BBCA统一权限管理系统设计方案

权限管理系统方案 1 一权限管理系统设计方案 项目名称： 承建单位： 管理单位： 意见签署页 需求确认栏 用户单位负责人 日期： 用户单位联络人 日期： 承建单位项目负责人 日期： 权限管理系统方案 - 1 - 述 权限管理是应用系统中不可缺少的一部分，通常的做法是每开发一个系统都要将这部分功能作为一个模块来开发，一般要开发过程包含以下几个步骤： 1. 在数据库中建立用户和权限相关的表结构 2. 开发用 户、角色、权限管理等的功能模块 3. 为系统的每个功能加入获取和判断权限的方法 其实在不同的应用系统中，这些功能基本上都是一样的，每个系统都要加入这些大同小异的功能无疑会带来相当多的重复性工作，浪费我们不少宝贵时间。虽然将这些功能模块化能减轻一些工作，但由于每个系统采用的开发环境不同 (如有些系统采用 些用 术 )，或者虽然采用的开发技术相同，但采用的框架也可能存在差异 (如在 术下有的采用 的采用 者直接调用 )，造成将这些权限模块移植到不同的应 用系统时还是需要对代码进行相当繁琐的修改。 标 为了提高功能的可复用性，结合公司以往的成功项目经验， 通过统一 的系统 规划和系统 设计，开发一套 通用的权限管理系统，将用户管理、权限管理及单点登录功能都集成到该系统中 。 该系统主要解决后期新开发的应用系统无需重新开发权限管理模块的工作，不管新开发的应用系统采用的是什么开发环境，都可以通过 法来调用权限管理系统提供的权限认证服务，而且还 可以实现用户一次登录、网内通用，避免每进入一个系统都要重复登录 的情况。此外，可以对区域内各信息应用系统的权限分配和 权限变更进行有效的统一化管理，实现多层次统一授权，审计各种权限的使用情况，防止信息共享后的权限滥用，规范今后的应用系统的建设。 本文提供一种集成功能权限和数据权限的解决方法，以满足多层次组织中权限管理方面的集中控制。本方法 主要 是 基于 色的访问控制方法）的进一步扩展和延伸，即在功能权限的基础上增加数据权限的管理，实现数据权限和功能权限的集中处理。 权限管理系统方案 - 2 - 语 功能权限 系统的所有权限信息。权限具有上下级关系，是一个树状的结构。如下图： 系 统 管 理用 户 管 理查 看 用 户新 增 用 户修 改 用 户 删 除 用 户图表 1:功能权限的树状关系 对于上面的每个权限，又存在两种情况，一个是只可访问，另一种是可授权，例如对于“查看用户”这个权限，如果用户只被授予“可访问”，那么他就不能将他所具有的这个权限分配给其他人。 数据权限 权限所能管理的资源 ， 比如管理哪个部门。 用户 应用系统的具体操作者，用户可以自己拥有权限信息，可以归属于 0 n 个角色，可属于 0 n 个组。他的权限集是自身具有的权限、所属的各角色具有的权限、所属的各组具有的权限的合集。它与权限、角色、组之间的关系都是 n 对 n 的关系 。 角色 为了对许多拥有相似权限的用户进行分类管理，定义了角色的概念，例如系统管理员、管理员、用户、访客等角色。 权限管理系统方案 - 3 - 考资料 序号 文档名称 作者 发布日期 1 2 3 4 权限管理系统方案 - 4 - 第 2章 总体设计 行环境 操作系统： 列操作系统和 列操作系统。 网络结构：通用权限管理系统采用 B/S 架构实现，可以在桌面应用和 用系统中通过 行调用。 计思路 权限管理系统的设计结合以往公司的成功项目经验与当前技术快速发展状况，以服务为中心，根据业务需 求发现服务、描述服务并设计服务的实现。主要从以下几方面着手： 1. 独立性： 物理上独立：与各应用系统之间在物理上（部署时）相对独立（出于网络性能考虑，可以部署在相同网络中或部署到多个节点上以达到集群）。 数据独立：用户和权限数据存储在权限管理系统的数据库中，不同于应用系统的业务数据的存储。 技术独立：以 务方式提供接口，保证技术实现上与应用系统技术独立（ 序都可通用）。 