统一权限外部开发模型

1、统一权限外部开发模型目的：熟悉使用SSO模式，并方便地满足用户的多种登陆方式，实现统一用户登陆控制和管理。用户可以用不同的方式登陆用户，实现统一用户登陆控制和管理，具体方式包括Null级别、SYS级别、CMS级别和其他外挂级别。基础程序和数据结构：基础程序：在$perl(perl安装默认目录，一般在/usr/lib/perl/版本号/)下有以下eTech包，包好eTech.pm和eTech目录为权限控制包数据库用户为macs/macs54321，具体表格请用sqlplus连接观看，为临时集中权限控制存储数据数据结构：MACS_SESSIONsession表METHOD用户CMS方式注册OPER

2、ATE各种操作定义RIGHT对资源权限记录表USERMAP用户映射表，通过映射获得得表，这里的macs_uid是唯一的用户代号，可能包含多个users，从而完成交换映射的关系！USERS基础用户信息，同时记录其他系统用户工作原理：用户可以使用多种方式method得登陆、授权体系这些登陆、授权会自动在macs系统中保留基本用户、权限等数据对于新得方式我们必须扩展相应得方式客户端，具体接口参见后面得手册基于CMS得提供缺省三种即NULL、SYS、CMS其他为自定义， NULL为基于自身系统获得、SYS为CMS系统管理层、CMS为项目层管理SYS层将不在macs里驻留数据典型函数说明和使用方式：Au

3、s_login aus_check 用户登陆和登陆检查Ats_login ats_list用户权限认证和权限列表Rps_check用户附加资料得检查和获得Ica_Notice 变更代理，用户自身信息变化时必须通知macs系统使得原有信息失效！Session_exchange session交换替代Log_Trace 用户行为跟踪代理NULL级别用户登陆扩展开发模式：直接对表进行变更，不支持灵活开发！SYS级别用户登陆扩展开发模式：Aus_login中调用了C程序aus_login_tmp，并把role作为g_id返回给了临时记录，作为典型的权限表示控制，改成group_id！Ats_logic

4、密码更改权限变更等功能一律基于CMS系统进行！用户注册！权限初始化！CMS级别用户钩子函数的开发：excute url of method，这里也可用CMS来生成，但必须进行注册，联合调试和说明URL注册mthod由NAME、URL和MATCH_REG等组成，url是客户端钩子函数，MATCH_REG确认有效返回，MATCH_REG为空则整体返回，目前支持手动数据录入insert into method values('cbdhr',':9008/action/cmsagent1.do',''); 同时直接支

5、持后台导入库和项目的可视化维护方式，具体参见操作手册。URL接口输入：user=$user&psw=$passwd&method=$method正确输出：1n$U_ID|$NAME|$EMAIL|$G_ID|$OTHERRPSr_id|+VIEW|-UPDATE+表增加权限 表删除权限r_id|+VIEW|-UPDATE$OTHERRPS扩展格式：$Key1|$Value1|$Key2|$Value2|U_NO、ADDRESS传入macs系统，U_NO|123|ADDRESS|dfsafafasdfasdfadfdsafas|URL快速开发：定义用户信息、权限信息和其他信息表格

6、开发该项目登陆模式的特定钩子函数开发用户信息变更程序时譬如密码改变了但实际上系统依然没有变化，这是非常致命的，必须立即变化，此时必须在用户信息变更时通知Ica_Notice($user,$method);错误调试日志errorc.log，通过加入warn来跟踪具体开发模式依然用CMS快速动态开发模式进行登陆、权限模式开发和调试：（1） 检查method注册与否，并一旦注册直接在ie里查看该钩子程序的结果，输出格式必须争取；（2） 查看apche的error.log日志的过程数据并查看相关错误，其中重要提示为下列报警；（3） 查到调用代理的提示后尝试在后台直接运行：/usr/local/apac

7、he/cgi-bin/publish/www_container.exe ':9008/action/cmsagent1.do?user=zengmp&psw=123456&method=cbdhr观看结果（4） 观看match_reg的匹配结果：在错误日志里！（5） 然后检查数据库表users和usermap里面是否增加了记录；（6） 一旦增加系统将由macs用户代替外部用户，变更必须Ica_Notice通知！（7） 通过审核可以进一步成为系统高级用户！高级开发注意事项：1 SYS模式完全独立无法与macs交互；2 系统支持方式端

8、错误时自动转移到SYS模式$enable_sys的使能打开导致的3 其他模式的用户信息变更时必须及时通知；4 从一种系统跨到另外一个系统为了获取数据的准确性，建议交换session；5 支持各种其他信息的扩展参见$OTHERRPS扩展格式！问题和答疑：！千万不能搞错钩子程序的输出格式，不能有任何<html></html>，否则正则匹配过滤掉Macs系统必须要有你自己提供得“钩子程序”，来验证用户是否真得存在，同时获取这个用户你自己定义得权限信息把所有信息填入macs表！搞清楚政策匹配的意义，并在method表里注册该钩子程序，名字name跟方式名字相同！/usr/local/apache/cgi-bin/publish/www_container.exe 'http:/219.235