摘 要

在互联网技术全面普及的今天，越来越多的人们习惯把互联网运用到工作和生活中去，也越来越多的企业更倾向于把业务放到电脑上进行管理。如此一来，便出现了各种各样的不同功能的系统用于不同的场景。然而，它们都有一个相同点，就是必须拥有完善的权限管理子系统。

本文正是在这样的背景下，利用现如今较成熟的设计框架以及最经典的RBAC模型对基于JavaEE的通用权限管理系统进行了较为全面的分析与设计以及实现，同时还将此系统运用到了一个实际的差旅工作流程当中。本次设计采用了SpringMVC与Hibernate整合框架作为整个工程的主要架构，并用SqlServer作为本系统的数据库管理系统。为了体现本次设计的权限管理系统的管理能力，本文还给出了一个在此系统基础上实现的差旅管理系统的应用情况。

最终通过对系统的实际测试可以知道，本系统运行起来比较稳定，对系统权限方面的控制也是比较良好的，通过对本权限管理系统的业务方面的扩展，发现本系统是具有通用性的，可以用作如今大部分管理系统的权限管理模块。

关键词：JavaEE；权限；RBAC；SpringMVC；Hibernate

Abstract

Nowadays, Internet technology has been popularized in all directions. more and more people are used to useing Internet to work and daily life, and more and more companies are tend to put business on the computer to manage. So, there are a variety of systems which with different functions are used in different scenarios. However, they all have one thing in common, that is, must have a perfect set of rights management subsystem.

It is against this background, this paper has used a relatively mature design framework as well as the most classic RBAC model to carry on the comprehensive analysis and design and implementation for universal rights management system based on JavaEE, this system will also be applied to an actual travel workflow. The design adopted for SpringMVC and Hibernate integration framework as the main architecture of the whole project, and used SqlServer as the system of database management system. In order to reflect the design management capability of rights management system, this paper also gives an application of the system realization of travel management on the basis of this system.

Finally through the actual test of the system, we can know that the system runs relatively stable, access to the system of control is relatively good, through the expansion of the business to our rights management system, we found that this system is universal, can be used as most of rights management module of the management system.

Keyword: JavaEE；permission；RBAC；SpringMVC；Hibernate

目 录

摘 要 I

Abstract II

第1章 绪论 1

1.1设计目的及意义 1

1.2国内外研究现状 1

1.3论文内容安排 2

第2章 系统需求分析与总体设计 4

2.1系统需求分析 4

2.2系统总体设计 5

2.2.1系统总体构建框架 5

2.2.2相关的访问控制机制 9

第3章 系统开发与实现 11

3.1系统开发工具 11

3.2系统数据库设计 11

3.3主要模块开发 12

3.3.1拦截器模块开发 12

3.3.2资源管理模块开发 12

3.3.3角色管理模块开发 14

3.3.4用户管理模块开发 16

3.3.5部门管理模块开发 17

3.4业务扩展 18

3.4.1业务流程介绍 18

3.4.2业务扩展阶段数据库开发 18

3.4.3主要接口开发 19

3.5系统测试 20

第4章 总结与展望 26

4.1全文总结 26

4.2展望 26

参考文献 27

致 谢 28

第1章 绪论

1.1设计目的及意义

“权限”是每个应用管理系统的设计者都应该仔细考虑的模块，是多用户多角色系统的基础^[1]。在每一个实际的系统中，都必定会有用户，每个用户可能都有自己在这个系统进行的操作以及可以访问的数据资源，而权限就是用来将用户和操作以及资源对应起来，使得特定的用户访问特定的资源、进行特定的操作，如果控制不当，则可能会造成系统数据出现混乱、分工不明等情况，甚至严重到一些重要的机密文件还可能会被不法分子所窃取，造成无法挽回的损失，从而影响系统的正常工作^[2]。另外，在各个信息系统的设计过程中，系统管理部分一直都是开发者必须仔细考虑的，但大部分情况下，各个系统的权限管理部分需求基本都大相庭径，而一次又一次的开发新的系统，这部分的工作就是在一次又一次的重复。所以，如果可以设计出一个访问控制性能较好的权限管理系统就可以简化这部分重复的工作量，其他的业务流程可以直接在此基础上进行开发。因此，一个良好的权限管理系统是每个信息系统必不可少的。

