統(tǒng)一用戶及權(quán)限管理

1、文件編號：統(tǒng)一用戶及權(quán)限管理平臺解決方案及設(shè)計報告版本號 0.9擬制人 王應(yīng)喜 日期 2006年6月 審核人_ 日期_批準人_ 日期_目錄第一章引言11.1編寫目的11.2背景11.3定義11.4參考資料1第二章統(tǒng)一權(quán)限管理解決方案22.1需求分析22.2系統(tǒng)架構(gòu)22.3系統(tǒng)技術(shù)路線4第三章統(tǒng)一用戶及授權(quán)管理系統(tǒng)設(shè)計43.1組織機構(gòu)管理43.2用戶管理43.3應(yīng)用系統(tǒng)管理、應(yīng)用系統(tǒng)權(quán)限配置管理43.4角色管理43.5角色權(quán)限分配43.6用戶權(quán)限(角色)分配43.7用戶登錄日志管理功4第四章對外接口設(shè)計54.1概述54.2接口詳細描述5獲取用戶完整信息5獲取用戶擁有的功能模塊的完整信息6獲取用戶

2、擁有的一級功能模塊7獲取用戶擁有的某一一級功能模塊下的所有子功能模塊8獲取用戶擁有的某一末級功能模塊的操作列表9判斷用戶是否擁有的某一末級功能模塊的某一操作權(quán)限10獲取某一功能模塊的ACL尚需進一步研究10獲取某一模塊的數(shù)據(jù)級權(quán)限規(guī)劃規(guī)則尚需進一步研究111 引言1.1 編寫目的編寫此文的目的從總體上描述企業(yè)統(tǒng)一用戶及授權(quán)管理的解決方案以及統(tǒng)一用戶及授權(quán)管理系統(tǒng)的功能設(shè)計、對外接口設(shè)計、數(shù)據(jù)庫設(shè)計，并為下一階段的詳細設(shè)計以及系統(tǒng)編碼、測試提供依據(jù)。本文檔讀者對象：用戶、項目經(jīng)理、系統(tǒng)分析員、軟件文檔管理員、質(zhì)量管理人員，軟件開發(fā)人員、軟件測試人員等。此文檔和附加參考資料作為系統(tǒng)進行設(shè)計與測試的

3、基礎(chǔ)性文檔。1.2 背景隨著信息化的發(fā)展，企業(yè)的應(yīng)用不斷的增加，而企業(yè)的應(yīng)用行使多樣化，既有傳統(tǒng)的C/S模式應(yīng)用，又有基于internet的B/S應(yīng)用；既有基于Windows平臺的.net應(yīng)用，又有基于J2ee架構(gòu)的應(yīng)用。企業(yè)在進行信息化建設(shè)過程中，在沒有實現(xiàn)同以用戶及授權(quán)管理之前，各個系統(tǒng)的用戶獨立，且用戶授權(quán)不能集中管理，這給企業(yè)信息化的系統(tǒng)管理員和操作用戶帶來很多不便。鑒于此，本文提出基于統(tǒng)一用戶及授權(quán)管理解決方案。1.3 定義列出本文件中用到的專門術(shù)語的定義和外文首字母組詞的原詞組。1、SSO：Single Sign On，單點登錄1.4 參考資料2 統(tǒng)一用戶及權(quán)限管理平臺解決方案2.

4、1 需求分析統(tǒng)一用戶權(quán)限管理主要解決的問題：1、 提供用戶注冊用戶通過網(wǎng)上注冊。2、 提供統(tǒng)一的用戶管理和授權(quán)管理(應(yīng)用程序)權(quán)限控制，只實現(xiàn)功能權(quán)限控制，而不實現(xiàn)數(shù)據(jù)(范圍)權(quán)限控制，主要由于各個業(yè)務(wù)的數(shù)據(jù)訪問規(guī)則很難歸納為標準的訪問規(guī)則。而功能從權(quán)限的控制包括：l 不做權(quán)限控制的功能，即不登陸就可操作，如：對外新聞、公告查詢l 公共功能：用戶只要登陸就可操作的功能，如：內(nèi)部新聞、內(nèi)部公告查詢l 需權(quán)控制的功能：只有當用戶擁有該功能的權(quán)限才能操作的功能3、 提供統(tǒng)一的用戶及權(quán)限認證接口提供的統(tǒng)一的用戶及權(quán)限認證接口同時滿足C/S和B/S應(yīng)用的用戶認證和權(quán)限控制的需求；且對于B/S應(yīng)用，既滿足