权限管理系统方案 - 5 - 人 事 管 理 系 统信 息 门 户 系 统后 勤 系 统权 限 管 理 系 统科 研 管 理 系 统单 点 登 陆协 同 办 公 系 统财 务 管 理 系 统一 卡 通 系 统图表 限管理系统与各应用系统的关系图 2. 统一管理：各应用系统的用户和权限由权限管理系统统一管理，物理上权限管理系统与各应用系统相对独立，但逻辑上集中统一管理。 3. 安全性：基于 密机制，使数据在传输与存储上更安全与完整。 4. 松耦合：以服务的方式与应用系统整合，通过 求获取权限列表。 5. 通用性：适合一般应用系统管理授权的要求，整合了其它项目的以往成功经验。 6. 基于角色的策略：将用户与访问权限分离， 基于角色的策略 更能 实现 以 职责 为中心的管理 原则。 同时 既可 满足 集中管理，也可 满足 分散管理的 目标权限管理 。 集中管理 ：由 系统管理员对所有岗位的 进行全面和具体的职责 分工 ，用户 权限 按职责角色 作出标准细致的划分 ，以达到集中管理 。 分散管理 ： 系统管理员 为下级管理员设置部分权限，并交由下级管理员在其部分权限范围内进行细化各岗位权限，避免 权限的漏洞 ，达到分散、分层管理 。 7. 以应用系统为基线：权限管理系统对各应用系统的权限分开管理，以应用系统为基线，在应用系统上设置用户和权限。 8. 参数配置：通过在各应用系统上配置某些参数，使灵活 术能快速适应应用系统的实际业务。如可以通过参数设置是否分配用户组功能，控制某一应 用程序的角色是否分配用户组上。 权限管理系统方案 - 6 - 用 户 组参 数 控 制用 户 属 于用 户 组用 户 对 应 角 色用 户 组对 应 角 色参 数 控 制菜 单 权 限功 能 权 限数 据 权 限菜 单 权 限功 能 权 限数 据 权 限用 户用 户用 户管 理 员 角 色下 级 角 色用 户 对 应 角 色人 事 管 理 系 统单 点 登 陆协 同 办 公 系 统权限管理系统信 息 门 户 系 统图表 限管理系统实现框架 证服务模式 由终端用户向各应用系统提交访问申请，各应用系统接收到终端用户 请求后，将终端用户的请求重定向到权限管理系统认证，从而建立起用户的权限认证的连接，并由权限管理系统将认证结果返回给应用系统。用户登录到各应用系统后，根据用户的操作相应的向权限管理系统发出请求权限认证的服务，由权限管理系统的 并还回权限认证结果给应用系统。如下图： 权限管理系统方案 - 7 - 终 端W e 6 . 返 回 权 限 列 表应 用 系 统5 . 请 求 功 能 权 限权 限 管 理 系 统1 . 访 问 应 用 系 统2 . 重 定 向3 . 请 求 认 证4 . 用 户 权 限 认 证4 . 返 回 认 证 结 果图表 证服务模式 第 3章 功能概述 权限管理系统主要包含三层，分别为外部访问模块层、内部控制模块层、数据储存层。外部访问模块层主要为外部应用程序提供 口，提供应用程序的访问与用户认证。内部控制模块层主要是处理权限管理系统的内部业务逻辑，并通过数据储存层持久化数据。 权限管理系统方案 - 8 - 图表 限管理功能结构 统用例 根据业务的分析可以得出以下用例图： 权限管理系统方案 - 9 - 权限分配应用系统菜单设置角色管理用户导入应用系统配置管理员获取菜单项单点登录获取权限列表身份验证应用系统用户同步接口图表 限管理系统用例图 理流程 权限管理系统内部处理流程如下： 权限管理系统方案 - 10 - 管理员 应用系统设置用户设置 菜单设置 权限设置角色设置1: 设置应用系统信息2: 录入该系统菜单资料3: 将菜单与权限对应4: 导入该系统用户信息 ( 或手工录入 )5: 设置用户的角色6: 设置角色权限7: 用户对应权限图表 系统设置用户权限流程图 应用程序处理请求流程： 用户 菜单 模块权限系统1: 登录请求认证2: 返回是否有访问系统权限4: 有访问权限3: 不可访问5: 通过 W E B S E R V I C E 读菜单列表6: 返回该用户的系统菜单7: 通过 W E B S E R V I C E 读模块权限8: 返回模块权限列表图表 用户请求流程图 权限管理系统方案 - 11 - 用系统设置 权限管理系统可以管理多个应用系统的用户权限，如果某个应用系统需要通过本权限管理系统来管理用户和权限的话，那么首先要通过权限管理系统的 应用系统设置 功能添加一个应用系统。 