技術(shù)領(lǐng)域

本發(fā)明涉及軟件開(kāi)發(fā)領(lǐng)域，更具體地說(shuō)，涉及一種基于.NET的應(yīng)用中實(shí)現(xiàn)RBAC訪問(wèn)權(quán)限控制方法。

背景技術(shù)

隨著信息化的不斷發(fā)展，基于.NET的應(yīng)用的開(kāi)發(fā)和使用已經(jīng)變得越來(lái)越普遍。

目前，基于.NET的應(yīng)用開(kāi)發(fā)中，其所采用的訪問(wèn)控制策略一般包括有自主型訪問(wèn)控制方法、強(qiáng)制型訪問(wèn)控制方法和角色訪問(wèn)控制(RBAC，Role-basedAccess)方式。其中，自主型訪問(wèn)控制方法太弱，強(qiáng)制型訪問(wèn)控制方法太強(qiáng)，而且，這兩種訪問(wèn)控制方式工作量大，不便于管理。

RBAC方式的基本思想是將訪問(wèn)許可權(quán)分配給一定的角色，用戶通過(guò)賦予不同的角色獲得角色所擁有的訪問(wèn)許可權(quán)。這是因?yàn)樵诤芏鄬?shí)際應(yīng)用中，用戶并不是被訪問(wèn)信息資源的所有者(這些信息屬于企業(yè)或公司)，這樣的話，訪問(wèn)控制應(yīng)該基于員工的職務(wù)，而不是基于員工在哪個(gè)組或基于被訪問(wèn)信息資源的所有者，即訪問(wèn)控制是由各個(gè)用戶在部門中所擔(dān)任的角色來(lái)確定的，例如，一個(gè)學(xué)校可以有教工、老師、學(xué)生和其他管理人員等角色。

RBAC從控制主體的角度出發(fā)，根據(jù)管理中相對(duì)穩(wěn)定的職權(quán)和責(zé)任來(lái)劃分角色，將訪問(wèn)權(quán)限與角色相聯(lián)系，這點(diǎn)與傳統(tǒng)的MAC和DAC將權(quán)限直接授予用戶的方式不同；通過(guò)給用戶分配合適的角色，讓用戶與訪問(wèn)權(quán)限相聯(lián)系。角色成為訪問(wèn)控制中訪問(wèn)主體和受控對(duì)象之間的一座橋梁。

角色訪問(wèn)控制方式不但可以減小授權(quán)管理的復(fù)雜性，降低管理開(kāi)銷；而且可以靈活地支持企業(yè)的安全策略，并可以針對(duì)企業(yè)的變化具有很大的伸縮性，是目前解決大型企業(yè)的統(tǒng)一資源訪問(wèn)控制的有效方法。

由于用戶和企業(yè)對(duì)安全性的重視程度越來(lái)越高，如何對(duì)部署在網(wǎng)絡(luò)上的基于.NET的應(yīng)用實(shí)現(xiàn)RBAC訪問(wèn)權(quán)限控制，逐漸成為開(kāi)發(fā)者關(guān)心的問(wèn)題。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明實(shí)施例提供了一種基于.NET的應(yīng)用中實(shí)現(xiàn)RBAC訪問(wèn)權(quán)限控制的方法，從而實(shí)現(xiàn)訪問(wèn)權(quán)限的控制。

為了實(shí)現(xiàn)上述目的，本發(fā)明實(shí)施例提供了如下技術(shù)方案：

一種基于.NET的應(yīng)用中實(shí)現(xiàn)RBAC訪問(wèn)權(quán)限控制方法，包括步驟：

接收登錄用戶的包括用戶名及登錄密碼的用戶登錄信息；

調(diào)用權(quán)限管理系統(tǒng)中的用戶鑒別服務(wù)，驗(yàn)證登錄用戶；

為驗(yàn)證通過(guò)的登錄用戶調(diào)用權(quán)限計(jì)算服務(wù)，根據(jù)登錄用戶的登錄信息得出該登錄用戶的權(quán)限關(guān)系表；

將用戶登錄信息存儲(chǔ)至該登錄用戶的全局Session中；

將權(quán)限關(guān)系表存儲(chǔ)至緩存中；

使用菜單標(biāo)簽顯示所述權(quán)限關(guān)系表所允許的功能菜單。

優(yōu)選的，在本發(fā)明實(shí)施例中，所述權(quán)限關(guān)系表的得出具體為：根據(jù)用戶、用戶組、角色、操作、訪問(wèn)方式和資源對(duì)象之間的關(guān)聯(lián)關(guān)系，以及權(quán)限的正負(fù)向授予計(jì)算出的用戶的最小權(quán)限。

優(yōu)選的，在本發(fā)明實(shí)施例中，使用SecuirtyManager.GetPower()模塊得出所述權(quán)限關(guān)系表。

優(yōu)選的，在本發(fā)明實(shí)施例中，所述權(quán)限關(guān)系表為二元組。

優(yōu)選的，在本發(fā)明實(shí)施例中，所述權(quán)限關(guān)系表存儲(chǔ)為以Hash-table的方式

在本發(fā)明實(shí)施例中，為通過(guò)用戶驗(yàn)證的登錄用戶調(diào)用權(quán)限計(jì)算服務(wù)，并根據(jù)登錄用戶的登錄信息得出該登錄用戶的權(quán)限關(guān)系表。將用戶登錄信息存儲(chǔ)至該登錄用戶的全局Session中；將權(quán)限關(guān)系表存儲(chǔ)至緩存中；使用菜單標(biāo)簽顯示所述權(quán)限關(guān)系表所允許的功能菜單，從而實(shí)現(xiàn)了訪問(wèn)權(quán)限控制。

附圖說(shuō)明

為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹，顯而易見(jiàn)地，下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例，對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為本發(fā)明實(shí)施例中所述方法的步驟流程圖。

具體實(shí)施方式

下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例。基于本發(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。

為了能夠更好的理解本發(fā)明實(shí)施例，下面先將角色訪問(wèn)控制方式的基本概念做一下介紹。