返回
基于web的权限管理框架功能规格说明书

基于web的权限管理框架功能规格说明书

ID:29472620

大小:124.20 KB

页数:41页

时间:2018-12-20

基于web的权限管理框架功能规格说明书_第1页
基于web的权限管理框架功能规格说明书_第2页
基于web的权限管理框架功能规格说明书_第3页
基于web的权限管理框架功能规格说明书_第4页
基于web的权限管理框架功能规格说明书_第5页
资源描述:

《基于web的权限管理框架功能规格说明书》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、基于Web的权限管理框架功能规格说明书研究开发中心邵正军修订历史纪录:2005-11-14邵正军1.0初建名词解释:Web应用程序:WebApplication,又简称Web应用、Web-App。最终用户:最终使用Web应用程序的用户,包括系统管理员、普通用户。CSS:HTML页面上用它来控制显示样式,以达到样式和内容分离的效果。1      前言本产品是个权限管理框架,为Web应用程序的权限管理提供基础设施和框架。任凭人们发挥怎样的想象力,目前这份规格说明书都不是完整的,所有措辞都需要经过多次修订才能最后定稿。本说明书描述的是完全从用户(是指本框架

2、的用户,包括Web-App开发者、最终用户)的视角看产品如何工作的内容。它不关心产品内部如何实现,它谈论的是功能特性。在这里给出屏幕图形与布局仅仅是为了演示背后蕴含的功能性,实际的外观与感觉(lookandfeel)将根据图形设计人员的输入与用户反馈随时间不断加以改进。2      背景你是否有过需要为一个应用程序创建登录验证和授权机制的经历呢?如果你是一个比较有经验的程序员,那你一定有过,而且可能不止一次了。那么,再回想看看,是不是会感觉每一次的新实现都好像似曾相识、可是又与以前不完全一样?唔,这正是我们要思考的地方,为什么我们要一再地重复自己?3

3、      目标我们的目标是产出一个基于Web的通用权限管理框架(以下简称权限框架/框架),供Browser/Server结构的Web应用程序(以下简称Web应用/Web-App)使用,免去每个项目重复从头开发权限管理功能的痛苦,提高生产力。394      范围界定权限框架用Java语言实现。如果你想在J2EE多层结构中寻找它的位置,那你到Web层去找就对了,它的定位就在Web层。它需要运行在Servlet2.3/JSP1.2(orlater)规范兼容的Webserver(譬如Tomcat4.1.xorlater)中,为Web-App的权限管理提供

4、基础设施和框架。本框架立足于满足大部分情况下粗粒度权限控制的需要,譬如系统功能(菜单、按钮等)的访问控制。对常见通用权限管理行为(譬如用户/角色信息维护、菜单/按钮的访问权限许可等)提供必要的缺省实现,也提供途径给Web应用开发者覆盖这些缺省实现;对于细粒度的权限控制,譬如种种业务层面上的权限管理要求,由于权限框架无法预知也不能做任何假定,所以这也是框架实现难点所在。本框架的解决方案是以API的形式提供扩展点,Web应用开发者在扩展点上插入满足自己业务规则要求的权限许可模块即可。由于外部扩展也是建立在权限框架的游戏规则上的,所以就保证了整个Web应用

5、的权限管理都是在协调一致的机制下进行。5      权限模型解决复杂的权限管理问题的过程可以抽象概括为:判断【Who是否可以对What进行How的访问操作(Operator)】这个逻辑表达式的值是否为True的求解过程。这里涉及的相关概念说明如下:l        Who:权限的拥有者或主体。典型的有Principal、User、Group、Role、Actor等等。本框架的访问控制方法会采用“基于角色的访问控制(主,公认的有效方法)+针对个别用户的访问控制(辅,增加灵活性)+用户组”(这一点参见[访问控制方法的考虑]一节),所以直接跟授权有关系的实

6、体就只有角色(Role)和用户(User)。譬如:业务经理(Role),张三(User)l        What:权限针对的资源(Resource)(包括资源类别(thetypeofResource)和资源实例(theinstanceofResource))。譬如:报表。l        How:亦作action,表示某种访问方法(亦请参考Operator条目解释)。譬如:删除。l        Operator:操作。表示施加于What的How动作。是一种ResourceRelated的概念,单独的How动作是没有实际意义的,譬如:删除;只有与具

7、体资源结合在一起才有意义,譬如:删除报表。 访问控制方法的考虑:395.1   基于角色的访问控制基于角色的访问控制(RBAC)是目前公认的解决企业级的统一资源访问控制的有效方法。其显著的两大特征是:1.减小授权管理的复杂性,降低管理开销。2.灵活地支持企业的安全策略,并对企业的变化有很大的伸缩性。概念示意图:说明:这种方法中,角色(Role)权限分配的单位与载体。权限不考虑分配给特定的用户。相对于基于用户(User)的访问控制来讲,角色的数量比用户总是少得多,因此极大地降低了系统管理员授权管理的复杂性。同时一个用户可以身兼多个角色,给安全策略带来了

8、很大的灵活性和伸缩性。对一个具体用户来讲,他拥有的权限是:对该用户身兼的角色(可能是多个)授予的权限的并集(

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。