添 加 应 用 系 统添 加 应 用 系 统请 填 写 要 添 加 的 应 用 系 统 信 息系 统 名 称 ：人 事 管 理 系 统系 统 首 页 ：人 事 管 理 系 统仅 B / S 系 统 填 写系 统 描 述 ：保 存 取 消设 置 用 户 组图表 加应用系统 户管理模块设置 本系统的用户是从属于应用系统的，用户的信息主要是为登录应用系统而服务。故本系统的用户信息只存储和用户权限相关的信息，和用户相关的人员信息（如：性别、出生日期、联系电话、地址、电话等）还是保存在各个应用系统中，通过唯一标识来关联。 字段名 描述 用户 业务意义主键 权限管理系统方案 - 12 - 用户名 登录某应用系统的 用户名 密码 登录应用系统的密码 姓名 该用户的姓名 唯一标识 如身份证号、学生证号等，根据此标识关联应用系统中的人员信息。 部门 用户所属的部门，可用于设置数据权限 能会增加通过邮件地址找回密码等功能。 所属应用系统 上一步分配的应用系统 用户信息可以单个录入或批量导入，批量导入主要是应用于应用系统初始化数据时，将人员的信息批量导入到权限管理系统中作为用户信息。导入的界面如下： 窗 体 标 题窗 体 标 题J D B C 设 置驱 动 程 序 ：o r a c l e . j d b c . d r i v e r . O r a c l e D r i v e L ：j d b c : o r a c l e : t h i n : 1 9 2 . 1 6 8 . 2 1 . 1 8 2 : 1 5 2 1 : o r c 名 ：h r u s e ：* * * * * * *执 行 导 入 的 s q l 语 句S e l e c t u s e r N a m e , a s p a s s w o r d , e m p l o y e e N a m e a s f u l l N a m e , a s d e p a r t m e n t , i d c a r d N o , e m a i l , 4 a s s y s t e m I d f r o m e m p l o y e e 导 入 取 消所 属 应 用 系 统 ：人 事 管 理 系 统图表 应用系统批量导入用 户信息 备注：导入用户信息的 句必须包括： 个字段。 权限管理系统方案 - 13 - 导入完成后可以通过用户查询界面看到这些用户，并可以通过编辑用户的信息来设置用户名、密码等信息，以及给用户分配角色，当一个用户属于多个角色时，其拥有的权限是这些角色所拥有的权限的并集。 用 户 管 理 ( 人 事 管 理 系 统 )用 户 管 理 ( 人 事 管 理 系 统 )用 户 列 表人 事 系 统 用 户学 校 办 公 室教 务 处李 明王 刚用 户 信 息用 户 名 ：h r u s e ：* * * * * * *唯 一 标 识 ：4 1 2 3 1 1 9 7 0 1 2 0 1 1 9 2 1部 门 ：4 1 2 3 1 1 9 7 0 1 2 0 1 1 9 2 1电 子 邮 件 ：l i m i n g s c n u . e d u . c 管 理 ( 人 事 管 理 系 统 )角 色超 级 管 理 员部 门 管 理 员角 色 权 限人 员 管 理人 员 基 本 信 息 维 护调 动 管 理组 织 机 构 管 理机 构 管 理合 并 机 构姓 名 ：李 明普 通 用 户图表 辑用户信息 以后应用系统中再增加人员时，可以通过手工方式进入权限管理系统 中为该用户分配权限，也可以通过增加用户的 动为该用户在权限管理系统中分配用户。