用戶與資源權(quán)限管理設(shè)計說明

1、通用用戶管理和權(quán)限控制系統(tǒng)通用用戶管理和權(quán)限控制系統(tǒng)軟件設(shè)計文檔軟件設(shè)計文檔版本版本 1.01.0 修訂歷史記錄修訂歷史記錄日期日期版本版本說明說明作者作者2003/5/121.0創(chuàng)建JavaOA 項目組目錄目錄1.1.簡介簡介 .5 51.1目的.51.2圍.51.3定義、首字母縮寫詞和縮略語.51.4參考資料.51.5概述.62.2.構(gòu)架表示方式構(gòu)架表示方式.6 63.3.構(gòu)架目標(biāo)和約束構(gòu)架目標(biāo)和約束.6 63.1約束.63.2目標(biāo).64.4.構(gòu)架機(jī)制構(gòu)架機(jī)制.7 74.1分析機(jī)制.74.2分析機(jī)制-設(shè)計機(jī)制-實現(xiàn)機(jī)制映射.75.5.用例視圖用例視圖.7 75.1視圖.75.2用例(USE

2、 CASE).85.3操作員（ACTOR）.96.6.類包圖類包圖.9 96.1概述.96.2在構(gòu)架方面具有重要意義的設(shè)計包 .106.2.1接口（interface） .106.2.2基礎(chǔ)管理（BasicManage）.116.2.2.1組織機(jī)構(gòu)類（department）.126.2.2.2組織機(jī)構(gòu)管理類.126.2.2.3用戶管理類（UserManager） .136.2.2.4用戶類（user） .146.2.2.5角色管理類（RoleManager）.156.2.2.6角色類（role） .166.2.2.7資源管理類（ResourceManager）.176.2.2.8資源類（Res

3、ource）.176.2.2.9權(quán)限管理類（PermissionManager）.186.2.2.10權(quán)限類（permission）.196.2.2.11用戶組管理類 .206.2.2.12用戶組類（group）.206.2.2.13授權(quán)管理類（GrantManager）.216.2.2.14用戶角色類（user_role） .226.2.2.15用戶組成員類（UserGroupMember）.226.2.2.16角色資源權(quán)限類（role_resource_permission） .236.2.3訪問控制（AccessControl）.246.2.3.1會話控制類（SessinControle

4、r） .246.2.4日志記錄（LogRec） .256.2.4.1日志類（log）.256.2.4.2日志管理類（LogManager） .266.2.5底層支持(support).276.2.5.1數(shù)據(jù)庫連接管理類（DatabaseConnectionControler） .276.2.5.2LDAP 系統(tǒng)連接管理類（LdapSystemConnectionControler）.286.2.5.3CA 系統(tǒng)連接管理類（CASystemConnectionControler）.286.2.5.4系統(tǒng)設(shè)置類.296.3設(shè)計與需求對應(yīng)關(guān)系.306.3.1設(shè)計功能類與功能需求對應(yīng)關(guān)系 .306.3

5、.2設(shè)計接口類與接口需求對應(yīng)關(guān)系 .307.7.組件視圖組件視圖.31318.8.部署視圖部署視圖.32328.1視圖.329.9.數(shù)據(jù)視圖數(shù)據(jù)視圖.3 33 310.10.交互視圖交互視圖.343410.1順序視圖.3410.1.1添加一類權(quán)限：add a permission.3410.1.2添加一項資源：add a resource .3510.1.3添加一個角色：add a role.3610.1.4添加一個用戶：add a user.3710.1.5系統(tǒng)管理員登錄：administrator login.3810.1.6將某資源的一項訪問權(quán)限授權(quán)給某角色：grant a resour

6、ces access permission to a role3910.1.7用戶登錄驗證：login authenticate .4010.1.8訪問日志自動記錄：record access log.4110.1.9資源訪問驗證：resource access authenticate.4210.1.10日志歸檔：archive log.4310.1.11日志恢復(fù)：restore log .4410.1.12刪除日志：delete log.4510.1.13添加公共用戶組：add a public group.4610.1.14添加一個用戶自定義組：add a users self_defi

