BBCA統(tǒng)一權(quán)限管理系統(tǒng)設計方案

權(quán)限管理系統(tǒng)方案 1 一權(quán)限管理系統(tǒng)設計方案 項目名稱： 承建單位： 管理單位： 意見簽署頁 需求確認欄 用戶單位負責人 日期： 用戶單位聯(lián)絡人 日期： 承建單位項目負責人 日期： 權(quán)限管理系統(tǒng)方案 - 1 - 述 權(quán)限管理是應用系統(tǒng)中不可缺少的一部分，通常的做法是每開發(fā)一個系統(tǒng)都要將這部分功能作為一個模塊來開發(fā)，一般要開發(fā)過程包含以下幾個步驟： 1. 在數(shù)據(jù)庫中建立用戶和權(quán)限相關的表結(jié)構(gòu) 2. 開發(fā)用 戶、角色、權(quán)限管理等的功能模塊 3. 為系統(tǒng)的每個功能加入獲取和判斷權(quán)限的方法 其實在不同的應用系統(tǒng)中，這些功能基本上都是一樣的，每個系統(tǒng)都要加入這些大同小異的功能無疑會帶來相當多的重復性工作，浪費我們不少寶貴時間。雖然將這些功能模塊化能減輕一些工作，但由于每個系統(tǒng)采用的開發(fā)環(huán)境不同 (如有些系統(tǒng)采用 些用 術 )，或者雖然采用的開發(fā)技術相同，但采用的框架也可能存在差異 (如在 術下有的采用 的采用 者直接調(diào)用 )，造成將這些權(quán)限模塊移植到不同的應 用系統(tǒng)時還是需要對代碼進行相當繁瑣的修改。 標 為了提高功能的可復用性，結(jié)合公司以往的成功項目經(jīng)驗， 通過統(tǒng)一 的系統(tǒng) 規(guī)劃和系統(tǒng) 設計，開發(fā)一套 通用的權(quán)限管理系統(tǒng)，將用戶管理、權(quán)限管理及單點登錄功能都集成到該系統(tǒng)中 。 該系統(tǒng)主要解決后期新開發(fā)的應用系統(tǒng)無需重新開發(fā)權(quán)限管理模塊的工作，不管新開發(fā)的應用系統(tǒng)采用的是什么開發(fā)環(huán)境，都可以通過 法來調(diào)用權(quán)限管理系統(tǒng)提供的權(quán)限認證服務，而且還 可以實現(xiàn)用戶一次登錄、網(wǎng)內(nèi)通用，避免每進入一個系統(tǒng)都要重復登錄 的情況。此外，可以對區(qū)域內(nèi)各信息應用系統(tǒng)的權(quán)限分配和 權(quán)限變更進行有效的統(tǒng)一化管理，實現(xiàn)多層次統(tǒng)一授權(quán)，審計各種權(quán)限的使用情況，防止信息共享后的權(quán)限濫用，規(guī)范今后的應用系統(tǒng)的建設。 本文提供一種集成功能權(quán)限和數(shù)據(jù)權(quán)限的解決方法，以滿足多層次組織中權(quán)限管理方面的集中控制。本方法 主要 是 基于 色的訪問控制方法）的進一步擴展和延伸，即在功能權(quán)限的基礎上增加數(shù)據(jù)權(quán)限的管理，實現(xiàn)數(shù)據(jù)權(quán)限和功能權(quán)限的集中處理。 權(quán)限管理系統(tǒng)方案 - 2 - 語 功能權(quán)限 系統(tǒng)的所有權(quán)限信息。權(quán)限具有上下級關系，是一個樹狀的結(jié)構(gòu)。如下圖： 系 統(tǒng) 管 理用 戶 管 理查 看 用 戶新 增 用 戶修 改 用 戶 刪 除 用 戶圖表 1:功能權(quán)限的樹狀關系 對于上面的每個權(quán)限，又存在兩種情況，一個是只可訪問，另一種是可授權(quán)，例如對于“查看用戶”這個權(quán)限，如果用戶只被授予“可訪問”，那么他就不能將他所具有的這個權(quán)限分配給其他人。 