5、基于windows平臺的.net應(yīng)用，也滿足與基于J2ee架構(gòu)的應(yīng)用。4、 提供統(tǒng)一的數(shù)據(jù)訪問接口統(tǒng)一用戶及權(quán)限管理平臺提供各類數(shù)據(jù)訪問接口，如：獲取操作人員的信息、獲取機構(gòu)信息、獲取系統(tǒng)功能信息等。5、 系統(tǒng)具有較好的擴展性和靈活性組織機構(gòu)、用戶的屬性要求可以進行適當?shù)脑黾?，以滿足各個不同企業(yè)的統(tǒng)一權(quán)限管理的需要。統(tǒng)一權(quán)限管理，既滿足與單個應(yīng)用授權(quán)，也滿足所有應(yīng)用集中授權(quán)。統(tǒng)一權(quán)限管理既滿足一個機構(gòu)集中授權(quán)，也滿足多機構(gòu)逐級受權(quán)。在統(tǒng)一授權(quán)管理中，每個應(yīng)用權(quán)限控制的粒度不一致，有的應(yīng)用或模塊控制得較粗，有的控制得較精確，如：對于數(shù)據(jù)的維護只是一個“數(shù)據(jù)維護”權(quán)限粗的控制，也可以控制到“數(shù)據(jù)新

6、增”、“數(shù)據(jù)修改”和“數(shù)據(jù)刪除”權(quán)限的精確控制上。/以下由沈偉補充6、 系統(tǒng)的單點登錄（包括跨系統(tǒng)的應(yīng)用調(diào)用）7、 權(quán)限模型配置（包括模塊與部分可通用的數(shù)據(jù)權(quán)限；數(shù)據(jù)權(quán)限做到什么程度需思考）。對于第2點中細節(jié)描述部分，則形成需建成獨立服務(wù)模式，而非源程序加載模式。此需求需討論。建議：對SSO項目進行繼承。組織機構(gòu)管 理應(yīng)用系統(tǒng)權(quán)限配置應(yīng)用系統(tǒng)管 理用 戶管 理角 色管 理角色權(quán)限分 配用戶權(quán)限角色分配統(tǒng)一用戶、授權(quán)管理系統(tǒng)身份認證接口權(quán)限認證接口數(shù)據(jù)訪問接口認證、服務(wù)組織機構(gòu)信息、用戶信息、應(yīng)用系統(tǒng)信息、應(yīng)用系統(tǒng)權(quán)限(功能)配置信息、角色信息、角色(已分配)權(quán)限信息、用戶(已分配)權(quán)限信息、用

7、戶登錄日志信息認證中心數(shù)據(jù)庫用戶登陸管 理OA系統(tǒng)。應(yīng)急指揮系統(tǒng)郵件系統(tǒng)應(yīng)用系統(tǒng)認證、服務(wù)接口圖：統(tǒng)一用戶及權(quán)限管理平臺架構(gòu)用戶注冊系 統(tǒng)2.2 系統(tǒng)架構(gòu)如圖所示，統(tǒng)一用戶及權(quán)限管理平臺系統(tǒng)功能由四部分組成：1、 用戶注冊系統(tǒng)用戶注冊系統(tǒng)提供用戶網(wǎng)上注冊。2、 統(tǒng)一用戶及授權(quán)管理系用系統(tǒng)該系統(tǒng)主要由應(yīng)用系統(tǒng)的系統(tǒng)管人員使用。系統(tǒng)提供組織機構(gòu)管理、用戶管理、應(yīng)用系統(tǒng)管理、應(yīng)用系統(tǒng)權(quán)限(功能)配置管理、角色管理、角色權(quán)限分配、用戶權(quán)限(角色)分配、用戶登錄管理功能。3、 認證與服務(wù)認證服務(wù)提供應(yīng)用系統(tǒng)身份認證接口、權(quán)限認證接口、數(shù)據(jù)訪問接口。應(yīng)用系統(tǒng)同過調(diào)用身份認證接口實現(xiàn)用戶身份認證；調(diào)用實現(xiàn)對

8、用戶權(quán)限認證；通過調(diào)用數(shù)據(jù)接口讀取如用戶信息、組織機構(gòu)信息等數(shù)據(jù)。4、 認證中心數(shù)據(jù)庫認證中心數(shù)數(shù)據(jù)庫負責存儲統(tǒng)一用戶及權(quán)限管理的數(shù)據(jù)。2.2.1 統(tǒng)一用戶、權(quán)限管理數(shù)據(jù)流程圖統(tǒng)一用戶、授權(quán)管理(數(shù)據(jù)增、刪、改維護)其它系統(tǒng)認證信息認證中心數(shù)據(jù)庫門戶認證信息郵件系統(tǒng)郵件帳戶信息圖：統(tǒng)一用戶、權(quán)限管理數(shù)據(jù)流程圖從以上圖中可知，在進行統(tǒng)一用戶、授權(quán)管理時，一方面對認證中心的用戶信息、權(quán)限分配數(shù)據(jù)進行維護，另一方面，根據(jù)需要，可以對門戶系統(tǒng)(如Liferay Portal、IBM Websphere Portal)中的相關(guān)的用戶、權(quán)限分配信息進行同步更新，以及對郵件系統(tǒng)中的郵件帳戶信息進行同步更新，