7、ned group .4710.1.15給公共用戶組添加成員：add a member to public group .4811.11.質(zhì)量質(zhì)量.494911.1可重用性.49軟件設(shè)計文檔軟件設(shè)計文檔 1.1. 簡介簡介1.11.1目的目的本文檔將從構(gòu)架和詳細(xì)設(shè)計兩方面對通用用戶管理和權(quán)限控制系統(tǒng)進(jìn)行綜合概述，其中會使用多種不同的構(gòu)架視圖：用例視圖、順序圖、協(xié)作圖、類圖、組件圖等來描述系統(tǒng)的各個方面，以作為下步編碼測試的重要依據(jù)。本文檔的讀者為：公司技術(shù)負(fù)責(zé)人、用戶代表、項目經(jīng)理、設(shè)計員、程序員、測試員、評審組成員。1.21.2圍圍 本文檔將在通用用戶管理和權(quán)限控制系統(tǒng)的設(shè)計和構(gòu)建階段適用，

8、對它的修改將直接影響系統(tǒng)的編碼測試和系統(tǒng)構(gòu)建。 本文檔作為通用用戶管理和權(quán)限控制系統(tǒng)開發(fā)過程中設(shè)計階段的輸出工件，既從系統(tǒng)整體的架構(gòu)設(shè)計的角度做決定，又包括系統(tǒng)的詳細(xì)設(shè)計。1.31.3定義、首字母縮寫詞和縮略語定義、首字母縮寫詞和縮略語1.41.4參考資料參考資料資料名稱作者譯者出版時間書號通用用戶管理和權(quán)限控制系統(tǒng)項目開發(fā)計劃Java OA2項目組無無2003 年 4月通用用戶管理和權(quán)限控制系統(tǒng)需求規(guī)格說明書Java OA2項目組無無2003 年 5月1.51.5概述概述本文檔將從十一個方面對通用用戶管理和權(quán)限控制系統(tǒng)做出設(shè)計規(guī)定：簡介、構(gòu)架表示方式、構(gòu)架目標(biāo)和約束、用例視圖、邏輯視圖、組件

9、視圖、部署視圖、數(shù)據(jù)視圖、交互圖、質(zhì)量。2.2. 構(gòu)架表示方式構(gòu)架表示方式通用用戶管理和權(quán)限控制系統(tǒng)將采用當(dāng)前流行的 J2EE 架構(gòu)體系來設(shè)計構(gòu)建，系統(tǒng)構(gòu)架采用遵照 UML 標(biāo)準(zhǔn)的面向?qū)ο蠼９ぞ?RATIONAL ROSE 來表示，將從用例視圖、邏輯視圖、組件視圖、部署視圖這幾個不同角度來展示系統(tǒng)。用例視圖用例視圖：描述系統(tǒng)的功能（use cases）、外部環(huán)境（actors）、use case 和 actors 之間的關(guān)系（use case diagram）。邏輯視圖邏輯視圖：主要包括交互圖（interaction diagram）、類圖（class diagram）。交互圖又分時序圖（s

10、equence diagram）和協(xié)作圖（collaboration diagram）. 時序圖按時間顯示信息流；協(xié)作圖顯示對象間的關(guān)系和消息；類圖顯示系統(tǒng)的包和類，顯示系統(tǒng)組件及其相互間關(guān)系。在架構(gòu)設(shè)計階段，最有用的是類圖，在本系統(tǒng)架構(gòu)設(shè)計文檔中，我們也只列出系統(tǒng)類圖。組件視圖組件視圖：描述系統(tǒng)的實際結(jié)構(gòu)，展示系統(tǒng)組件如何構(gòu)成代碼庫并顯示組件間的關(guān)系（依賴性關(guān)系）。部署視圖部署視圖：描述各組件在物理上的位置關(guān)系，展示系統(tǒng)運(yùn)行時軟硬件的實際部署情況。3.3. 構(gòu)架目標(biāo)和約束構(gòu)架目標(biāo)和約束根據(jù)通用用戶管理和權(quán)限控制系統(tǒng)需求規(guī)格說明書的規(guī)定，本系統(tǒng)在架構(gòu)方面有一定的目標(biāo)和約束條件。3.13.1約束