數(shù)據(jù)權(quán)限 權(quán)限所能管理的資源 ， 比如管理哪個部門。 用戶 應用系統(tǒng)的具體操作者，用戶可以自己擁有權(quán)限信息，可以歸屬于 0 n 個角色，可屬于 0 n 個組。他的權(quán)限集是自身具有的權(quán)限、所屬的各角色具有的權(quán)限、所屬的各組具有的權(quán)限的合集。它與權(quán)限、角色、組之間的關系都是 n 對 n 的關系 。 角色 為了對許多擁有相似權(quán)限的用戶進行分類管理，定義了角色的概念，例如系統(tǒng)管理員、管理員、用戶、訪客等角色。 權(quán)限管理系統(tǒng)方案 - 3 - 考資料 序號 文檔名稱 作者 發(fā)布日期 1 2 3 4 權(quán)限管理系統(tǒng)方案 - 4 - 第 2章 總體設計 行環(huán)境 操作系統(tǒng)： 列操作系統(tǒng)和 列操作系統(tǒng)。 網(wǎng)絡結(jié)構(gòu)：通用權(quán)限管理系統(tǒng)采用 B/S 架構(gòu)實現(xiàn)，可以在桌面應用和 用系統(tǒng)中通過 行調(diào)用。 計思路 權(quán)限管理系統(tǒng)的設計結(jié)合以往公司的成功項目經(jīng)驗與當前技術快速發(fā)展狀況，以服務為中心，根據(jù)業(yè)務需 求發(fā)現(xiàn)服務、描述服務并設計服務的實現(xiàn)。主要從以下幾方面著手： 1. 獨立性： 物理上獨立：與各應用系統(tǒng)之間在物理上（部署時）相對獨立（出于網(wǎng)絡性能考慮，可以部署在相同網(wǎng)絡中或部署到多個節(jié)點上以達到集群）。 數(shù)據(jù)獨立：用戶和權(quán)限數(shù)據(jù)存儲在權(quán)限管理系統(tǒng)的數(shù)據(jù)庫中，不同于應用系統(tǒng)的業(yè)務數(shù)據(jù)的存儲。 技術獨立：以 務方式提供接口，保證技術實現(xiàn)上與應用系統(tǒng)技術獨立（ 序都可通用）。 權(quán)限管理系統(tǒng)方案 - 5 - 人 事 管 理 系 統(tǒng)信 息 門 戶 系 統(tǒng)后 勤 系 統(tǒng)權(quán) 限 管 理 系 統(tǒng)科 研 管 理 系 統(tǒng)單 點 登 陸協(xié) 同 辦 公 系 統(tǒng)財 務 管 理 系 統(tǒng)一 卡 通 系 統(tǒng)圖表 限管理系統(tǒng)與各應用系統(tǒng)的關系圖 2. 統(tǒng)一管理：各應用系統(tǒng)的用戶和權(quán)限由權(quán)限管理系統(tǒng)統(tǒng)一管理，物理上權(quán)限管理系統(tǒng)與各應用系統(tǒng)相對獨立，但邏輯上集中統(tǒng)一管理。 3. 安全性：基于 密機制，使數(shù)據(jù)在傳輸與存儲上更安全與完整。 4. 松耦合：以服務的方式與應用系統(tǒng)整合，通過 求獲取權(quán)限列表。 5. 通用性：適合一般應用系統(tǒng)管理授權(quán)的要求，整合了其它項目的以往成功經(jīng)驗。 6. 基于角色的策略：將用戶與訪問權(quán)限分離， 基于角色的策略 更能 實現(xiàn) 以 職責 為中心的管理 原則。 同時 既可 滿足 集中管理，也可 滿足 分散管理的 目標權(quán)限管理 。 集中管理 ：由 系統(tǒng)管理員對所有崗位的 進行全面和具體的職責 分工 ，用戶 權(quán)限 按職責角色 作出標準細致的劃分 ，以達到集中管理 。 分散管理 ： 系統(tǒng)管理員 為下級管理員設置部分權(quán)限，并交由下級管理員在其部分權(quán)限范圍內(nèi)進行細化各崗位權(quán)限，避免 權(quán)限的漏洞 ，達到分散、分層管理 。 7. 