并采用RBAC權限管理模型實現了精品課程網站的權限管理，由此保證了精品課程網站上的資源安全，同時也確保了課程資源建設中團體性與協作性的有效實施，做到了職責分明、分工到位，在實際應用中獲得了良好的發生執行效果。

參考文獻