9、以及對其它系統(tǒng)的認證信息進行同步更新。通過以上方案，既滿足了統(tǒng)一用戶和授權(quán)管理，同時，又解決了門戶系統(tǒng)、郵件系統(tǒng)等的用戶管理、授權(quán)和認證問題。避開了去了解甚至重新構(gòu)造門戶系統(tǒng)、郵件系統(tǒng)等中的用戶認證、權(quán)限認證問題。2.2.2 新建應(yīng)用、門戶的身份認證、權(quán)限認證機制用戶應(yīng)用請求門戶請求認證中心數(shù)據(jù)庫門戶認證信息門戶單點登錄認證中心統(tǒng)一用戶信息數(shù)據(jù)庫用戶認證接口統(tǒng)一權(quán)限認證接口門戶權(quán)限認證接口門戶權(quán)限認證服務(wù)統(tǒng)一用戶權(quán)限管理認證服務(wù)² 門戶權(quán)限的認證由門戶服務(wù)器提供的認證服務(wù)完成。² 新的應(yīng)用系統(tǒng)建設(shè)，其用戶、權(quán)限是基于統(tǒng)一的用戶、權(quán)限管理平臺建設(shè)，用戶身份認證、權(quán)限認證由我們

10、提供的統(tǒng)一用戶權(quán)限管理的認證服務(wù)完成。2.2.3 老的應(yīng)用系統(tǒng)的認證機制老的應(yīng)用系統(tǒng)的用戶認證、權(quán)限認證仍然由老系統(tǒng)完成。若老的應(yīng)用系統(tǒng)整合到門戶，首先通過門戶認證，然后再通過老的系統(tǒng)的用戶、權(quán)限認證。具體如下：用戶從門戶應(yīng)用請求門戶單點登錄認證中心統(tǒng)一用戶信息數(shù)據(jù)庫統(tǒng)一用戶認證接口原系統(tǒng)登錄原系統(tǒng)認證信息原系統(tǒng)用戶認證接口系統(tǒng)請求原系統(tǒng)權(quán)限認證接口認證中心與老系統(tǒng)認證映射據(jù)庫圖：老系統(tǒng)用戶、權(quán)限認證機制2.2.4 關(guān)于郵件系統(tǒng)的用戶認證問題郵件系統(tǒng)的用戶認證仍然由郵件系統(tǒng)提供的認證服務(wù)完成，只是，若需要進行統(tǒng)郵件系統(tǒng)的賬戶時，在對認證中心的用戶進行維護時，對郵件系統(tǒng)的帳戶信息(主要是用戶名和

11、口令)進行同步更新。2.3 主要技術(shù)路線l 統(tǒng)一用戶和權(quán)限管理系統(tǒng)該系統(tǒng)采用jsp+struts+hibernate的J2ee架構(gòu)。J2ee WEB中間件采用TOMCAT。l 認證接口提供給應(yīng)用系統(tǒng)的接口以webservice方式提供，實現(xiàn)方法采用一般的javabean實現(xiàn)。l 數(shù)據(jù)庫在本方案中，數(shù)據(jù)庫系統(tǒng)采用mysql數(shù)據(jù)庫。3 用戶注冊系統(tǒng)設(shè)計此部分主要是想用戶網(wǎng)上注冊功能。4 統(tǒng)一用戶及授權(quán)管理系統(tǒng)設(shè)計統(tǒng)一用戶及授權(quán)管理系統(tǒng)主要實現(xiàn)的功能包括：l 組織機構(gòu)及用戶管理l 應(yīng)用系統(tǒng)及功能管理l 角色管理l 角色權(quán)限分配l 用戶權(quán)限分配l 用戶登錄日志管理系統(tǒng)主界面如下：4.1 組織機構(gòu)及用戶

12、管理1、 功能描述采用樹形結(jié)構(gòu)對機構(gòu)及人員進行維護管理。具體包括：1) 機構(gòu)的維護l 機構(gòu)新增l 機構(gòu)刪除l 機構(gòu)修改2) 人員的維護l 人員新增l 人員刪除l 人員修改l 人員口令修改l 注冊用戶審查l 帳戶開通/停止3) 用戶授權(quán)l(xiāng) 用戶角色授權(quán)4) 用戶權(quán)限查詢l 用戶擁有的角色查詢l 用戶擁有的權(quán)限查詢2、 界面樣式4.2 角色管理對角色的維護管理，包括角色的新增、修改、刪除。4.3 角色權(quán)限分配4.4 用戶權(quán)限(角色)分配4.5 登錄(在線)用戶管理提供在線用戶查詢和注銷在線用戶功能。4.6 輔助功能4.6.1 系統(tǒng)操作管理實現(xiàn)操作日志的查詢和導出。4.6.2 用戶登錄日志管理實現(xiàn)對