11、約束必須基于 JAVA 架構(gòu)體系3.23.2目標(biāo)目標(biāo)本系統(tǒng)構(gòu)架將實現(xiàn)如下目標(biāo)：重用：重用：為了避免重復(fù)勞動，為了降低成本，我們希望能夠在以后的開發(fā)中重用本系統(tǒng)的代碼和設(shè)計。透明：透明：為了提高效率，我們將把實現(xiàn)的細(xì)節(jié)隱藏起來，僅把客戶最終需求或二次開發(fā)需求的接口呈現(xiàn)給客戶或二次開發(fā)者。這樣，具體的實現(xiàn)對客戶和二次開發(fā)者來說就是透明的。延展：延展：由于需求的易變性。我們需要架構(gòu)具有一定的延展性，以適應(yīng)未來可能的變化。但是，延展性和穩(wěn)定性，延展性和簡單性都是矛盾的。因此我們需要權(quán)衡我們的投入/產(chǎn)出比。以設(shè)計出具有適當(dāng)和延展性的架構(gòu)。簡明：簡明：一個復(fù)雜的架構(gòu)不論是測試還是維護(hù)都是困難的。我們希望架

12、構(gòu)能夠在滿足目的的情況下盡可能的簡單明了。高效：高效：作為要嵌入辦公自動化系統(tǒng)中的重要子系統(tǒng)，我們的用戶管理和訪問控制系統(tǒng)的架構(gòu)必須是高效的。安全：安全：安全是架構(gòu)的一個很重要的方面。4.4.構(gòu)架機(jī)制構(gòu)架機(jī)制4.14.1分析機(jī)制分析機(jī)制對在分析中使用到的分析機(jī)制進(jìn)行闡述分析機(jī)制分析機(jī)制描述描述持久性機(jī)制需要保存下來以備下次重新使用的一種機(jī)制錯誤報告機(jī)制需要對程序運(yùn)行時發(fā)生的錯誤需要進(jìn)行某種方式讓用戶知道的機(jī)制安全性機(jī)制需要用一種方法保證非授權(quán)者不能使用或查看到信息的一種機(jī)制4.24.2分析機(jī)制分析機(jī)制- -設(shè)計機(jī)制設(shè)計機(jī)制- -實現(xiàn)機(jī)制映射實現(xiàn)機(jī)制映射分析機(jī)制分析機(jī)制設(shè)計機(jī)制設(shè)計機(jī)制實現(xiàn)機(jī)制實

13、現(xiàn)機(jī)制帶刪除標(biāo)記的文件保存機(jī)制帶刪除標(biāo)記的 Java 序列化機(jī)制持久性機(jī)制數(shù)據(jù)保存機(jī)制數(shù)據(jù)庫機(jī)制錯誤報告機(jī)制窗口彈出錯誤信息機(jī)制Java 的錯誤報告機(jī)制操作日志機(jī)制系統(tǒng)自動記錄所有操作安全性機(jī)制登錄機(jī)制登錄機(jī)制5.5. 用例視圖用例視圖5.15.1視圖視圖系統(tǒng)用例視圖如圖 5.1，要說明的是考慮視圖的篇幅，圖中用例之間的關(guān)系都沒有標(biāo)明類型，它們都應(yīng)該為包含關(guān)系。 # # # d l 5.25.2用例用例(use(use case)case) 根據(jù)上節(jié)視圖，本系統(tǒng)共 12 個關(guān)鍵用例：組織機(jī)構(gòu)管理（department admin）圖 5.1資源管理（resource admin）角色管理（ro

14、le admin）權(quán)限管理（permission admin）授權(quán)管理（grant resources permission to role）用戶管理（user admin）日志管理（log admin）日志查詢（query log）登錄控制（login control）訪問控制（access control）日志記錄（record log）口令修改（passwd change）5.35.3操作員（操作員（actoractor）本系統(tǒng)共兩類操作員：系統(tǒng)管理員和外部應(yīng)用系統(tǒng)。系統(tǒng)管理員利用系統(tǒng)提供的管理界面操作系統(tǒng)管理相關(guān)用例，主要是：組織機(jī)構(gòu)管理、資源管理、角色管理、權(quán)限管理、授權(quán)管理、用戶管

