网站原创摘 要:RBAC模型(Role-basedAccessModel)就是基于角色的访问控制模型,它的基本思想是将资源分配给相关的角色,用户通过所属的角色获得所拥有的资源,也就是访问的许可.高职院校考试安排系统就采用了RBAC模型来完成组,角色,用户,资源相互关联的情况.
关 键 词 :RBAC;考试安排;访问控制
中图分类号:TP39
在高等职业技术院校,教学管理模式由学年制逐渐变为学分制,如何更合理的对学生考试进行安排,学生、教师在考试过程中充当什么角色,能进行什么操作,这些都是要解决的问题.也就是权限问题在系统中怎么设计.
1.权限
权限可以简单的描述为WWH问题,就是判断“Who对Which(What)进行How操作”.用户有什么权限,就是可以进行哪些“资源+操作”的许可.在权限管理中存在两种权限管理,一种是粗粒度的功能权限管理,另一种是细粒度的功能权限管理.所谓的粗粒度的功能权限管理,就是表示类别一级的,只考虑对象的类别,不考虑对象的特定实例.比如,考试安排中,考试科目的创建、删除,对所有的用户都一样,并不区分操作的具体实例.而细粒度的功能权限管理,表示的就是数据级,就是考虑到具体的对象的属性.比如,学生的预约考试中,预约、撤销预约,就要区分预约是由当前学生创建.显然在考试安排中,我们将选用细粒度的功能权限管理.
| 有关论文范文主题研究: | 关于权限的论文范本 | 大学生适用: | 高校毕业论文、学术论文 |
|---|---|---|---|
| 相关参考文献下载数量: | 91 | 写作解决问题: | 学术论文怎么写 |
| 毕业论文开题报告: | 标准论文格式、论文目录 | 职称论文适用: | 杂志投稿、职称评初级 |
| 所属大学生专业类别: | 学术论文怎么写 | 论文题目推荐度: | 最新题目 |
2.RBAC
在具体的权限设计时,有三种访问策略,即自主控制策略、强制控制策略和基于角色控制策略.其中自主控制策略使管理员难以确定哪些用户对哪些资源具有访问权限,不利于实现统一全局访问控制,使其在资源共享方面难以控制;而强制控制策略使管理员不能指定出适合各个子系统的统一的访问控制模式,在控制粒度上也不能满足最小权限,使用的范围比较小.因此基于角色控制策略(RBAC)是我们的首选.
RBAC模型下的权限设计,管理员对系统操作的各种权限不是直接授予具体的用户,而是在用户组(集合)与资源(权限)之间建立一个角色集合.每一种角色操作相应的资源(权限).一旦用户被分配了适当的角色后,该用户就拥有此角色的所有操作权限.
这样就方便管理员对权限的管理,不用为每一个用户分配,只需为用户分配相应的角色即可.当更改权限的时候,只更改角色的权限,就达到更改用户的权限的目的.简化的用户的权限管理,减少了系统的开销,也提高了工作效率.
3.考试安排中主要角色设置
考试安排中主要涉及到考务工作人员对学生在哪一个时间段在哪些教师的监考下进行哪些科目的考试的一个总体安排.其中主要的角色就大致分为三个,考务管理员、学生、教师.
3.1 考务管理员
考务管理员,就是系统的最高权限拥有者,是整个考试管理过程的管理者,主要负责考试的安排,用户的管理,权限的分配,预约考试等.他可以操作系统中所有的资源,考务管理员的用例图如图3.1所示.
3.2 学生用户
整个系统中使用时间最多的就是学生用户,主要在系统中查询自己的考试科目及考试安排、预约考试等.他们可操作的资源就比较少,学生的用例图如图3.2所示.
3.3 教师用户
教师在考务工作中主要负责考试的监考,课程考试的集体预约,以及成绩查询.教师具体的用例图如图3.3所示.
4.RBAC的具体实现
考试安排系统的技术实现方式为JaEE的S2SH(Struts2+Spring3+Hibernate)框架+MySQL数据库.在设计权限时,采用自定义一个标签来完成基于角色控制策略的细粒度的功能权限管理,再结合Springsecurity框架完成整个安全访问策略.
5.结束语
RBAC模型在考试安排中的应用,保证了考试安排中数据的完整性,功能权限的按用户组,按角色进行分配.简化了很多系统的重复操作,提高了工作效率.