13、用戶歷史登錄日志的查詢和導出。4.6.3 系統(tǒng)代碼表管理代碼類別維護代碼維護4.7 應(yīng)用系統(tǒng)及功能管理此部分功能一般只提供給開發(fā)應(yīng)用開發(fā)上維護。主要實現(xiàn)應(yīng)用系統(tǒng)目錄維護和系統(tǒng)功能維護。5 認證與服務(wù)接口設(shè)計5.1 概述企業(yè)的信息化建設(shè)通常是要建設(shè)多個應(yīng)用系統(tǒng)，多個應(yīng)用系統(tǒng)共用一套組織機構(gòu)及權(quán)限管理子系統(tǒng)。組織機構(gòu)中包括不同業(yè)務(wù)部門、不同行政級別的人員，不僅組織機構(gòu)非常龐大，并且各個組織單元之間的關(guān)系錯綜復(fù)雜。為方便組織機構(gòu)管理工作和授權(quán)管理工作的順利進行，在組織機構(gòu)及權(quán)限管理部分實行“逐級授權(quán)”的策略，將組織機構(gòu)及權(quán)限管理子系統(tǒng)建設(shè)成為一個獨立的Web應(yīng)用，各個行政級別的系統(tǒng)系統(tǒng)管理員都可以登

14、錄到Web服務(wù)器上，進行組織機構(gòu)和權(quán)限的管理和維護工作。由于這是一個多應(yīng)用系統(tǒng)，各個業(yè)務(wù)系統(tǒng)對權(quán)限分配的結(jié)果都有各自不同的展現(xiàn)方式，為使各個應(yīng)用系統(tǒng)能夠?qū)⒔M織機構(gòu)管理和權(quán)限分配的結(jié)果實實在在的應(yīng)用到各個業(yè)務(wù)系統(tǒng)中，組織機構(gòu)及權(quán)限管理子系統(tǒng)向各個業(yè)務(wù)系統(tǒng)提供了統(tǒng)一的應(yīng)用程序接口。接口以WEBSERVICE形式提供，為方便各個業(yè)務(wù)系統(tǒng)操作，接口的返回值以XML格式為主。各個業(yè)務(wù)系統(tǒng)根據(jù)權(quán)限管理子系統(tǒng)的返回值可以自行決定如何展現(xiàn)權(quán)限分配的結(jié)果。5.2 接口詳細描述統(tǒng)一用戶及權(quán)限管理平臺以WEBSERVICE形式提供對外接口，返回信息以XML形式提供，接口如下：5.2.1 判斷用戶是否合法類名稱Org

15、Manager函數(shù)名稱功能描述：根據(jù)用戶登錄名、口令判斷用戶是否為合法用戶調(diào)用語法：參數(shù)描述：參數(shù)標識 參數(shù)名稱 數(shù)據(jù)類型 輸入/輸出 userID 用戶ID號 String 輸入返回值說明：備注：5.2.2 用戶注銷類名稱OrgManager函數(shù)名稱功能描述：根據(jù)用戶登錄名注銷登錄用戶調(diào)用語法：參數(shù)描述：參數(shù)標識 參數(shù)名稱 數(shù)據(jù)類型 輸入/輸出 userID 用戶ID號 String 輸入返回值說明：備注：5.2.3 用戶修改密碼類名稱OrgManager函數(shù)名稱功能描述：用戶修登錄名注銷登錄用戶調(diào)用語法：參數(shù)描述：參數(shù)標識 參數(shù)名稱 數(shù)據(jù)類型 輸入/輸出 userID 用戶ID號 Stri

16、ng 輸入返回值說明：備注：5.2.4 獲取用戶登錄信息類名稱OrgManager函數(shù)名稱功能描述：根據(jù)用戶登錄名或用戶ID號獲取用戶登錄信息調(diào)用語法：參數(shù)描述：參數(shù)標識 參數(shù)名稱 數(shù)據(jù)類型 輸入/輸出 userID 用戶ID號 String 輸入返回值說明：備注： 5.2.5 獲取組織機構(gòu)信息類名稱OrgManager函數(shù)名稱功能描述：根據(jù)用戶登錄名或用戶ID號獲取用戶登錄信息調(diào)用語法：參數(shù)描述：參數(shù)標識 參數(shù)名稱 數(shù)據(jù)類型 輸入/輸出 userID 用戶ID號 String 輸入返回值說明：備注： 5.2.6 獲取用戶完整信息類名稱OrgManager函數(shù)名稱getUserInfo功能描述

17、：根據(jù)用戶ID號獲取用戶完整信息調(diào)用語法：String getUserInfo (String userID) throws AppException,RemoteException參數(shù)描述：參數(shù)標識 參數(shù)名稱 數(shù)據(jù)類型 輸入/輸出 userID 用戶ID號 String 輸入返回值說明：存在相應(yīng)的結(jié)果信息時，返回值格式如下：<?xml version="1.0" encoding="GBK"?><org><person id="xxxx"><-人員標識-><name>xxx

18、x</name><-用戶姓名-><admin_level>xxxx</admin_level><-管理級別-> <ownerd_unit>xxxx</ownerd_unit><-設(shè)立機構(gòu)-><department>xxxx</department><-部門-><district>xxxx</district><-行政區(qū)劃-><telephone>xxxx</telephone><-辦公電話->