15、理、日志管理、日志查詢。同時，系統(tǒng)管理員的一切行為也需要通過系統(tǒng)的訪問控制，也就是說這些管理用例要使用訪問控制相關(guān)的后臺用例：登錄控制、訪問控制、日志記錄、口令修改。外部應(yīng)用系統(tǒng)通過本系統(tǒng)提供的統(tǒng)一接口調(diào)用系統(tǒng)的訪問控制相關(guān)用例：登錄控制、訪問控制、日志記錄、口令修改。6.6. 類包圖類包圖6.16.1概述概述本系統(tǒng)可分為五個部分（如下圖：6.1）：接口、基礎(chǔ)管理、日志記錄、訪問控制、底層支持。接口接口：包括為系統(tǒng)管理員提供的系統(tǒng)管理用戶界面和為外部應(yīng)用系統(tǒng)提供的調(diào)用接口。基礎(chǔ)管理基礎(chǔ)管理：包括完成系統(tǒng)基礎(chǔ)的管理功能（用戶管理、資源管理、角色管理、權(quán)限管理、授權(quán)管理、用戶管理、日志管理、日志查

16、詢）的所有類。日志記錄日志記錄：包括完成自動日志記錄功能的類。訪問控制訪問控制：包括實現(xiàn)統(tǒng)一登錄驗證、訪問權(quán)限驗證、會話管理的所有類。底層支持底層支持：包括實現(xiàn)數(shù)據(jù)庫連接或其它系統(tǒng)連接的所有類。 e e 6.26.2在構(gòu)架方面具有重要意義的設(shè)計包在構(gòu)架方面具有重要意義的設(shè)計包6.2.1接口（interface）系統(tǒng)主要包括 12 個接口，其中 8 個用戶界面,四個外部調(diào)用接口：登錄頁面（LoginPage）主頁（MainPage）資源管理頁面（ResourceInfoPage）權(quán)限管理頁面（PermissionInfoPage）角色管理頁面（RoleInfoPage）角色授權(quán)頁面（GrantM

17、anagePage）用戶管理頁面（UserInfoPage）日志管理頁面（LogManagePage）登錄驗證接口（LoginCheck）資源訪問驗證接口（ResourceAccessCheck）記錄日志功能接口（RecordLog）口令修改接口（PasswdChange）圖6.1圖 6.26.2.2基礎(chǔ)管理（BasicManage） 圖 636.2.2.1組織機(jī)構(gòu)類（department）整整體體說說明明中文類名：中文類名：組織機(jī)構(gòu)類英文類名：英文類名：department描述：描述：記錄組織機(jī)構(gòu)信息一般類：一般類：無主動性：主動性：NO其它：其它：中文名中文名英文名英文名數(shù)據(jù)類型數(shù)據(jù)類型數(shù)

18、據(jù)約束數(shù)據(jù)約束說明說明機(jī)構(gòu)編碼id字符串12 位編碼規(guī)則：機(jī)構(gòu)分級，每 3 位一級，如001 表示是一級機(jī)構(gòu)；001002 表示 001機(jī)構(gòu)下屬的 002 機(jī)構(gòu)；如此類推。機(jī)構(gòu)全稱description字符串50機(jī)構(gòu)簡稱ShortName字符串20屬屬性性說說明明中文名中文名英文名英文名輸入?yún)?shù)輸入?yún)?shù)輸出參數(shù)輸出參數(shù)說明說明操操作作說說明明6.2.2.2組織機(jī)構(gòu)管理類整整體體說說明明中文類名：中文類名：組織機(jī)構(gòu)管理類英文類名：英文類名：DepartmentManager描述：描述：實現(xiàn)組織機(jī)構(gòu)信息的增加、修改、刪除、顯示、查詢一般類：一般類：無主動性：主動性：YES其它：其它：中文名中文名英

19、文名英文名數(shù)據(jù)類數(shù)據(jù)類型型數(shù)據(jù)約束數(shù)據(jù)約束說明說明屬屬性性說說明明中文名中文名英文名英文名輸入?yún)?shù)輸入?yún)?shù)輸出參數(shù)輸出參數(shù)說明說明增加部門AddDepartment修改部門ModifyDepartmrntDepartmentId刪除部門DeleteDepartmentDepartmentId顯示部門信息ShowDepartmentDepartmentIdDepartment 信息表格操操作作說說明明搜索部門信息SeekDepartmentDepartmentIdDepartment 對象6.2.2.3用戶管理類（UserManager）整整體體說說明明中文類名：中文類名：用戶管理類英文類名：英

