权限管理设计说明

对EMS权限管理模块设计

1.权限设计概述

1.1引言

随着Web 服务的复杂度增加以及用户数量和种类的增多，安全问题在理论及工程上都

是一个必须考虑的问题，而权限管理是安全问题中一个很重要的方面。因此本文针对权限做

了一个分析。

权限可简单表述为这样的逻辑表达式：判断“Who对What(Which)进行How的操作”的

逻辑表达式是否为真。

1.2意义

❖用户管理及权限管理一直是应用系统中不可缺少的一个部分

❖系统用户很多，系统功能也很多

❖不同用户对系统功能的需求不同

❖出于安全等考虑，关键的、重要的系统功能需限制部分用户的使用

❖出于方便性考虑，系统功能需要根据不同的用户而定制

1.3目标

直观，因为系统最终会由最终用户来维护，权限分配的直观和容易理解，显得比较重要，

除了功能的必须，更主要的就是因为它足够直观。

简单，包括概念数量上的简单和意义上的简单还有功能上的简单。想用一个权限系统解

决所有的权限问题是不现实的。设计中将变化的“定制”特点比较强的部分判断为业务逻辑，

而将相同的“通用”特点比较强的部分判断为权限逻辑就是基于这样的思路。

扩展，采用可继承的方式解决了权限在扩展上的困难。引进Group概念在支持权限以组

方式定义的同时有效避免了权限的重复定义。

2.基于角色的权限管理设计（Role-Based Access Control,RBAC）2.1权限管理用例图

2.2用例图描述

超级管理员：系统中默认的角色，它是系统中拥有最高权限的角色，它不仅能够管理其他的管理员和用户，而且还可以对系统中每个模块的任一功能进行操作、维护。

普通管理员：它是由超级管理员创建的，并授予权限，它能够管理系统部分的功能，它可以查看所有普通管理员、普通用户的信息，它只能对由它自己创建的用户进行编辑、删除操作，和管理拥有权限的模块。

普通用户：它是系统中最低权限的角色，它只能对自己拥有的权限进行操作，一般情况下，它的权限是对信息的浏览和对自己信息的录入，修改。

登陆系统：根据用户拥有的权限不同，用户所能操作的功能多少就不同，所以在登陆系统的时候就要对用户的权限进行判断。

用户管理：这里对本系统的登录用户进行维护。包括，新建、删除、编辑、注销等；系统初始化的时候，用户管理中默认只有一个拥有超级管理员角色的用户，因此在初始化登陆的时候，只能用这个用户登陆，其他的用户由这个用户创建并授予角色。

角色管理：角色是赋予系统用户的职权名称。包括，新建、删除、编辑、注销等；系统初始化的时候，角色管理中默认只拥有一个超级管理员的角色，其他角色由拥有这个角色的用户创建并授权。

其他模块：其他模块的每个功能都拥有一个唯一Id，根据用户登陆的权限，再确定这些功能是否对用户开放。

3.权限设计思路

3.1 基于角色的访问控制RBAC

RBAC 的主要思想是:权限（Permissions）是和角色（Roles）相联系的，而用户（Users）则被指定到相应的角色作为其成员。这样就使权限的管理大大简化了。

系统的权限控制主要是采用基于角色的访问控制，把权限绑定到角色上，当用户要操作权限时，就把角色赋给用户。而且在需要撤回权限时，只需把角色上的权限撤回就行了。

3.2思路

为了设计一套具有较强可扩展性的权限管理，需要建立用户、角色和权限等数据库表，并且建立之间的关系，具体实现如下

3.3 用户

用户仅仅是纯粹的用户，用来记录用户相关信息，如用户名、密码等，权限是被分离出去了的。用户（User）要拥有对某种资源的权限，必须通过角色（Role）去关联。用户通常具有以下属性：

编号，在系统中唯一。

名称，在系统中唯一。

用户口令。

注释，描述用户或角色的信息。

3.4 角色

角色是使用权限的基本单位，拥有一定数量的权限，通过角色赋予用户权限，通常具有以下属性：

编号，在系统中唯一。

名称，在系统中唯一---- (监控人员 )

注释，描述角色信息. ---→(在线监控人员)

3.5 权限

权限指用户根据角色获得对程序某些功能的操作，例如对文件的读、写、修改和删除功能，通常具有以下属性：

编号，在系统中唯一。

名称，在系统中唯一-----→(添,删,改,查)

注释，描述权限信息 .---→允许增加监控对象

3.6 用户与角色的关系

一个用户（User）对应一个角色（Role），一个角色可以被多个用户使用，用户角色就是用来描述他们之间隶属关系的对象。用户（User）通过角色（Role）关联所拥有对某种资源的权限，例如

用户（User）：

UserID UserName UserPwd

1 三 xxxxxx

2 四 xxxxxx

……

角色（Role）：

RoleID(角色编号) RoleName(角色名称) RoleNote(角色注释)

01 系统管理员监控系统维护管理员

02 监控人员在线监控人员

03 调度人员调度工作人员

04 一般工作人员工作人员

……

用户角色（User_Role）：

UserRoleID UserID RoleID UserRoleNote( 用户角色注释)

1 1 0

2 用户“三”被分配到角色“监控人员”

2 2 02 用户“四”被分配到角色“监控人员”

……

从该关系表可以看出，用户所拥有的特定资源可以通过用户角色来关联。

3.7 权限与角色的关系

一个角色（Role）可以拥有多个权限（Permission），同样一个权限可分配给多个角色。

例如：

角色（Role）：

RoleUUID(角色UUID) RoleName(角色名称) RoleRemark(角色注释)