19、<email>xxxx</email><usb_state>xxxx</usb_state><-USB發(fā)放狀態(tài)-></person></org>沒有相應(yīng)的結(jié)果信息時返回空字符串”。備注： 5.2.7 獲取用戶擁有的功能模塊的完整信息類名稱PrivilegeManager函數(shù)名稱getModulesOfUser功能描述：根據(jù)用戶ID號獲取用戶擁有的功能模塊的完整信息調(diào)用語法：String getModulesOfUser (String userID) throws AppException,RemoteExce

20、ption參數(shù)描述：參數(shù)標識 參數(shù)名稱 數(shù)據(jù)類型 輸入/輸出 userID 用戶ID號 String 輸入返回值：存在相應(yīng)的結(jié)果信息時，返回值格式如下：<?xml version="1.0" encoding="GBK"?><privilege><application id="xxxx" name="xxxx"><-應(yīng)用。返回值中包含1個以上應(yīng)用-><menu id="xxxx" name="name" title=&q

21、uot;xxxx"><-枝干菜單-><menu id="xxxx" name="name" title="xxxx"><-枝干菜單可以嵌套-><item id="xxxx" name="name" title="xxxx" location="xxxx"/><item id="xxxx" name="name" title="xxxx&q

22、uot; location="xxxx"/><-一個枝干菜單下包含1個以上葉子菜單項-></menu></menu><menu id="xxxx" name="name" title="xxxx"><item id="xxxx" name="name" title="xxxx" location="xxxx"/></menu><-一個應(yīng)用下包含1個以上枝

23、干菜單-></application ><application id="xxxx" name="xxxx"><menu id="xxxx" name="name" title="xxxx"><menu id="xxxx" name="name" title="xxxx"><item id="xxxx" name="name" title

24、="xxxx" location="xxxx"/></menu></menu></application ></privilege >沒有相應(yīng)的結(jié)果信息時返回空字符串”。備注： 5.2.8 獲取用戶擁有的一級功能模塊類名稱PrivilegeManager函數(shù)名稱getRootModulesOfUser (String userID)功能描述：根據(jù)用戶ID號獲取用戶擁有的一級功能模塊調(diào)用語法：String getRootModulesOfUser (String userID) throws AppEx

25、ception,RemoteException參數(shù)描述：參數(shù)標識 參數(shù)名稱 數(shù)據(jù)類型 輸入/輸出 userID 用戶ID號 String 輸入返回值：存在相應(yīng)的結(jié)果信息時，返回值格式如下：<?xml version="1.0" encoding="GBK"?><privilege><application id="xxxx" name=”xxxx”><menu id=”xxxx” name="name" title=”xxxx”/></application &

26、gt;<application id="xxxx" name=”xxxx”><menu id=”xxxx” name="name" title=”xxxx”/></application ><-應(yīng)用。返回值中包含1個以上應(yīng)用-></privilege >沒有相應(yīng)的結(jié)果信息時返回空字符串”。備注： 5.2.9 獲取用戶擁有的某一一級功能模塊下的所有子功能模塊類名稱PrivilegeManager函數(shù)名稱getRootModulesOfUser (String userID)功能描述：根據(jù)用戶ID號

27、、一級功能模塊ID，獲取用戶擁有的某一一級功能模塊下的所有子功能模塊調(diào)用語法：String getChildModulesUnderOneRootOfUser (String userID,String applicationID,String rootModuleID)throws AppException,RemoteException參數(shù)描述：參數(shù)標識 參數(shù)名稱 數(shù)據(jù)類型 輸入/輸出 userID 用戶ID號 String 輸入applicationID 應(yīng)用ID號 String 輸入rootModuleID 一級功能模塊ID號 String 輸入返回值：存在相應(yīng)的結(jié)果信息時，返回值格式

28、如下：<?xml version="1.0" encoding="GBK"?><privilege><application id="xxxx" name="xxxx"><menu id="xxxx" name="name" title="xxxx"><menu id="xxxx" name="name" title="xxxx"><

29、;item id="xxxx" name="name" title="xxxx" location="xxxx"/><item id="xxxx" name="name" title="xxxx" location="xxxx"/><-1個枝干菜單下包含1個以上葉子菜單項-></menu><menu id="xxxx" name="name" tit

30、le="xxxx"><item id="xxxx" name="name" title="xxxx" location="xxxx"/></menu><-1個根菜單下包含0個以上枝干菜單-></menu></application ></privilege >沒有相應(yīng)的結(jié)果信息時返回空字符串”。備注：5.2.10 獲取用戶擁有的某一末級功能模塊的操作列表類名稱PrivilegeManager函數(shù)名稱getOperati