本次设计的目的就是迎合这样的环境需求，利用现在主流的设计框架，设计并实现带有通用性的权限管理系统，可以实现对系统的用户、角色、权限资源以及部门进行统一的管理。并且在本次设计后期还会给出一个在设计的权限管理系统的基础上扩展差旅管理业务流程的实际例子的效果。

1.2国内外研究现状

在权限管理方面，其实很早就有学者对其进行了研究，并已经提出了一些权限管理模型。现在看来比较典型的模型有三种：

1. 自主访问控制(Discretionary Access Control,DAC)，以用户为主体，资源权限为客体来说，这种模型是由拥有资源权限的用户来管理自己拥有的这部分资源权限，其可以决定是否将自己管理的资源权限或者其中的部分授权给其他的用户；
2. 强制访问控制(Mandatory Access Control,MAC)，在这个模型中，用户和资源权限都拥有各自的安全级别，系统会比较两者的级别来判断是否允许其访问相应资源，以此来避免系统信息安全受到威胁，杜绝非法侵入；
3. 基于角色的访问控制(Role-Based Acees Control,RBAC)，是20世纪70年代被提出、20世纪90年代研究出来的一种新的模型。在主体和客体之间引入了用户和资源权限的中间量——角色^[3]。
   其中MAC和DAC模型是传统的权限控制模型，是通过用户（主体）和权限（客体）直接关联起来，以用户为基本对象来授予权限，然而在如今的大部分信息管理系统中，用户数可能是成千上万的，用这样的方式实现起来会比较麻烦，并且很容易出现错误，造成系统不稳定。而RBAC是现如今被采用最为广泛的模型，在一个RBAC模型中，定义了许多角色，所谓角色就是指能够执行相同操作的所有用户的集合^[4]。RBAC通过角色将用户和功能联系起来，用户和角色、角色和功能都是多对多的关系，通过角色将具有相同权限的用户分组，然后让每组去关联系统资源，这样会使系统更加稳定，并且后期维护起来更加简便。
   在20世纪90年代期间，很多的专家学者对RBAC进行了深入的研究，同时提出了很多类型的RBAC模型，其中最受大众所认可、影响最深远的就是RBAC96模型，它是在90年代中期由美国George Mason大学的学者提出的，这个模型族中包含了核心RBAC(RBAC0)、层次RBAC(RBAC1)、约束RBAC(RBAC2)和完整RBAC(RBAC3)模型^[5]。
   国内也有学院和科研机构在对这方面有所研究，在RBAC96的基础上提出了一些扩展型的模型。比如新型RBAC（NRBAC）模型、基于业务工作流和角色的访问控制模型（WRBAC）等等^[6]。
   本论文准备采用经典的基于角色的访问控制模型（RBAC）和现有的框架及技术设计一个权限管理系统，并在系统中加入一个出差管理流程用以更直观地展现系统的权限控制技术，实现对系统中的用户、角色、以及关联它们的权限可以得到很好地管理，系统中的用户只能访问或操作已被授权给自己的内容，从而使系统中业务流程可以正常地走下去。

1.3论文内容安排

本论文主要内容分为权限管理系统的设计理论原理、实际设计与实现过程以及在设计好的权限管理基础上扩展一个差旅管理流程以过程和效果。其中，权限管理系统的设计理论原理部分介绍了本次设计所采用的框架理论以及所采用的访问控制模型还用访问控制器的原理；在设计的开发与实现部分，介绍了本次设计过程当中的主要方法以及开发的细节等，包括数据库的设计方案，工程的目录结构设计，以及一些主要的接口开发等等；在后面的扩展业务部分，主要阐述了如何在现有的权限管理系统基础上加入业务流程的过程，以及扩展过后系统所呈现出的效果；最后则是对所完成的系统进行了全面地测试。