以應用系統(tǒng)為基線：權(quán)限管理系統(tǒng)對各應用系統(tǒng)的權(quán)限分開管理，以應用系統(tǒng)為基線，在應用系統(tǒng)上設置用戶和權(quán)限。 8. 參數(shù)配置：通過在各應用系統(tǒng)上配置某些參數(shù)，使靈活 術能快速適應應用系統(tǒng)的實際業(yè)務。如可以通過參數(shù)設置是否分配用戶組功能，控制某一應 用程序的角色是否分配用戶組上。 權(quán)限管理系統(tǒng)方案 - 6 - 用 戶 組參 數(shù) 控 制用 戶 屬 于用 戶 組用 戶 對 應 角 色用 戶 組對 應 角 色參 數(shù) 控 制菜 單 權(quán) 限功 能 權(quán) 限數(shù) 據(jù) 權(quán) 限菜 單 權(quán) 限功 能 權(quán) 限數(shù) 據(jù) 權(quán) 限用 戶用 戶用 戶管 理 員 角 色下 級 角 色用 戶 對 應 角 色人 事 管 理 系 統(tǒng)單 點 登 陸協(xié) 同 辦 公 系 統(tǒng)權(quán)限管理系統(tǒng)信 息 門 戶 系 統(tǒng)圖表 限管理系統(tǒng)實現(xiàn)框架 證服務模式 由終端用戶向各應用系統(tǒng)提交訪問申請，各應用系統(tǒng)接收到終端用戶 請求后，將終端用戶的請求重定向到權(quán)限管理系統(tǒng)認證，從而建立起用戶的權(quán)限認證的連接，并由權(quán)限管理系統(tǒng)將認證結(jié)果返回給應用系統(tǒng)。用戶登錄到各應用系統(tǒng)后，根據(jù)用戶的操作相應的向權(quán)限管理系統(tǒng)發(fā)出請求權(quán)限認證的服務，由權(quán)限管理系統(tǒng)的 并還回權(quán)限認證結(jié)果給應用系統(tǒng)。如下圖： 權(quán)限管理系統(tǒng)方案 - 7 - 終 端W e 6 . 返 回 權(quán) 限 列 表應 用 系 統(tǒng)5 . 請 求 功 能 權(quán) 限權(quán) 限 管 理 系 統(tǒng)1 . 訪 問 應 用 系 統(tǒng)2 . 重 定 向3 . 請 求 認 證4 . 用 戶 權(quán) 限 認 證4 . 返 回 認 證 結(jié) 果圖表 證服務模式 第 3章 功能概述 權(quán)限管理系統(tǒng)主要包含三層，分別為外部訪問模塊層、內(nèi)部控制模塊層、數(shù)據(jù)儲存層。外部訪問模塊層主要為外部應用程序提供 口，提供應用程序的訪問與用戶認證。內(nèi)部控制模塊層主要是處理權(quán)限管理系統(tǒng)的內(nèi)部業(yè)務邏輯，并通過數(shù)據(jù)儲存層持久化數(shù)據(jù)。 權(quán)限管理系統(tǒng)方案 - 8 - 圖表 限管理功能結(jié)構(gòu) 統(tǒng)用例 根據(jù)業(yè)務的分析可以得出以下用例圖： 權(quán)限管理系統(tǒng)方案 - 9 - 權(quán)限分配應用系統(tǒng)菜單設置角色管理用戶導入應用系統(tǒng)配置管理員獲取菜單項單點登錄獲取權(quán)限列表身份驗證應用系統(tǒng)用戶同步接口圖表 限管理系統(tǒng)用例圖 理流程 權(quán)限管理系統(tǒng)內(nèi)部處理流程如下： 權(quán)限管理系統(tǒng)方案 - 10 - 管理員 應用系統(tǒng)設置用戶設置 菜單設置 權(quán)限設置角色設置1: 設置應用系統(tǒng)信息2: 錄入該系統(tǒng)菜單資料3: 將菜單與權(quán)限對應4: 導入該系統(tǒng)用戶信息 ( 或手工錄入 )5: 設置用戶的角色6: 設置角色權(quán)限7: 用戶對應權(quán)限圖表 系統(tǒng)設置用戶權(quán)限流程圖 