31、onsInOneEndModuleOfUser功能描述：根據(jù)用戶ID號、應(yīng)用ID、末級功能模塊ID，獲取用戶擁有的某一末級功能模塊中的所有操作調(diào)用語法：String getOperationsInOneEndModuleOfUser (String userID,String applicationID,String endModuleID)throws AppException,RemoteException參數(shù)描述：參數(shù)標識 參數(shù)名稱 數(shù)據(jù)類型 輸入/輸出 userID 用戶ID號 String 輸入applicationID 應(yīng)用ID號 String 輸入endModuleID 末級功能

32、模塊ID號 String 輸入返回值：存在相應(yīng)的結(jié)果信息時，返回值格式如下：<?xml version="1.0" encoding="GBK"?><privilege><application id="xxxx" name="xxxx"><menu id="xxxx" name="name" title="xxxx"><menu id="xxxx" name="name&

33、quot; title="xxxx"><item id="xxxx" name="name" title="xxxx" location="xxxx"/> <operation id="xxxx"/><operation id="xxxx"/><-包含1個以上操作標識-> </item></menu></menu></application></pr

34、ivilege>沒有相應(yīng)的結(jié)果信息時返回空字符串”。備注： 5.2.11 判斷用戶是否擁有的某一末級功能模塊的某一操作權(quán)限類名稱PrivilegeManager函數(shù)名稱isHaveOperationInOneEndModule功能描述：根據(jù)用戶ID號、應(yīng)用ID、末級功能模塊ID、操作名稱，判斷用戶是否擁有的某一末級功能模塊的某一操作權(quán)限調(diào)用語法：boolean isHaveOperationInOneEndModule (String userID,String applicationID,String endModuleID,String operationName)throws Ap

35、pException,RemoteException參數(shù)描述：參數(shù)標識 參數(shù)名稱 數(shù)據(jù)類型 輸入/輸出 userID 用戶ID號 String 輸入applicationID 應(yīng)用ID號 String 輸入endModuleID 末級功能模塊ID號 String 輸入operationName 操作名稱 String 輸入返回值：-true 擁有-false 沒有備注：5.2.12 獲取某一功能模塊的ACL尚需進一步研究類名稱PrivilegeManager函數(shù)名稱getAclOfModule功能描述： 根據(jù)模塊ID號獲取屬主應(yīng)用、同類應(yīng)用、其它應(yīng)用對當前模塊的操作權(quán)限。調(diào)用語法：String

36、 getModuleACL (String moduleID)throws AppException,RemoteException參數(shù)描述：參數(shù)標識 參數(shù)名稱 數(shù)據(jù)類型 輸入/輸出 moduleID 模塊ID號 String 輸入返回值：String型模塊ACL屬性，ACL屬性由三位數(shù)據(jù)組成，第一位代表屬主應(yīng)用的權(quán)限，第二位代表同類應(yīng)用的權(quán)限，第三位代表其他應(yīng)用的權(quán)限。每一位有四個枚舉值：0：沒有權(quán)限1：查詢權(quán)限2：修改權(quán)限3：查詢、修改權(quán)限備注：5.2.13 獲取某一模塊的數(shù)據(jù)級權(quán)限規(guī)劃規(guī)則尚需進一步研究類名稱PrivilegeManager函數(shù)名稱getDataAuthRuleOfMod

37、ule功能描述：根據(jù)模塊ID，用戶ID獲取當前操作員能夠在當前模塊上操作哪些行政區(qū)劃內(nèi)的數(shù)據(jù)。調(diào)用語法：String getDataAuthRuleOfModule (String moduleID，String userID)throws AppException,RemoteException參數(shù)描述：參數(shù)標識 參數(shù)名稱 數(shù)據(jù)類型 輸入/輸出 moduleID 模塊ID號 String 輸入userID 用戶ID號 String 輸入返回值：存在相應(yīng)的結(jié)果信息時，返回值格式如下：<?xml version="1.0" encoding="GBK"

38、;?><dataprivilege><dataarea includesubunit="yes">123456</dataarea><-元素值為行政區(qū)劃代碼-><dataarea includesubunit="no">222222</dataarea><- includesubunit屬性標識是否包含下級機構(gòu)數(shù)據(jù)-><- 返回值中包含1個以上dataarea 元素-></dataprivilege >沒有相應(yīng)的結(jié)果信息時返回空字符串”。備注

39、： 6 數(shù)據(jù)庫設(shè)計說明：數(shù)據(jù)庫的對象(包括數(shù)據(jù)庫表名、字段名、索引等所有數(shù)據(jù)庫中的對象)的名稱全部以小寫命名。6.1 機構(gòu)信息系統(tǒng)編號：ZT_YHQXGL系統(tǒng)名稱：統(tǒng)一用戶權(quán)限管理更新頻率：存儲編碼：ORG_UNIT存儲名稱：組織機構(gòu)信息存儲容量：101500序號字段名字段含義類型NOT NULL說明1UNIT_ID機構(gòu)標識VARCHAR2(32)YPK系統(tǒng)生成2UNIT_NAME機構(gòu)名稱VARCHAR2(32)Y3UNIT_DESC描述信息VARCHAR2(255)4UNIT_OWNERED_UNIT上級機構(gòu)VARCHAR2(32)在系統(tǒng)中創(chuàng)建該機構(gòu)的機構(gòu)的標識5UNIT_DISTRICT行