20、文類名：UserManager描述：描述：管理用戶信息，用戶管理相關(guān)的所有操作都由它完成。一般類：一般類：無主動性：主動性：YES其它：其它：中文名中文名英文名英文名數(shù)據(jù)類型數(shù)據(jù)類型數(shù)據(jù)約束數(shù)據(jù)約束說明說明屬屬性性說說明明中文名中文名英文名英文名輸入?yún)?shù)輸入?yún)?shù)輸出參數(shù)輸出參數(shù)說明說明口令修改UserPasswdChange舊口令，新口令加密口令UserPasswdEncrypt口令字符串加密串解密口令UserPasswdDecrypt加密字符串解密后的口令找回口令UserPasswdFind口令提示問題、問題答案解密后的口令增加用戶AddUser用戶信息修改用戶信息ModifyUserInf

21、o用戶名、修改信息刪除用戶DeleteUser用戶名顯示用戶信息ShowUserInfo用戶名用戶登錄驗證UserAuthenticate用戶名、口令是否合法用戶包括本系統(tǒng)、CA 系統(tǒng)、LDAP 系統(tǒng)的驗證查詢用戶信息SeekUserInfo用戶名資源訪問權(quán)限驗證AccessAuthenticate用戶名、資源編碼、權(quán)限編碼是否有該資源的此種權(quán)限操操作作說說明明生成用戶授權(quán)視圖CreateGrantView用戶名生成某用戶完整的用戶授權(quán)信息視圖，僅在當(dāng)前會話有效期存在6.2.2.4用戶類（user）整整體體說說明明中文類名：中文類名：用戶類英文類名：英文類名：user描述：描述： 記錄用戶基本

22、信息一般類：一般類：無主動性：主動性：NO其它：其它：中文名中文名英文名英文名數(shù)據(jù)類型數(shù)據(jù)類型數(shù)據(jù)約束數(shù)據(jù)約束說明說明用戶名name字符串口令passwd字符串提示問題PasswdPromptQuestion字符串問題答案PasswdQuestionResult字符串部門號department字符串真實RealName字符串LDAP 用戶名LDAPUserName字符串LDAP 口令LDAPUserPasswd字符串屬屬性性說說明明CA 證書路徑CACertifyPath字符串中文名中文名英文名英文名輸入?yún)?shù)輸入?yún)?shù)輸出參數(shù)輸出參數(shù)說明說明操操作作說說明明6.2.2.5角色管理類（RoleMa

23、nager）整整體體說說明明中文類名：中文類名：角色管理類英文類名：英文類名：RoleManager描述：描述： 一般類：一般類：無主動性：主動性：YES其它：其它：中文名中文名英文名英文名數(shù)據(jù)數(shù)據(jù)類型類型數(shù)據(jù)約束數(shù)據(jù)約束說明說明屬屬性性說說明明中文名中文名英文名英文名輸入?yún)?shù)輸入?yún)?shù)輸出參數(shù)輸出參數(shù)說明說明增加角色AddRole角色信息修改角色信息Modifyrole角色編碼、修改信息刪除角色DeleteRole角色編碼顯示角色信息ShowRoleInfo角色編碼操操作作說說明明查詢角色信息SeekRole角色編碼6.2.2.6角色類（role）整整體體說說明明中文類名：中文類名：角色類英文

24、類名：英文類名：role描述：描述： 記錄角色定義信息一般類：一般類：無主動性：主動性：NO其它：其它：中文名中文名英文名英文名數(shù)據(jù)類型數(shù)據(jù)類型數(shù)據(jù)約束數(shù)據(jù)約束說明說明角色編碼id字符串角色描述description字符串角色名稱ShortName字符串屬屬性性說說明明中文名中文名英文名英文名輸入?yún)?shù)輸入?yún)?shù)輸出參數(shù)輸出參數(shù)說明說明操操作作說說明明6.2.2.7資源管理類（ResourceManager）整整體體說說明明中文類名：中文類名：資源管理類英文類名：英文類名：ResourceManager描述：描述： 一般類：一般類：無主動性：主動性：YES其它：其它：屬屬中文名中文名英文名英文名數(shù)

