身份验证系统
所谓的系统在庞大的企业信息化平台上也就是一个模块,而这个系统(模块)也可以认为是由2个单独的子系统(模块)组成的:权限系统和组织结构系统。权限负责管理整个企业资源的使用,组织结构则描述了整个企业的职能架构。两相结合将企业的商业活动合理高效的调动起来。
权限系统的设计原则一般是:不提供全方位的权限解决方案,仅提供一个实现对通用的、粗粒度的权限逻辑的处理,对于一些定制性比较强的、细粒度的权限逻辑部分则归为业务逻辑,由业务模块编码处理。所以这也被称为不完全的权限系统。
比如,要求:“合同资源只能被它的创建者删除,与创建者同组的用户可以修改,所有的用户能够浏览”。这既可以认为是一个细粒度的权限问题,也可以认为是一个业务逻辑问题。在这里它是业务逻辑问题,在整个权限系统的架构设计之中不予过多考虑。还有比如,有"新闻系统管理者只能删除一月前发布的,而超级管理员可删除所有的这样的限制,这属于业务逻辑(Business logic),而不属于用户权限范围。也就是说权限负责有没有删除的Permission,至于能删除哪些内容应该根据UserRole or UserGroup来决定(当然给UserRole or UserGroup分配权限时就应该包含上面两条业务逻辑)。
同时权限系统还应该考虑将功能性的授权与资源性的授权分开。比如系统管理人员就有系统的功能性权限而不应该有企业资源的操作权限,比如系统维护人员不应具有费用减免的权限。
- Resource 企业资源,可以反向包含自身,即树状结构。
- Privilege 一个抽象的动词如“发布”,一定要和一个Resource Instance关联才会有真正的意义生成一个Privilege Instance,比如发布公告、发布商品。还可以指定排斥和包含关系,比如完全控制就包含更改和读取权限。
- Role 是一个抽象概念,是一类Privilege Instance的集合。用来和组织结构系统关联。在某些模型里支持继承关系和责任分离关系,所谓责任分离关系就是避免同一用户拥有互斥的角色,这种责任分离关系处理起来比较复杂,简化办法是同一时刻用户只能用一种角色进入系统。
组织结构系统的组成如下:
- User 纯粹的用户,如企业内部的所有员工和外部的代理商。
- Group 和User是多对多的关系,一个组可以包含多个用户,同时一个用户可以同时属于多个组。
组本身可以嵌套,这样好处是子组自动从父组继承权限。 方便管理授权,将权限相同的Role组成一个Group进行集中授权。实际业务中,Group划分多以行政组织结构或业务功能划分。
两个子系统的结合:
Role和User是多对多的关系,Role和Group也是多对多的关系。
参考文章:
anwenhao 《权限的设计分析》
分享到:
相关推荐
2、(3)安全与保密要求:用户都必须通过身份验证才能进入系统,并且用户的权限也需要根据用户的类型进行限定。 网上书店系统的主要开发目标如下: (1)实现管理系统信息关系的系统化、规范化和自动化; (2)减少...
验证用户的身份和使用权限、防止用户越权操 作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止 非法进入计算机控制室和各种偷窃、破坏活动的发生。 抑制和防止电磁泄漏(即TEMPEST技术...
8)登录系统功能:对教师和学生进行身份验证,防止非法教师和学生进入该系统。 9)具有数据备份和数据恢复功能。 3、数据分析 3.1 数据流图 通过需求分析,得出教务辅助管理系统教室使用时的数据流图如图1所示 图1 ...
会员中心包括会员注册、会员身份验证、会员资料修改、订单查看、订单修改、以往购物记录等等功能。 16、邮件功能 支持邮件设置,自动发送邮件,邮件群发等 17、图形并茂的统计工具 网钛商城系统内置了...
会员中心包括会员注册、会员身份验证、会员资料修改、订单查看、订单修改、以往购物记录等等功能。 8、购物车功能 灵活好用的购物车,实时了解当前所购买商品总价,实时对购物车商品进行增删,实时计算商品总价。 ...
系统功能简述:1、便捷的商品检索功能 客户可以非常便捷的查询与检索所需要的产品,系统提供多种商品检索方式。 2、公告查看功能 商店可以发布不同的公告类信息供客户查看,了解商店动态信息、了解最新产品信息。...