40、政區(qū)劃VARCHAR2(30)值如：重慶市、重慶市江北區(qū)、值取自AA10表7UNIT_TYPE機構(gòu)類型VARCHAR2(8)8UNIT_ORGID組織機構(gòu)編碼VARCHAR2(32)要求管理員手工輸入9UNIT_LEVEL機構(gòu)級別VARCHAR2(8)1：市級2：區(qū)級3：街道級UNIT_LINKMAN聯(lián)系人VARCHAR2(10)UNIT_TELEPHONE聯(lián)系電話VARCHAR2(20)UNIT_ADDRESS地址VARCHAR2(50)UNIT_POSTALCODE郵政編碼VARCHAR2(6)UNIT_BANK_CODE銀行行號VARCHAR2(40)UNIT_BANK_NAME戶名VA

41、RCHAR2(50)UNIT_BANK_ACCOUNT銀行帳號VARCHAR2(40)6.2 用戶信息系統(tǒng)名：ZT_YHQXGL系統(tǒng)名稱：統(tǒng)一用戶權(quán)限管理更新頻率：存儲編碼：app_user存儲名稱：用戶信息存儲容量：序號字段名字段含義類型NOT NULL說明1USER_ID用戶標識VARCHAR2(32)YPK系統(tǒng)生成2USER_ACCOUNT用戶帳號(用戶名)VARCHAR2(32)Y唯一3USER_PWD用戶密碼VARCHAR2(32)加密存儲4USER_NAME姓名VARCHAR2(32)5Is_individual_account是否個人賬戶VARCHAR2(1)0-否/1-是6Id

42、_card_no身份證號碼VARCHAR2(20)7User_type_code人員類別代碼VARCHAR2(32)8Certificate_type_code其它證件類別代碼VARCHAR2(32)9Certificate_no其它證件號碼VARCHAR2(32)10UNIT_ID人員所屬機構(gòu)IDVARCHAR2(32)FKUNIT_ID->ORG_UNIT.UNIT_ID11Headship_code職務(wù)代碼VARCHAR2(32)12USER_EMAIL電子信箱VARCHAR2(32)13USER_TELEPHONE電話VARCHAR2(15)14USER_DESC備注說明VARC

43、HAR2(255)17USER_CREATEDBYUNIT創(chuàng)建機構(gòu)VARCHAR2(32)18account_status帳戶狀態(tài)VARCHAR2(1)0-賬戶未開通/停止1-開通/有效19Valid_tmie帳戶有效期timestamp20Reg_time注冊時間timestamp21Reg_ipaddr用戶注冊IP地址VARCHAR2(32)22Auditing_time審核時間timestamp23Auditing_person審核人VARCHAR2(10)24Auditing_result審核結(jié)論Auditing0-無效1-有效25Disqualification_cause審核未通過

44、原因VARCHAR2(255)說明：1 Is_individual_account(是否個人賬戶):0- 否：當不為個人賬戶時，即允許多個人同時使用（登錄）1- 是(缺省)：允許多個人同時使用（登錄）2 當對注冊用戶審核時，審核通過，則賬戶自動開通3 若賬戶有效期到期，則賬戶自動“停止”，此功能實現(xiàn)由系統(tǒng)自動完成。6.3 角色信息系統(tǒng)編號：ZT_YHQXGL系統(tǒng)名稱：統(tǒng)一用戶權(quán)限管理更新頻率：存儲編碼：ORG_ROLE存儲名稱：角色信息存儲容量：10001500序號字段名字段含義類型NOT NULL說明1ROLE_ID角色標識VARCHAR2(32)YPK系統(tǒng)生成2ROLE_NAME角色名稱V

45、ARCHAR2(32)Y唯一3User_type_code人員類別代碼VARCHAR2(32)4Org_type_code機構(gòu)類別代碼VARCHAR2(32)5ROLE_DESC角色描述VARCHAR2(255)說明：6.4 機構(gòu)類別-角色信息系統(tǒng)編號：ZT_YHQXGL系統(tǒng)名稱：統(tǒng)一用戶權(quán)限管理更新頻率：存儲編碼：org_type_role存儲名稱：角色用戶（機構(gòu)）映射信息存儲容量：10001500序號字段名字段含義類型NOT NULL說明1org_type_role_id機構(gòu)類別-角色ID號VARCHAR2(32)Ypk系統(tǒng)產(chǎn)生2org_type_code機構(gòu)類別代碼VARCHAR2(32