25、據(jù)類型數(shù)據(jù)類型數(shù)據(jù)約束數(shù)據(jù)約束說明說明性性說說明明中文名中文名英文名英文名輸入?yún)?shù)輸入?yún)?shù)輸出參數(shù)輸出參數(shù)說明說明增加資源AddResource資源信息修改資源信息ModifyResource資源編碼、修改信息刪除資源DeleteResource資源編碼顯示資源信息ShowResourceInfo資源編碼操操作作說說明明查詢資源信息SeekResource資源編碼6.2.2.8資源類（Resource）整整體體說說明明中文類名：中文類名：資源類英文類名：英文類名：Resource描述：描述： 一般類：一般類：無主動性：主動性：NO其它：其它：中文名中文名英文名英文名數(shù)據(jù)類型數(shù)據(jù)類型數(shù)據(jù)約束數(shù)據(jù)

26、約束說明說明資源編碼id字符串編碼規(guī)則：資源分級，每 3 位一級，如001 表示是一級資源；001002 表示 001資源下屬的 002 資源；如此類推。資源描述description字符串資源名稱ShortName字符串屬屬性性說說明明資源URL字符串由此定位資源URL中文名中文名英文名英文名輸入?yún)?shù)輸入?yún)?shù)輸出參數(shù)輸出參數(shù)說明說明操操作作說說明明6.2.2.9權(quán)限管理類（PermissionManager）整整體體說說明明中文類名：中文類名：權(quán)限管理類英文類名：英文類名：PermissionManager描述：描述： 一般類：一般類：無主動性：主動性：YES其它：其它：中文名中文名英文名英

27、文名數(shù)據(jù)類型數(shù)據(jù)類型數(shù)據(jù)約束數(shù)據(jù)約束說明說明屬屬性性說說明明中文名中文名英文名英文名輸入?yún)?shù)輸入?yún)?shù)輸出參數(shù)輸出參數(shù)說明說明增加權(quán)限AddPermission權(quán)限信息修改權(quán)限信息ModifyPermission權(quán)限編碼、修改信息刪除權(quán)限D(zhuǎn)eletePermission權(quán)限編碼顯示權(quán)限信息ShowPermissionInfo權(quán)限編碼操操作作說說明明查詢權(quán)限信息SeekPermission權(quán)限編碼6.2.2.10權(quán)限類（permission）整整體體說說明明中文類名：中文類名：權(quán)限類英文類名：英文類名：permission描述：描述： 一般類：一般類：無主動性：主動性：NO其它：其它：中文名中文名

28、英文名英文名數(shù)據(jù)類數(shù)據(jù)類型型數(shù)據(jù)約束數(shù)據(jù)約束說明說明權(quán)限編碼id字符串權(quán)限描述description字符串屬屬性性說說明明中文名中文名英文名英文名輸入?yún)?shù)輸入?yún)?shù)輸出參數(shù)輸出參數(shù)說明說明操操作作說說明明6.2.2.11用戶組管理類整整體體說說明明中文類名：中文類名：用戶組管理類英文類名：英文類名：GroupManager描述：描述： 一般類：一般類：無主動性：主動性：NO其它：其它：中文名中文名英文名英文名數(shù)據(jù)類型數(shù)據(jù)類型數(shù)據(jù)約束數(shù)據(jù)約束說明說明屬屬性性說說明明中文名中文名英文名英文名輸入?yún)?shù)輸入?yún)?shù)輸出參數(shù)輸出參數(shù)說明說明添加用戶組AddGroup刪除用戶組DeleteGroup該組成員同時

29、刪除添加組成員AddGroupMember刪除組成員DeleteGroupMember操操作作說說明明6.2.2.12用戶組類（group）整整體體說說明明中文類名：中文類名：用戶組類英文類名：英文類名：group描述：描述： 一般類：一般類：無主動性：主動性：NO其它：其它：中文名中文名英文名英文名數(shù)據(jù)類數(shù)據(jù)類型型數(shù)據(jù)約束數(shù)據(jù)約束說明說明組編碼id字符串組描述description字符串屬屬性性說說明明組類型public布爾型Yes/no公共組:yes,個人自定義組:no所有者owner字符串公共組則無中文名中文名英文名英文名輸入?yún)?shù)輸入?yún)?shù)輸出參數(shù)輸出參數(shù)說明說明操操作作說說明明6.2.2