惯用身份验证办法有顾客名和口令验证、_数字证书_、Security ID验证和_顾客生理特性_等。 4.Windows NT四种域模型为单域模型、_主域模型_、多主域模型和_完全信任模型_模型。 5.Windows NT安全管理重要涉及_账号...
" "(4)能识别用户,分配授权和进行访问控制,包括身份识别和验证; " "(5)顺利执行数据库访问,保证网络通信功能。 " 按病毒的破坏能力分类,并写出相应的理解。 "按病毒的破坏能力分类 " "(1)无害性 " "具有...
RF是射频的意思,RF-ID就是射频标签,属于一种非接触式的身份识别技术。目前已经等到了很广泛的应用,我们平时用的公交卡,单位里的非接触门禁卡都是属于RFID系统。所谓RFID-SIM就是将普通SIM卡和RFID芯片做集成,...
OpenID是一个开放式标准,它主要描述了在用户在分布式系统的认证方式以及提供了一套额外的服务系统允许用户方便使用特定的数字身份。 OAuth协议最初的出现是为了解决不同网站和其他互联网服务商访问受保护的资源这个...
RF是射频的意思,RF-ID就是射频标签,属于一种非接触式的身份识别技术。目前已经等到了很广泛的应用,我们平时用的公交卡,单位里的非接触门禁卡都是属于RFID系统。所谓RFID-SIM就是将普通SIM卡和RFID芯片做集成,...
对信息源发方进行身份验证 B. 进行数据加密 22、 计算机病毒的结构一般由引导部分、传染部分、表现部分三部分组成。 23、在网络环境中,计算机病毒具有如下四大特点传染方式多、传播速度快、清除难度 大、破坏性强...
身份验证与授权 无效或过期token处理 权限泄漏风险 解决方案:JWT令牌、OAuth2协议、RBAC权限模型 四、代码质量问题与维护性 代码耦合度过高 模块间依赖复杂 代码难以复用与测试 解决方案:模块化设计、面向服务...
第1章 系统概述与安装 1 1.1 Linux的兴起与发展 2 1.2 充分利用网上资源 3 1.2.1 Ubuntu官方网站 3 1.2.2 GNU网站 4 1.2.3 Linux文档项目网站 4 1.2.4 网上求助 5 1.3 随时查询随机文档 6 1.3.1 使用“--help”选项...
随着现代科学技术的发展,人类生活已和网络息息相关。现代企业的发展更离不开网络,企业园区...同时采用了ACL、身份验证等技术对网络的安全性进行保障,并采用了各种网络协议防止网络产生环路,保证数据的安全可靠的传输
若服务器会将表单中输入的内容直接用于验证身份或者数据获取的查询,攻击者就会尝试输入某些特殊的SQL字符串篡改查询,改变其原来的功能,欺骗系统授予访问权限或返回攻击者想要的数据。 系统环境不同,攻击者可能...
第1章 系统概述与安装 1 1.1 Linux的兴起与发展 2 1.2 充分利用网上资源 3 1.2.1 Ubuntu官方网站 3 1.2.2 GNU网站 4 1.2.3 Linux文档项目网站 4 1.2.4 网上求助 5 1.3 随时查询随机文档 6 1.3.1 使用“--help”选项...
会员中心包括会员注册、会员身份验证、会员资料修改、订单查看、订单修改、以往购物记录等等功能。 8、购物车功能 灵活好用的购物车,实时了解当前所购买商品总价,实时对购物车商品进行增删,实时计算商品总价。 9...
会员中心包括会员注册、会员身份验证、会员资料修改、订单查看、订单修改、以往购物记录等等功能。 8、购物车功能 灵活好用的购物车,实时了解当前所购买商品总价,实时对购物车商品进行增删,实时计算商品总价。 9...
授权是验证__用户______在系统中的权限,识别 则是判断通信对象是哪种身份。 选择题 (1) 以下不属于对称密码算法的是( D )。 A.IDEA B.RC C.DES D.RSA (2) 以下不属于非对称密码算法特点的是( D )。 A.计算量大...