應用程序處理請求流程： 用戶 菜單 模塊權(quán)限系統(tǒng)1: 登錄請求認證2: 返回是否有訪問系統(tǒng)權(quán)限4: 有訪問權(quán)限3: 不可訪問5: 通過 W E B S E R V I C E 讀菜單列表6: 返回該用戶的系統(tǒng)菜單7: 通過 W E B S E R V I C E 讀模塊權(quán)限8: 返回模塊權(quán)限列表圖表 用戶請求流程圖 權(quán)限管理系統(tǒng)方案 - 11 - 用系統(tǒng)設置 權(quán)限管理系統(tǒng)可以管理多個應用系統(tǒng)的用戶權(quán)限，如果某個應用系統(tǒng)需要通過本權(quán)限管理系統(tǒng)來管理用戶和權(quán)限的話，那么首先要通過權(quán)限管理系統(tǒng)的 應用系統(tǒng)設置 功能添加一個應用系統(tǒng)。 添 加 應 用 系 統(tǒng)添 加 應 用 系 統(tǒng)請 填 寫 要 添 加 的 應 用 系 統(tǒng) 信 息系 統(tǒng) 名 稱 ：人 事 管 理 系 統(tǒng)系 統(tǒng) 首 頁 ：人 事 管 理 系 統(tǒng)僅 B / S 系 統(tǒng) 填 寫系 統(tǒng) 描 述 ：保 存 取 消設 置 用 戶 組圖表 加應用系統(tǒng) 戶管理模塊設置 本系統(tǒng)的用戶是從屬于應用系統(tǒng)的，用戶的信息主要是為登錄應用系統(tǒng)而服務。故本系統(tǒng)的用戶信息只存儲和用戶權(quán)限相關的信息，和用戶相關的人員信息（如：性別、出生日期、聯(lián)系電話、地址、電話等）還是保存在各個應用系統(tǒng)中，通過唯一標識來關聯(lián)。 字段名 描述 用戶 業(yè)務意義主鍵 權(quán)限管理系統(tǒng)方案 - 12 - 用戶名 登錄某應用系統(tǒng)的 用戶名 密碼 登錄應用系統(tǒng)的密碼 姓名 該用戶的姓名 唯一標識 如身份證號、學生證號等，根據(jù)此標識關聯(lián)應用系統(tǒng)中的人員信息。 部門 用戶所屬的部門，可用于設置數(shù)據(jù)權(quán)限 能會增加通過郵件地址找回密碼等功能。 所屬應用系統(tǒng) 上一步分配的應用系統(tǒng) 用戶信息可以單個錄入或批量導入，批量導入主要是應用于應用系統(tǒng)初始化數(shù)據(jù)時，將人員的信息批量導入到權(quán)限管理系統(tǒng)中作為用戶信息。導入的界面如下： 窗 體 標 題窗 體 標 題J D B C 設 置驅(qū) 動 程 序 ：o r a c l e . j d b c . d r i v e r . O r a c l e D r i v e L ：j d b c : o r a c l e : t h i n : 1 9 2 . 1 6 8 . 2 1 . 1 8 2 : 1 5 2 1 : o r c 名 ：h r u s e ：* * * * * * *執(zhí) 行 導 入 的 s q l 語 句S e l e c t u s e r N a m e , a s p a s s w o r d , e m p l o y e e N a m e a s f u l l N a m e , a s d e p a r t m e n t , i d c a r d N o , e m a i l , 4 a s s y s t e m I d f r o m e m p l o y e e 導 入 取 消所 屬 應 用 系 統(tǒng) ：人 事 管 理 系 統(tǒng)圖表 應用系統(tǒng)批量導入用 戶信息 備注：導入用戶信息的 句必須包括： 個字段。 