30、.13授權(quán)管理類（GrantManager） 整整體體說說明明中文類名：中文類名：授權(quán)管理類英文類名：英文類名：GrantManager描述：描述：實現(xiàn)將資源的訪問權(quán)限授予用戶角色、角色授予用戶或用戶組的功能一般類：一般類：無主動性：主動性：YES其它：其它：中文名中文名英文名英文名數(shù)據(jù)類型數(shù)據(jù)類型數(shù)據(jù)約束數(shù)據(jù)約束說明說明屬屬性性說說明明中文名中文名英文名英文名輸入?yún)?shù)輸入?yún)?shù)輸出參數(shù)輸出參數(shù)說明說明增加角色授權(quán)AddRoleGrant修改角色授權(quán)ModifyRoleGrant刪除角色授權(quán)DeleteRoleGrant對角色的資源訪問權(quán)限的管理用戶角色授予AddUserGrant刪除角色授予D

31、eleteUserGrant操操作作說說明明對用戶擁有的角色的管理6.2.2.14用戶角色類（user_role）整整體體說說明明中文類名：中文類名：用戶角色類英文類名：英文類名：user_role描述：描述： 一般類：一般類：無主動性：主動性：NO其它：其它：中文名中文名英文名英文名數(shù)據(jù)類型數(shù)據(jù)類型數(shù)據(jù)約束數(shù)據(jù)約束說明說明用戶名name角色編碼RoleId屬屬性性說說明明中文名中文名英文名英文名輸入?yún)?shù)輸入?yún)?shù)輸出參數(shù)輸出參數(shù)說明說明操操作作說說明明6.2.2.15用戶組成員類（UserGroupMember）整整體體說說明明中文類名：中文類名：用戶組成員類英文類名：英文類名：UserGro

32、upMember描述：描述： 一般類：一般類：無主動性：主動性：NO其它：其它：中文名中文名英文名英文名數(shù)據(jù)類型數(shù)據(jù)類型數(shù)據(jù)約束數(shù)據(jù)約束說明說明組編碼GroupId字符串成員名name字符串屬屬性性說說明明中文名中文名英文名英文名輸入?yún)?shù)輸入?yún)?shù)輸出參數(shù)輸出參數(shù)說明說明操操作作說說明明6.2.2.16角色資源權(quán)限類（role_resource_permission）整整體體說說明明中文類名：中文類名：角色資源權(quán)限類英文類名：英文類名：role_resource_permission描述：描述： 一般類：一般類：無主動性：主動性：NO其它：其它：中文名中文名英文名英文名數(shù)據(jù)類數(shù)據(jù)類型型數(shù)據(jù)約束數(shù)

33、據(jù)約束說明說明角色編碼RoleId字符串資源編碼ResourceId字符串權(quán)限編碼PermissionId字符串屬屬性性說說明明操操中文名中文名英文名英文名輸入?yún)?shù)輸入?yún)?shù)輸出參數(shù)輸出參數(shù)說明說明作作說說明明6.2.3訪問控制（AccessControl）6.2.3.1會話控制類（SessinControler）整整體體說說明明中文類名：中文類名：會話控制類英文類名：英文類名：SessinControler描述：描述：實現(xiàn)按預(yù)先定義的規(guī)則對所有用戶會話進(jìn)行管理一般類：一般類：無主動性：主動性：YES其它：其它：中文名中文名英文名英文名數(shù)據(jù)類型數(shù)據(jù)類型數(shù)據(jù)約束數(shù)據(jù)約束說明說明時間設(shè)置值TimeO

