Net平臺下基于角色的訪問控制系統(tǒng)的設計與實現(xiàn)

Net平臺下基于角色的訪問控制系統(tǒng)的設計與實現(xiàn)

摘要應用Windows系統(tǒng).NetFramework開發(fā)平臺，采用自定義屬性、類型及反射等技術，通過對不同應用系統(tǒng)的資源ID生成、訪問方式，以及資源樹訪問接口的定義，給出一套簡潔、實用的基于角色的用戶權限管理系統(tǒng)的通用平臺設計方案。關鍵詞權限管理；角色；反射；自定義屬性由于資源訪問方式枚舉量的定義各不相同，如何以統(tǒng)一的接口方式獲取不同資源的訪問方式是本平臺設計的一個難點。這里采用屬性AccessType統(tǒng)一返回資源訪問方式枚舉量的類型（Type）對象。通過下列代碼可以得到訪問方式枚舉量的所有信息（C＃）：Typet=resourceNode.AccessModeType;FieldInfo[]fs=t.GetFields(BindingFlags.DeclaredOnly|BindingFlags.Static|BindingFlags.Public);int[]enumVals=newint[fs.Length];string[]enumNames=newstring[fs.Length];inti=0;foreach(FieldInfofinfs){enumVals[i]=f.GetValue(null);DisNameAttribute[]ds=f.GetCustomAttribute(typeof(DisNameAttribute)，false);If(ds.Length!=0)enumNames[I]=ds[0].Name;}上述代碼中，enumVals數(shù)組中存儲了所有訪問方式的枚舉值，enumNames數(shù)據(jù)組中存儲了各個訪問方式的顯示用名稱。權限是指用戶對具體資源的訪問許可，權限和資源密不可分。這里權限用一個二元組來表示：Permission（Resource，AccessMode）其中Resource表示一個具體資源，AccessMode是用戶對此資源的所授權的訪問方式。需注意的是，由于AccessMode設計成可按位組合，所以此二元組表示了用戶對一個資源的所有訪問權限。角色可由系統(tǒng)管理員或授權用戶靈活定制。角色具有唯一且不重用的ID。角色之間采用組合關系，一個角色可以包含其它多個角色，一個角色的權限是它本身及其所包含的其它角色所擁有的權限的集合。Role_Table角色的所有相關信息均記錄到數(shù)據(jù)庫中的角色表Role_Table。權限分配是指為角色配置某種權限。可以用三元組（Role，Resource，AccessMode）表示，即Role角色對Resource資源可以進行AccessMode的操作。RolePermission_Table角色的所有授權信息均存儲到角色權限關聯(lián)表RolePerssion_Table。用戶可由系統(tǒng)管理員或授權用戶靈活增刪。用戶具有唯一且不重用的ID。各個用戶相互獨立，不存在繼承或組合關系。User_Table用戶的所有相關信息均記錄到數(shù)據(jù)庫中的用戶表User_Table。角色委派是指為用戶分配若干種角色?？梢杂枚M（User，Role）表示，含義是User用戶屬于角色Role。一個用戶可以屬于多個角色。UserRole_Table用戶與角色的所有關聯(lián)信息均記錄到數(shù)據(jù)庫的用戶角色關聯(lián)表UserRole_Table。使用應用系統(tǒng)的用戶首先要進行用戶登錄，登錄成功后，結合UserRole_Table及RolePerssion_Table查詢當前用戶對所有資源的訪問權限，根據(jù)返回結果在動態(tài)生成此用戶對資源的所有權限表：UserPermission_Table其中AccessMode的值是用戶所屬的多個角色對某一資源的所有訪問方式的組合。當用戶要對一個需安全訪問控制的對象操作時，首先根據(jù)應用系統(tǒng)自定義的資源ID編碼規(guī)則及訪問對象的相關信息生成ResourceID，和應用系統(tǒng)定義的對此對象進行操作所需的訪問權限accessMode，再查找UserPermission_Table表，判別當前用戶是否具有相應的操作權限。本文結合