權(quán)限管理系統(tǒng)方案 - 13 - 導入完成后可以通過用戶查詢界面看到這些用戶，并可以通過編輯用戶的信息來設置用戶名、密碼等信息，以及給用戶分配角色，當一個用戶屬于多個角色時，其擁有的權(quán)限是這些角色所擁有的權(quán)限的并集。 用 戶 管 理 ( 人 事 管 理 系 統(tǒng) )用 戶 管 理 ( 人 事 管 理 系 統(tǒng) )用 戶 列 表人 事 系 統(tǒng) 用 戶學 校 辦 公 室教 務 處李 明王 剛用 戶 信 息用 戶 名 ：h r u s e ：* * * * * * *唯 一 標 識 ：4 1 2 3 1 1 9 7 0 1 2 0 1 1 9 2 1部 門 ：4 1 2 3 1 1 9 7 0 1 2 0 1 1 9 2 1電 子 郵 件 ：l i m i n g s c n u . e d u . c 管 理 ( 人 事 管 理 系 統(tǒng) )角 色超 級 管 理 員部 門 管 理 員角 色 權(quán) 限人 員 管 理人 員 基 本 信 息 維 護調(diào) 動 管 理組 織 機 構(gòu) 管 理機 構(gòu) 管 理合 并 機 構(gòu)姓 名 ：李 明普 通 用 戶圖表 輯用戶信息 以后應用系統(tǒng)中再增加人員時，可以通過手工方式進入權(quán)限管理系統(tǒng) 中為該用戶分配權(quán)限，也可以通過增加用戶的 動為該用戶在權(quán)限管理系統(tǒng)中分配用戶。對于普通用戶修改密碼，可以在應用系統(tǒng)中請求 供接口解決。 自定義用戶屬性： 用戶屬性一般用于定義數(shù)據(jù)權(quán)限，當系統(tǒng)固定的用戶屬性不能滿足要求時，可以自己定義用戶屬性。 織機構(gòu)管理 限及菜單設置 菜單設置： 主要作用是為了控制各應用系統(tǒng)中的菜單權(quán)限。 權(quán)限管理系統(tǒng)方案 - 14 - 菜 單 設 置 ( 人 事 管 理 系 統(tǒng) )菜 單 設 置 ( 人 事 管 理 系 統(tǒng) )菜 單 列 表人 事 信 息 管 理機 構(gòu) 信 息 管 理編 制 信 息 管 理菜 單 信 息菜 單 名 稱 ：機 構(gòu) 信 息 管 理順 序 ：2 1圖 標 ：鏈 接 地 址 ：s t a f f I n f o / o r g . j s 權(quán) 限 ：菜 單 設 置 ( 人 事 管 理 系 統(tǒng) )上 級 菜 單 ：人 員 基 本 信 息 管 理人 事 調(diào) 配 信 息 管 理工 資 及 福 利 管 理高 層 次 人 才 管 理考 核 管 理權(quán) 限 管 理基 本 代 碼 設 置報 表 管 理保 存 取 消人 事 信 息 管 理機 構(gòu) 信 息 管 理瀏 覽編 輯刪 除新 增 下 級 菜 單圖表 單設置界面 菜單為樹狀結(jié)構(gòu)，當上級菜單 “表示該 菜單是一級菜單，沒有上級。每個菜單項都對應一個功能權(quán)限，當用戶無權(quán)訪問該功能權(quán)限時，該菜單項不可見。 字段名 字段類型 可為空 默認值 描述 0) N 菜單 0) N 上級菜單 0) N 菜單名稱 0) Y 描述 2) N 排序值 0) Y 圖標 55) Y 鏈接文件 55) N 路徑 0) N 權(quán)限 權(quán)限管理系統(tǒng)方案 - 15 - ) Y 0 012 功能權(quán)限設置： 主要作用為了控制用戶訪問應用系統(tǒng)的功能范圍 權(quán) 限 設 置 ( 人 事 管 理 系 統(tǒng) )權(quán) 限 設 置 ( 人 事 管 理 系 統(tǒng) )權(quán) 限 列 表人 事 信 息 管 理機 構(gòu) 信 息 管 理編 制 信 息 管 理權(quán) 限 信 息權(quán) 限 名 稱 ：人 員 基 本 信 息 管 理權(quán) 限 設 置 ( 人 事 管 理 系 統(tǒng) )上 級 權(quán) 限 ：人 員 基 本 信 息 管 理人 事 調(diào) 配 信 息 管 理工 資 及 福 利 管 理高 層 次 人 才 管 理考 核 管 理權(quán) 限 管 理基 本 代 碼 設 置報 表 管 理保 存取 消人 事 信 息 管 理編 輯刪 除新 增 下 級新 增修 改刪 除審 批圖表 限設置界面 權(quán)限也是樹狀結(jié)構(gòu)， 當上級權(quán)限 “表示該權(quán)限沒有上級權(quán)限。 