46、)YfK用戶標識3ROLE_ID角色標識VARCHAR2(32)YfK角色標識6.5 機構(gòu)類別-角色信息系統(tǒng)編號：ZT_YHQXGL系統(tǒng)名稱：統(tǒng)一用戶權(quán)限管理更新頻率：存儲編碼：org_type_role存儲名稱：角色用戶（機構(gòu)）映射信息存儲容量：10001500序號字段名字段含義類型NOT NULL說明1Unit_role_id機構(gòu)-角色ID號VARCHAR2(32)Ypk系統(tǒng)產(chǎn)生2unit_ID機構(gòu)ID號VARCHAR2(32)YfK用戶標識3ROLE_ID角色標識VARCHAR2(32)YfK角色標識6.6 人員類別-角色信息系統(tǒng)編號：ZT_YHQXGL系統(tǒng)名稱：統(tǒng)一用戶權(quán)限管理更新頻率

47、：存儲編碼：user_type_role存儲名稱：角色用戶（機構(gòu)）映射信息存儲容量：10001500序號字段名字段含義類型NOT NULL說明1User_type_role_id用戶類別-角色ID號VARCHAR2(32)Ypk系統(tǒng)產(chǎn)生2USER_type_code用戶類別代碼VARCHAR2(32)YfK用戶標識3ROLE_ID角色標識VARCHAR2(32)YfK角色標識6.7 用戶-角色信息系統(tǒng)編號：ZT_YHQXGL系統(tǒng)名稱：統(tǒng)一用戶權(quán)限管理更新頻率：存儲編碼：user_ROLE存儲名稱：角色用戶（機構(gòu)）映射信息存儲容量：10001500序號字段名字段含義類型NOT NULL說明1Us

48、er_role_id用戶-角色ID號VARCHAR2(32)Ypk系統(tǒng)產(chǎn)生2USER_ID角色名稱VARCHAR2(32)YfK用戶標識3ROLE_ID角色標識VARCHAR2(32)YfK角色標識6.8 應(yīng)用系統(tǒng)信息系統(tǒng)編號：ZT_YHQXGL系統(tǒng)名稱：統(tǒng)一用戶權(quán)限管理更新頻率：存儲編碼：application存儲名稱：菜單信息存儲容量：550序號字段名字段含義類型NOT NULL說明1App_id應(yīng)用系統(tǒng)ID號VARCHAR2(32)YPK系統(tǒng)產(chǎn)生2App_no應(yīng)用系統(tǒng)編號VARCHAR2(32)Y手工錄入，必須唯一3App_name應(yīng)用系統(tǒng)(標題)名稱VARCHAR2(50)Y手工錄入，

49、必須唯一4App_location應(yīng)用系統(tǒng)的入口地址VARCHAR2(255)5App_type應(yīng)用系統(tǒng)類型VARCHAR2(1)Y0-門戶1-新建應(yīng)用2-老系統(tǒng)6.9 系統(tǒng)功能(菜單)信息系統(tǒng)編號：ZT_YHQXGL系統(tǒng)名稱：統(tǒng)一用戶權(quán)限管理更新頻率：存儲編碼：application存儲名稱：菜單信息存儲容量：550序號字段名字段含義類型NOT NULL說明1APP_MENU_ID系統(tǒng)功能ID系統(tǒng)產(chǎn)生2appid應(yīng)用系統(tǒng)IDVARCHAR2(32)YAPP_ID->app.appid3NAME名稱VARCHAR2(32)Y手工錄入，必須保證整個系統(tǒng)內(nèi)唯一4TITLE標題VARCHAR2

50、(32)Y5PARENT父菜單名稱VARCHAR2(32)6TARGET顯示區(qū)域VARCHAR2(32)當菜單為葉子菜單時，指定主界面顯示區(qū)域7LOCATION主體界面URLVARCHAR2(255)7CHIEF默認顯示NUMBER(1)1：默認顯示0：不默認顯示8IMAGE圖片VARCHAR2(255)菜單標題前的圖片9ALTIMAGEVARCHAR2(255)10DESCRIPTION描述VARCHAR2(255)11ORDERID顯示順序NUMBER(3)12TYPE類型VARCHAR2(8)當該記錄為操作時有效13BUSITYPE業(yè)務(wù)類型VARCHAR2(32)實際編碼10位。編碼規(guī)則和角色業(yè)務(wù)類型必須對應(yīng)14FUNCTYPE功能類型VARCHAR2(32)0：功能分組；1：信息查詢2：業(yè)務(wù)辦理15authenticationtype認證類別Char(1)0-不控制1-控制功能9-公共功能 說明：Authentication_type(認證類別):0-不控制，用戶不需等路即可訪問1-授權(quán)功能，需要授權(quán)才能訪問的功能2-公共模塊，用戶等路即可訪問的功能6.10 角色-功能信息系統(tǒng)編號：ZT_YHQXGL系統(tǒng)名稱：統(tǒng)一用戶權(quán)限管理更新頻率：存儲編碼：EAP_MENU_ROLE_MAP存儲名稱：菜單角色映射信息存儲容量：序號字段名字段含義