对于普通用户修改密码，可以在应用系统中请求 供接口解决。 自定义用户属性： 用户属性一般用于定义数据权限，当系统固定的用户属性不能满足要求时，可以自己定义用户属性。 织机构管理 限及菜单设置 菜单设置： 主要作用是为了控制各应用系统中的菜单权限。 权限管理系统方案 - 14 - 菜 单 设 置 ( 人 事 管 理 系 统 )菜 单 设 置 ( 人 事 管 理 系 统 )菜 单 列 表人 事 信 息 管 理机 构 信 息 管 理编 制 信 息 管 理菜 单 信 息菜 单 名 称 ：机 构 信 息 管 理顺 序 ：2 1图 标 ：链 接 地 址 ：s t a f f I n f o / o r g . j s 权 限 ：菜 单 设 置 ( 人 事 管 理 系 统 )上 级 菜 单 ：人 员 基 本 信 息 管 理人 事 调 配 信 息 管 理工 资 及 福 利 管 理高 层 次 人 才 管 理考 核 管 理权 限 管 理基 本 代 码 设 置报 表 管 理保 存 取 消人 事 信 息 管 理机 构 信 息 管 理浏 览编 辑删 除新 增 下 级 菜 单图表 单设置界面 菜单为树状结构，当上级菜单 “表示该 菜单是一级菜单，没有上级。每个菜单项都对应一个功能权限，当用户无权访问该功能权限时，该菜单项不可见。 字段名 字段类型 可为空 默认值 描述 0) N 菜单 0) N 上级菜单 0) N 菜单名称 0) Y 描述 2) N 排序值 0) Y 图标 55) Y 链接文件 55) N 路径 0) N 权限 权限管理系统方案 - 15 - ) Y 0 012 功能权限设置： 主要作用为了控制用户访问应用系统的功能范围 权 限 设 置 ( 人 事 管 理 系 统 )权 限 设 置 ( 人 事 管 理 系 统 )权 限 列 表人 事 信 息 管 理机 构 信 息 管 理编 制 信 息 管 理权 限 信 息权 限 名 称 ：人 员 基 本 信 息 管 理权 限 设 置 ( 人 事 管 理 系 统 )上 级 权 限 ：人 员 基 本 信 息 管 理人 事 调 配 信 息 管 理工 资 及 福 利 管 理高 层 次 人 才 管 理考 核 管 理权 限 管 理基 本 代 码 设 置报 表 管 理保 存取 消人 事 信 息 管 理编 辑删 除新 增 下 级新 增修 改删 除审 批图表 限设置界面 权限也是树状结构， 当上级权限 “表示该权限没有上级权限。 字段名 字段类型 可为空 默认值 描述 0) N 权限 0) Y 上级权限编码 0) N 权限名称 55) N 路径 数据权限设置 数据权限主要包数据表内容过滤与数据表的列过滤。 1. 内容过滤可以通过设计过滤条件实现，如下： 权限管理系统方案 - 16 - 图表 据过滤设置界面 2. 行过滤主要是控制显示的结果列，属于业务范围可由应用系统自行实现。 色管理设置 角色管理 主要是 管理授权，允许指定应用程序中的用户 可以访问的资源。角色管理允许向角色分配 系统权限 （如 人员管理员的增加操作 、 修改操作 等），从而将 控制 用户 的访问权限 。 在编辑角色的操作中，用户可以为该角色选择相应的权限，如下图： 新 增 角 色新 增 角 色角 色 信 息角 色 名 称部 门 管 理 员角 色 权 限描 述保 存取 消人 员 管 理人 员 基 本 信 息 维 护调 动 管 理组 织 机 构 管 理机 构 管 理合 并 机 构各 部 处 的 管 理 员上 级 角 色 名 称系 统 管 理 员图表 色设置界面 权限管理系统方案 - 17 - 用系统调用方式 份验证 用户登录一个应用系统时，当他提交登录表单后，应用系统调用本权限管理系统的身份验证服务来判断用户名和密码是否匹配。 