字段名 字段類型 可為空 默認值 描述 0) N 權(quán)限 0) Y 上級權(quán)限編碼 0) N 權(quán)限名稱 55) N 路徑 數(shù)據(jù)權(quán)限設置 數(shù)據(jù)權(quán)限主要包數(shù)據(jù)表內(nèi)容過濾與數(shù)據(jù)表的列過濾。 1. 內(nèi)容過濾可以通過設計過濾條件實現(xiàn)，如下： 權(quán)限管理系統(tǒng)方案 - 16 - 圖表 據(jù)過濾設置界面 2. 行過濾主要是控制顯示的結(jié)果列，屬于業(yè)務范圍可由應用系統(tǒng)自行實現(xiàn)。 色管理設置 角色管理 主要是 管理授權(quán)，允許指定應用程序中的用戶 可以訪問的資源。角色管理允許向角色分配 系統(tǒng)權(quán)限 （如 人員管理員的增加操作 、 修改操作 等），從而將 控制 用戶 的訪問權(quán)限 。 在編輯角色的操作中，用戶可以為該角色選擇相應的權(quán)限，如下圖： 新 增 角 色新 增 角 色角 色 信 息角 色 名 稱部 門 管 理 員角 色 權(quán) 限描 述保 存取 消人 員 管 理人 員 基 本 信 息 維 護調(diào) 動 管 理組 織 機 構(gòu) 管 理機 構(gòu) 管 理合 并 機 構(gòu)各 部 處 的 管 理 員上 級 角 色 名 稱系 統(tǒng) 管 理 員圖表 色設置界面 權(quán)限管理系統(tǒng)方案 - 17 - 用系統(tǒng)調(diào)用方式 份驗證 用戶登錄一個應用系統(tǒng)時，當他提交登錄表單后，應用系統(tǒng)調(diào)用本權(quán)限管理系統(tǒng)的身份驗證服務來判斷用戶名和密碼是否匹配。 參數(shù)列表：系統(tǒng) 屬應用系統(tǒng)），用戶名，密碼 返回結(jié)果：訪問系統(tǒng)標志（ 0 不可訪問； 1 可訪問；）（， 成功登錄的 取用戶權(quán)限列表 如果用戶登錄成功，應用系統(tǒng)再調(diào)用本權(quán)限管理系統(tǒng)提供的獲取權(quán)限列表的服務得到該登錄用戶的權(quán)限列表保存到 ，以便操作各個功能時，可以判斷該用戶是否有相應的操作權(quán)限。 參數(shù)列表：系統(tǒng) 屬應用系統(tǒng)），菜單 塊 用戶名（， 返回結(jié)果：返回用戶權(quán)限列表 獲取菜單列表 進入用戶主界面時，應用系統(tǒng)調(diào)用本權(quán)限管理系統(tǒng)的獲取菜單列表的服務來獲取該用戶有權(quán)查看的權(quán)限列表，然后根據(jù)這個列表生成界面菜單。 參數(shù)列表：系統(tǒng) 屬應用系統(tǒng)） ，用戶名（， 返回結(jié)果：返回系統(tǒng)菜單列表 權(quán)限管理 應用系統(tǒng)集權(quán)了本權(quán)限管理系統(tǒng)后，相應的權(quán)限管理和修改用戶密碼的操作都是直接通過超鏈接的方式跳轉(zhuǎn)到權(quán)限管理系統(tǒng)來進行，因為用戶登錄應用系統(tǒng)時，也會登錄到單點登錄系統(tǒng)，所以訪問權(quán)限管理系統(tǒng)的這些功能時無需再次登錄。 