统一用户及权限管理.doc
《统一用户及权限管理.doc》由会员分享,可在线阅读,更多相关《统一用户及权限管理.doc(40页珍藏版)》请在咨信网上搜索。
1、文件编号:统一用户及权限管理平台解决方案及设计报告版本号 0.9拟制人 王应喜 日期 2006年6月 审核人_ 日期_批准人_ 日期_统一用户及权限管理设计报告目录第一章引言11.1编写目的11.2背景11.3定义11.4参考资料1第二章统一权限管理解决方案22.1需求分析22.2系统架构22.3系统技术路线4第三章统一用户及授权管理系统设计43.1组织机构管理43.2用户管理43.3应用系统管理、应用系统权限配置管理43.4角色管理43.5角色权限分配43.6用户权限(角色)分配43.7用户登录日志管理功4第四章对外接口设计54.1概述54.2接口详细描述54.2.1获取用户完整信息54.2
2、.2获取用户拥有的功能模块的完整信息64.2.3获取用户拥有的一级功能模块74.2.4获取用户拥有的某一一级功能模块下的所有子功能模块84.2.5获取用户拥有的某一末级功能模块的操作列表94.2.6判断用户是否拥有的某一末级功能模块的某一操作权限104.2.7获取某一功能模块的ACL尚需进一步研究104.2.8获取某一模块的数据级权限规划规则尚需进一步研究11重庆南华中天信息技术有限公司第 2 页2024-5-7统一用户及权限管理解决方案1 引言1.1 编写目的编写此文的目的从总体上描述企业统一用户及授权管理的解决方案以及统一用户及授权管理系统的功能设计、对外接口设计、数据库设计,并为下一阶段
3、的详细设计以及系统编码、测试提供依据。本文档读者对象:用户、项目经理、系统分析员、软件文档管理员、质量管理人员,软件开发人员、软件测试人员等。此文档和附加参考资料作为系统进行设计与测试的基础性文档。1.2 背景随着信息化的发展,企业的应用不断的增加,而企业的应用行使多样化,既有传统的C/S模式应用,又有基于internet的B/S应用;既有基于Windows平台的.net应用,又有基于J2ee架构的应用。企业在进行信息化建设过程中,在没有实现同以用户及授权管理之前,各个系统的用户独立,且用户授权不能集中管理,这给企业信息化的系统管理员和操作用户带来很多不便。鉴于此,本文提出基于统一用户及授权管
4、理解决方案。1.3 定义列出本文件中用到的专门术语的定义和外文首字母组词的原词组。1、SSO:Single Sign On,单点登录1.4 参考资料2 统一用户及权限管理平台解决方案2.1 需求分析统一用户权限管理主要解决的问题:1、 提供用户注册用户通过网上注册。2、 提供统一的用户管理和授权管理(应用程序)权限控制,只实现功能权限控制,而不实现数据(范围)权限控制,主要由于各个业务的数据访问规则很难归纳为标准的访问规则。而功能从权限的控制包括:l 不做权限控制的功能,即不登陆就可操作,如:对外新闻、公告查询l 公共功能:用户只要登陆就可操作的功能,如:内部新闻、内部公告查询l 需权控制的功
5、能:只有当用户拥有该功能的权限才能操作的功能3、 提供统一的用户及权限认证接口提供的统一的用户及权限认证接口同时满足C/S和B/S应用的用户认证和权限控制的需求;且对于B/S应用,既满足基于windows平台的.net应用,也满足与基于J2ee架构的应用。4、 提供统一的数据访问接口统一用户及权限管理平台提供各类数据访问接口,如:获取操作人员的信息、获取机构信息、获取系统功能信息等。5、 系统具有较好的扩展性和灵活性组织机构、用户的属性要求可以进行适当的增加,以满足各个不同企业的统一权限管理的需要。统一权限管理,既满足与单个应用授权,也满足所有应用集中授权。统一权限管理既满足一个机构集中授权,
6、也满足多机构逐级受权。在统一授权管理中,每个应用权限控制的粒度不一致,有的应用或模块控制得较粗,有的控制得较精确,如:对于数据的维护只是一个“数据维护”权限粗的控制,也可以控制到“数据新增”、“数据修改”和“数据删除”权限的精确控制上。/以下由沈伟补充6、 系统的单点登录(包括跨系统的应用调用)7、 权限模型配置(包括模块与部分可通用的数据权限;数据权限做到什么程度需思考)。对于第2点中细节描述部分,则形成需建成独立服务模式,而非源程序加载模式。此需求需讨论。建议:对SSO项目进行继承。组织机构管 理应用系统权限配置应用系统管 理用 户管 理角 色管 理角色权限分 配用户权限角色分配统一用户、
7、授权管理系统身份认证接口权限认证接口数据访问接口认证、服务组织机构信息、用户信息、应用系统信息、应用系统权限(功能)配置信息、角色信息、角色(已分配)权限信息、用户(已分配)权限信息、用户登录日志信息认证中心数据库用户登陆管 理OA系统。应急指挥系统邮件系统应用系统认证、服务接口图:统一用户及权限管理平台架构用户注册系 统2.2 系统架构如图所示,统一用户及权限管理平台系统功能由四部分组成:1、 用户注册系统用户注册系统提供用户网上注册。2、 统一用户及授权管理系用系统该系统主要由应用系统的系统管人员使用。系统提供组织机构管理、用户管理、应用系统管理、应用系统权限(功能)配置管理、角色管理、角
8、色权限分配、用户权限(角色)分配、用户登录管理功能。3、 认证与服务认证服务提供应用系统身份认证接口、权限认证接口、数据访问接口。应用系统同过调用身份认证接口实现用户身份认证;调用实现对用户权限认证;通过调用数据接口读取如用户信息、组织机构信息等数据。4、 认证中心数据库认证中心数数据库负责存储统一用户及权限管理的数据。2.2.1 统一用户、权限管理数据流程图统一用户、授权管理(数据增、删、改维护)其它系统认证信息认证中心数据库门户认证信息邮件系统邮件帐户信息图:统一用户、权限管理数据流程图从以上图中可知,在进行统一用户、授权管理时,一方面对认证中心的用户信息、权限分配数据进行维护,另一方面,