参数列表：系统 属应用系统），用户名，密码 返回结果：访问系统标志（ 0 不可访问； 1 可访问；）（， 成功登录的 取用户权限列表 如果用户登录成功，应用系统再调用本权限管理系统提供的获取权限列表的服务得到该登录用户的权限列表保存到 ，以便操作各个功能时，可以判断该用户是否有相应的操作权限。 参数列表：系统 属应用系统），菜单 块 用户名（， 返回结果：返回用户权限列表 获取菜单列表 进入用户主界面时，应用系统调用本权限管理系统的获取菜单列表的服务来获取该用户有权查看的权限列表，然后根据这个列表生成界面菜单。 参数列表：系统 属应用系统） ，用户名（， 返回结果：返回系统菜单列表 权限管理 应用系统集权了本权限管理系统后，相应的权限管理和修改用户密码的操作都是直接通过超链接的方式跳转到权限管理系统来进行，因为用户登录应用系统时，也会登录到单点登录系统，所以访问权限管理系统的这些功能时无需再次登录。 念模型 一个用户对应多个系统 一个系统可以设置多个菜单功能 权限管理系统方案 - 18 - 一个菜单功能可以设置一个权限 权限之间有上下关系 一个系统可以设置多个角色 一个用户可以设置多个角色 一个角色可以设置多个权限 系统对应用户用户对应的应用系统系统对应权限角色对应权限用户对应角色角色对应用户菜单对应权限权限对应角色e la t io n sh 1 4R e la t io n sh 1 61 . nR e la t io n sh 1 81R e la t io n sh 2 0用户菜单列表用户对应角色菜单对应权限用户组用户组对应用户图表 念模型图 权限管理系统方案 - 19 - 第 4章 整合 事 管 理 系 统信 息 门 户 系 统后 勤 系 统协 同 办 公 系 统财 务 管 理 系 统一 卡 通 系 统用 户权 限 管 理 系 统用 户用 户单 点 登 录 ( S S O )r e q u e s 合 本权限系统默认整合了我们已有的 点登录产品， 经在多个项目中得到了应用，具有 简单实效， 快捷 安全的 特点。 统中有一个 务器，若干个成员系统。成员系统的登录和检查登录状态的操作都要通过请求 权限管理系统方案 - 20 - P a o r t 用户管理 K e y 管理 身份验证 U R L 转发和C i e 管理 W e b S e r v i c e 协同办公系统 门户网站 本科生管理系统 研究生管理系统 其它系统 责完成对用户的认证工作 ， 处理用户名 / 密码等凭证 (，提供一种灵活但同一的接口 / 实现分离的方式 ， 凭证 认证方式跟协议是分离的，认证的实现细节可以 由用户 自己定制和扩展 。 应用主要有四个包组成：用户管理、 理、身份验证、 理。 成员系统实际上是单点登录的客户端， 当有对本地 用的受保护资源的访问请求，并且需要对请求方进行身份认证， 用不再接受任何的用户名密码等类似的 验证 ，而是重定向到 行认证。 权限管理系统方案 - 21 - 目前， 持包括 客户端，几乎可以这样说。 另外本系统也可以整合 大产品单点登录系统 (要功能，提供用户集中管理、 身份 统一认证，并实现用户的一次性认证登录，可直接访问各用系统的系统资源。 用户通过单点登录系统（ 求访问 用系统资源，由单点登录系统（ 行用户身份统一认证。验证合法身份后，单点登录系统（ 据用户的请求直接转向到各 用系统，再由各应用系统根据用户相应的操作向权限管理系统提交权限认证的服务申请。权限管理系统依申请由 口作出相应的响应并还回权限认证结果给各应用系统，实现对用户权限的控制。 第 5章 需要强调的观念 因为要考虑通用性，权限系统能够实现的功能比较有限，在个别方面甚至会带来额外的一些工作量，你开发的应用系统要不要集成权限管