|
用户认证管理设计方案 设计思路 为了设计一套具有较强可扩展性的用户认证管理需要建立用户角色和权限等数据库表并且建立之间的关系具体实现如下 用户 用户仅仅是纯粹的用户用来记录用户相关信息如用户名密码等权限是被分离出去了的用户(User)要拥有对某种资源的权限必须通过角色(Role)去关联 用户通常具有以下属性 ü 编号在系统中唯一 ü 名称在系统中唯一 ü 用户口令 ü 注释描述用户或角色的信息 角色 角色是使用权限的基本单位拥有一定数量的权限通过角色赋予用户权限通常具有以下属性 ü 编号在系统中唯一 ü 名称在系统中唯一 ü 注释描述角色信息 权限 权限指用户根据角色获得对程序某些功能的操作例如对文件的读写修改和删除功能通常具有以下属性 ü 编号在系统中唯一 ü 名称在系统中唯一 ü 注释描述权限信息 用户与角色的关系 一个用户(User)可以隶属于多个角色(Role)一个角色组也可拥有多个用户用户角色就是用来描述他们之间隶属关系的对象用户(User)通过角色(Role)关联所拥有对某种资源的权限例如 l用户(User) UserID UserName UserPwd 张三 xxxxxx 李四 xxxxxx …… l角色(Role) RoleID RoleNameRoleNote 系统管理员 监控系统维护管理员 监控人员在线监控人员 调度人员调度工作人员 一般工作人员 工作人员 …… l 用户角色(User_Role) UserRoleID UserID RoleID UserRoleNote 用户张三被分配到角色系统管理员 用户李四被分配到角色监控人员 用户李四被分配到角色调度人员 …… 从该关系表可以看出用户所拥有的特定资源可以通过用户角色来关联 权限与角色的关系 一个角色(Role)可以拥有多个权限(Permission)同样一个权限可分配给多个角色例如 l 角色(Role) RoleID RoleNameRoleNote 系统管理员 监控系统维护管理员 监控人员在线监控人员 调度人员调度工作人员 一般工作人员 工作人员 …… l 权限(Permission) PermissionIDPermissionName PermissionNote 增加监控允许增加监控对象 修改监控允许修改监控对象 删除监控允许删除监控对象 察看监控信息 允许察看监控对象 …… l 角色权限(Role_Permission) RolePermissionID RoleIDPermissionIDRolePermissionNote 角色系统管理员具有权限增加监控 角色系统管理员具有权限修改监控 角色系统管理员具有权限删除监控 角色系统管理员具有权限察看监控 角色监控人员具有权限增加监控 角色监控人员具有权限察看监控 …… 由以上例子中的角色权限关系可以看出角色权限可以建立角色和权限之间的对应关系 建立用户权限 用户权限系统的核心由以下三部分构成创造权限分配权限和使用权限 第一步由Creator创造权限(Permission)Creator在设计和实现系统时会划分利用存储过程CreatePermissionInfo(@PermissionName@PermissionNote)创建权限信息指定系统模块具有哪些权限 第二步由系统管理员(Administrator)创建用户和角色并且指定用户角色(User-Role)和角色权限(Role-Permission)的关联关系 )Administrator具有创建用户修改用户和删除用户的功能 l 存储过程CreateUserInfo(@UserName@UserPwd)创建用户信息 l 存储过程ModifyUserInfo(@UserName@UserPwd)修改用户信息 l 存储过程DeleteUserInfo(@UserID)删除用户信息 )Administrator具有创建角色和删除角色的功能 l 存储过程CreateRoleInfo(@RoleName@RoleNote)创建角色信息 l 存储过程DeleteRoleInfo(@RoleID)删除角色信息 )Administrator具有建立用户和角色角色和权限的关联关系功能 l 存储过程GrantUserRole(@UserID@RoleID@UserRoleNote)建立用户和角色的关联关系 l 存储过程DeleteUserRole(@UserRoleID)删除用户和角色的关联关系 l 存储过程GrantRolePermission(@RoleID@PermissionID@RolePermissionNote)建立角色和权限的关联关系 l 存储过程DeleteRolePermission(@RolePermissionID)删除角色和权限的关联关系 第三步用户(User)使用Administrator分配给的权限去使用各个系统模块利用存储过程GetUserRole(@UserID @UserRoleID output)GetRolePermission(@RoleID@Role PermissinID output)获得用户对模块的使用权限 用户认证实现 当用户通过验证后由系统自动生成一个位的TicketID保存到用户数据库表中建立存储过程Login(@UserID@UserPwd@TicketID output)进行用户认证认证通过得到一个TicketID否则TicketID为null其流程图如下 图 Login流程图 得到TicketID后客户端在调用服务端方法时传递TicketID通过存储过程JudgeTicketPermission(@TicketID@PermissionID)判断TicketID对应的用户所具有的权限并根据其权限进行方法调用 当用户退出系统时建立存储过程Logout(@UserID)来退出系统当用户异常退出系统时根据最后的登陆时间(LastSignTime)确定用户的TickeID建立存储过程ExceptionLogout(@UserID@LastSignTime)处理用户的异常退出 图 Logout流程图 WebService可以采用SoapHeader中写入TicketID来使得TicketID从客户端传递给服务端Net Remoting可以采用CallContext类来实现TicketID从客户端传递给服务端 数据库设计 数据库表 图 数据库关系图 数据库表说明 用户表(Static_User) 角色表(Static_Role) 用户-角色表(Static_User_Role) 权限表(Static_Permission) 角色-权限表(Static_Role_Permission) 技术概要 WebService SoapHeader 对 SQL 数据库执行自定义身份验证和授权在这种情况中应向服务传递自定义凭据(如用户名和密码)并让服务自己处理身份验证和授权 将额外的信息连同请求一起传递给 XML Web 服务的简便 |