9、根据需要,可以对门户系统(如Liferay Portal、IBM Websphere Portal)中的相关的用户、权限分配信息进行同步更新,以及对邮件系统中的邮件帐户信息进行同步更新,以及对其它系统的认证信息进行同步更新。通过以上方案,既满足了统一用户和授权管理,同时,又解决了门户系统、邮件系统等的用户管理、授权和认证问题。避开了去了解甚至重新构造门户系统、邮件系统等中的用户认证、权限认证问题。2.2.2 新建应用、门户的身份认证、权限认证机制用户应用请求门户请求认证中心数据库门户认证信息门户单点登录认证中心统一用户信息数据库用户认证接口统一权限认证接口门户权限认证接口门户权限认证服务统一用
10、户权限管理认证服务 门户权限的认证由门户服务器提供的认证服务完成。 新的应用系统建设,其用户、权限是基于统一的用户、权限管理平台建设,用户身份认证、权限认证由我们提供的统一用户权限管理的认证服务完成。2.2.3 老的应用系统的认证机制老的应用系统的用户认证、权限认证仍然由老系统完成。若老的应用系统整合到门户,首先通过门户认证,然后再通过老的系统的用户、权限认证。具体如下:用户从门户应用请求门户单点登录认证中心统一用户信息数据库统一用户认证接口原系统登录原系统认证信息原系统用户认证接口系统请求原系统权限认证接口认证中心与老系统认证映射据库图:老系统用户、权限认证机制2.2.4 关于邮件系统的用户
11、认证问题邮件系统的用户认证仍然由邮件系统提供的认证服务完成,只是,若需要进行统邮件系统的账户时,在对认证中心的用户进行维护时,对邮件系统的帐户信息(主要是用户名和口令)进行同步更新。2.3 主要技术路线l 统一用户和权限管理系统该系统采用jsp+struts+hibernate的J2ee架构。J2ee WEB中间件采用TOMCAT。l 认证接口提供给应用系统的接口以webservice方式提供,实现方法采用一般的javabean实现。l 数据库在本方案中,数据库系统采用mysql数据库。3 用户注册系统设计此部分主要是想用户网上注册功能。4 统一用户及授权管理系统设计统一用户及授权管理系统主要
12、实现的功能包括:l 组织机构及用户管理l 应用系统及功能管理l 角色管理l 角色权限分配l 用户权限分配l 用户登录日志管理系统主界面如下:4.1 组织机构及用户管理1、 功能描述采用树形结构对机构及人员进行维护管理。具体包括:1) 机构的维护l 机构新增l 机构删除l 机构修改2) 人员的维护l 人员新增l 人员删除l 人员修改l 人员口令修改l 注册用户审查l 帐户开通/停止3) 用户授权l 用户角色授权4) 用户权限查询l 用户拥有的角色查询l 用户拥有的权限查询2、 界面样式4.2 角色管理对角色的维护管理,包括角色的新增、修改、删除。4.3 角色权限分配4.4 用户权限(角色)分配4
13、.5 登录(在线)用户管理提供在线用户查询和注销在线用户功能。4.6 辅助功能4.6.1 系统操作管理实现操作日志的查询和导出。4.6.2 用户登录日志管理实现对用户历史登录日志的查询和导出。4.6.3 系统代码表管理代码类别维护代码维护4.7 应用系统及功能管理此部分功能一般只提供给开发应用开发上维护。主要实现应用系统目录维护和系统功能维护。5 认证与服务接口设计5.1 概述企业的信息化建设通常是要建设多个应用系统,多个应用系统共用一套组织机构及权限管理子系统。组织机构中包括不同业务部门、不同行政级别的人员,不仅组织机构非常庞大,并且各个组织单元之间的关系错综复杂。为方便组织机构管理工作和授
14、权管理工作的顺利进行,在组织机构及权限管理部分实行“逐级授权”的策略,将组织机构及权限管理子系统建设成为一个独立的Web应用,各个行政级别的系统系统管理员都可以登录到Web服务器上,进行组织机构和权限的管理和维护工作。由于这是一个多应用系统,各个业务系统对权限分配的结果都有各自不同的展现方式,为使各个应用系统能够将组织机构管理和权限分配的结果实实在在的应用到各个业务系统中,组织机构及权限管理子系统向各个业务系统提供了统一的应用程序接口。接口以WEBSERVICE形式提供,为方便各个业务系统操作,接口的返回值以XML格式为主。各个业务系统根据权限管理子系统的返回值可以自行决定如何展现权限分配的结
15、果。5.2 接口详细描述统一用户及权限管理平台以WEBSERVICE形式提供对外接口,返回信息以XML形式提供,接口如下:5.2.1 判断用户是否合法类名称OrgManager函数名称功能描述:根据用户登录名、口令判断用户是否为合法用户调用语法:参数描述:参数标识 参数名称 数据类型 输入/输出 userID 用户ID号 String 输入返回值说明:备注:5.2.2 用户注销类名称OrgManager函数名称功能描述:根据用户登录名注销登录用户调用语法:参数描述:参数标识 参数名称 数据类型 输入/输出 userID 用户ID号 String 输入返回值说明:备注:5.2.3 用户修改密码类
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 统一 用户 权限 管理
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【a199****6536】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【a199****6536】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。