念模型 一個用戶對應多個系統(tǒng) 一個系統(tǒng)可以設置多個菜單功能 權(quán)限管理系統(tǒng)方案 - 18 - 一個菜單功能可以設置一個權(quán)限 權(quán)限之間有上下關系 一個系統(tǒng)可以設置多個角色 一個用戶可以設置多個角色 一個角色可以設置多個權(quán)限 系統(tǒng)對應用戶用戶對應的應用系統(tǒng)系統(tǒng)對應權(quán)限角色對應權(quán)限用戶對應角色角色對應用戶菜單對應權(quán)限權(quán)限對應角色e la t io n sh 1 4R e la t io n sh 1 61 . nR e la t io n sh 1 81R e la t io n sh 2 0用戶菜單列表用戶對應角色菜單對應權(quán)限用戶組用戶組對應用戶圖表 念模型圖 權(quán)限管理系統(tǒng)方案 - 19 - 第 4章 整合 事 管 理 系 統(tǒng)信 息 門 戶 系 統(tǒng)后 勤 系 統(tǒng)協(xié) 同 辦 公 系 統(tǒng)財 務 管 理 系 統(tǒng)一 卡 通 系 統(tǒng)用 戶權(quán) 限 管 理 系 統(tǒng)用 戶用 戶單 點 登 錄 ( S S O )r e q u e s 合 本權(quán)限系統(tǒng)默認整合了我們已有的 點登錄產(chǎn)品， 經(jīng)在多個項目中得到了應用，具有 簡單實效， 快捷 安全的 特點。 統(tǒng)中有一個 務器，若干個成員系統(tǒng)。成員系統(tǒng)的登錄和檢查登錄狀態(tài)的操作都要通過請求 權(quán)限管理系統(tǒng)方案 - 20 - P a o r t 用戶管理 K e y 管理 身份驗證 U R L 轉(zhuǎn)發(fā)和C i e 管理 W e b S e r v i c e 協(xié)同辦公系統(tǒng) 門戶網(wǎng)站 本科生管理系統(tǒng) 研究生管理系統(tǒng) 其它系統(tǒng) 責完成對用戶的認證工作 ， 處理用戶名 / 密碼等憑證 (，提供一種靈活但同一的接口 / 實現(xiàn)分離的方式 ， 憑證 認證方式跟協(xié)議是分離的，認證的實現(xiàn)細節(jié)可以 由用戶 自己定制和擴展 。 應用主要有四個包組成：用戶管理、 理、身份驗證、 理。 成員系統(tǒng)實際上是單點登錄的客戶端， 當有對本地 用的受保護資源的訪問請求，并且需要對請求方進行身份認證， 用不再接受任何的用戶名密碼等類似的 驗證 ，而是重定向到 行認證。 權(quán)限管理系統(tǒng)方案 - 21 - 目前， 持包括 客戶端，幾乎可以這樣說。 另外本系統(tǒng)也可以整合 大產(chǎn)品單點登錄系統(tǒng) (要功能，提供用戶集中管理、 身份 統(tǒng)一認證，并實現(xiàn)用戶的一次性認證登錄，可直接訪問各用系統(tǒng)的系統(tǒng)資源。 用戶通過單點登錄系統(tǒng)（ 求訪問 用系統(tǒng)資源，由單點登錄系統(tǒng)（ 行用戶身份統(tǒng)一認證。驗證合法身份后，單點登錄系統(tǒng)（ 據(jù)用戶的請求直接轉(zhuǎn)向到各 用系統(tǒng)，再由各應用系統(tǒng)根據(jù)用戶相應的操作向權(quán)限管理系統(tǒng)提交權(quán)限認證的服務申請。權(quán)限管理系統(tǒng)依申請由 口作出相應的響應并還回權(quán)限認證結(jié)果給各應用系統(tǒng)，實現(xiàn)對用戶權(quán)限的控制。 第 5章 需要強調(diào)的觀念 因為要考慮通用性，權(quán)限系統(tǒng)能夠?qū)崿F(xiàn)的功能比較有限，在個別方面甚至會帶來額外的一些工作量，你開發(fā)的應用系統(tǒng)要不要集成權(quán)限管