郅芬香++王留芳
摘 要 在网络技术飞速发展的今天,传统的纸质办公方式已经远远不能满足时代发展的需求,OA的出现很好的解决了这样的问题,它不仅能够处理公司内部的事务性工作、辅助管理,还提高了办公效率。其中,一个好的权限管理设计显得尤为重要。
关键词 身份验证;权限设计;JSP
中图分类号:TIll7 文献标识码:A 文章编号:1671-7597(2014)19-0035-01
企业将OA系统作为日常办公的平台以后,公司的大部分事务和流程都需要通过OA来办理,安全性问题便随之而来。OA办公系统的安全涉及多个方面,典型包括的数据安全、硬件网络的安全、身份认证安全等。它们之间相互关联影响,如:身份认证安全出现问题,非法用户的非法入侵系统导致数据的丢失和泄露,硬件的毁坏导致数据的损失,网络不安全导致数据传输过程中的数据泄露。身份认证安全是指通过一系列的技术手段和相关的措施,确保用户在登录认证和应用中的安全性和合法性。本文的论述重点为系统的权限设计和实现,寻找一种有效的权限匹配算法,实现身份认证。
1 算法实现
1.1 使用工具
1) 操作系统采用WINDOWS平台。
2) 数据库管理系统采用SQLServer 2005。
3) WEB服务器采用Tomcat。
4) 程序设计采用JSP技术。
1.2 实现过程
1.2.1 算法的基本思想
OA中将权限分为模块级权限和数据级权限,分别从横向和纵向2个维度来控制用户权限,以适应不同的情况。
模块级权限主要控制模块、菜单、操作等,比如人力资源、行政管理等模块的显示,以及查看、添加等操作按钮的显示;
数据级权限主要控制列表中数据的查看权限,分为全部、指定部门、本部门、个人4种。
1.2.2 数据库设计
针对权限设计,数据库中共用到6张表,分别是:模块/权限表、职位表、用户表、职位权限表、用户权限表、用户权限屏蔽表。
模块/权限表包括模块/权限编码、模块/权限名称、模块/权限值等;职位表包括职位名称、所属部门、管理范围等;其中,管理范围包括:个人、本部门、指定部门、全体;用户表包括用户名、密码、职位等;职位权限表包括职位ID、权限ID;用户权限表包括用户ID、权限ID;例如,2个职位相同的用户A和用户B,对应的职位权限是相同的,当需要用户A比用户多“删除”权限时,只需要在用户权限屏蔽表中增加一条记录,该记录的值为:用户A的ID、“删除”权限的ID;用户权限屏蔽表包括用户ID、权限ID;与用户权限表相反,当需要用户A比用户B少某项权限的时候,只需要在该表增加一条记录,该记录的值为:用户A的ID、“删除”权限的ID,即可。
1.2.3 程序设计
当用户登录OA时,需要先输入用户名、密码、验证码等信息,系统获取数据库中是否存在与之匹配的用户名和密码,并且是否允许登录;当验证通过后,再判断该用户是否是第一次登录,当第一次登录时,提示必须修改初始密码。否则,系统取出该用户对应的相关权限值,并保存到session中,跳转到OA主界面。
//获取用户输入的用户名、密码等信息
String username=request.getParameter(“name”);
String password=request.getParameter(“pwd”);……
//查找数据库中是否存在与之匹配的用户信息
if(userID<0||!password.equals(password2)||ifLogin==0) return;
//验证通过后,将用户关键信息保存到服务器的session中,以便系统调用
session.setAttribute(“userID”, String.valueOf(userID));
session.setAttribute(“username “, username);
session.setAttribute(“permit”,permit);
session.setAttribute(“range”,String.valueOf(range));
//判断用户是否是第一次登录
if(ifFirstLogin==1)
response.sendRedirect(“person/console/pass/setFirst.jsp”);
else
response.sendRedirect(“frame.jsp”);
进入OA系统以后,当用户点击某个操作按钮时,需要判断该用户是否具有该按钮的操作权限,系统首先通过调用session.getAttribute(“permit”)获取该登录用户session中保存的permit值,然后调用permit.indexOf(“***”)!=-1来判断该用户是否具有操作该按钮的权限,如果有该权限,则不提示;否则,提示“您无此权限!”。
if(!permit.indexOf(“***”)!=-1)
{
out.print(“”);
}
2 总结
论文提出的权限控制和算法,能够有效控制用户的非法登录,以及对资源的访问,实现了OA系统中的权限控制,目前该方法已经应用到所开发的OA办公系统中,使用多年,取得了较好的成效。
参考文献
[1]牛丹梅,丁一.OA系统中基于角色的安全访问控制设计[J].信息安全,2009,25(7):59-61.
[2]徐江峰,刘恒强.基于角色和加密技术的访问控制研究[J].微计算机信息,2008,1(3):36-38.
[3]陈建斌,刘文宏.办公自动化系统中权限模型的设计[J].纺织高校基础科学学报.2006,19(1):85-89.
[4]SANDHU R S.The Typed Access Matrix Model[R].Oakland,California:Proc IEEE Symposium on Research in Security and Privacy,1992.
作者简介
郅芬香(1983-),女,汉族,河南鹤壁人,硕士,讲师,主要研究领域:数据挖掘,CDN。endprint