34、utValue數(shù)字會話過期時間屬屬性性說說明明中文名中文名英文名英文名輸入?yún)?shù)輸入?yún)?shù)輸出參數(shù)輸出參數(shù)說明說明會話過期TimeOut會話過期，終止用戶會話操操作作說說明明圖 646.2.4日志記錄（LogRec）6.2.4.1日志類（log）整整體體說說明明中文類名：中文類名：日志類英文類名：英文類名：log描述：描述： 一般類：一般類：無主動性：主動性：NO其它：其它：中文名中文名英文名英文名數(shù)據(jù)類型數(shù)據(jù)類型數(shù)據(jù)約束數(shù)據(jù)約束說明說明用戶名name字符串資源訪問AccessType布爾YES/NO登錄：NO；資源訪問：YES訪問時間Timedate訪問資源ResourceId字符串登錄日志則無

35、屬屬性性說說明明權(quán)限類型PermissionI字符串登錄日志則無圖 65d關(guān)鍵字KeyWord字符串登錄日志則無機(jī)器地址IP字符串中文名中文名英文名英文名輸入?yún)?shù)輸入?yún)?shù)輸出參數(shù)輸出參數(shù)說明說明操操作作說說明明6.2.4.2日志管理類（LogManager）整整體體說說明明中文類名：中文類名：日志管理類英文類名：英文類名：LogManager描述：描述：完成日志歸檔、刪除、恢復(fù)、查詢等日志記錄信息管理及自動記錄操作日志的功能一般類：一般類：無主動性：主動性：YES其它：其它：中文名中文名英文名英文名數(shù)據(jù)類型數(shù)據(jù)類型數(shù)據(jù)約束數(shù)據(jù)約束說明說明屬屬性性說說明明中文名中文名英文名英文名輸入?yún)?shù)輸入?yún)?shù)

36、輸出參數(shù)輸出參數(shù)說明說明日志歸檔ArchiveLog導(dǎo)出路徑日志壓縮導(dǎo)出日志刪除DeleteLog時間段操操作作說說明明日志恢復(fù)RecoverLog日志文件日志顯示ShowLog日志查詢SeekLog自動記錄Log6.2.5底層支持(support)6.2.5.1數(shù)據(jù)庫連接管理類（DatabaseConnectionControler）整整體體說說明明中文類名：中文類名：數(shù)據(jù)庫連接管理類英文類名：英文類名：DatabaseConnectionControler描述：描述： 一般類：一般類：無主動性：主動性：NO其它：其它：屬屬中文名中文名英文名英文名數(shù)據(jù)類型數(shù)據(jù)類型數(shù)據(jù)約束數(shù)據(jù)約束說明說明圖

37、66性性說說明明中文名中文名英文名英文名輸入?yún)?shù)輸入?yún)?shù)輸出參數(shù)輸出參數(shù)說明說明打開連接ConnOpen關(guān)閉連接ConnClose操操作作說說明明6.2.5.2LDAP 系統(tǒng)連接管理類（LdapSystemConnectionControler）整整體體說說明明中文類名：中文類名：LDAP 系統(tǒng)連接管理類英文類名：英文類名：LdapSystemConnectionControler描述：描述： 一般類：一般類：無主動性：主動性：NO其它：其它：中文名中文名英文名英文名數(shù)據(jù)類型數(shù)據(jù)類型數(shù)據(jù)約束數(shù)據(jù)約束說明說明屬屬性性說說明明中文名中文名英文名英文名輸入?yún)?shù)輸入?yún)?shù)輸出參數(shù)輸出參數(shù)說明說明打開連接

38、ConnOpen關(guān)閉連接ConnClose操操作作說說明明6.2.5.3CA 系統(tǒng)連接管理類（CASystemConnectionControler）整整體體說說明明中文類名：中文類名： CA 系統(tǒng)連接管理類英文類名：英文類名：CASystemConnectionControler描述：描述： 一般類：一般類：無主動性：主動性：NO其它：其它：中文名中文名英文名英文名數(shù)據(jù)類型數(shù)據(jù)類型數(shù)據(jù)約束數(shù)據(jù)約束說明說明屬屬性性說說明明中文名中文名英文名英文名輸入?yún)?shù)輸入?yún)?shù)輸出參數(shù)輸出參數(shù)說明說明打開連接ConnOpen關(guān)閉連接ConnClose操操作作說說明明6.2.5.4系統(tǒng)設(shè)置類整整體體說說明明中文

39、類名：中文類名： CA 系統(tǒng)連接管理類英文類名：英文類名：CASystemConnectionControler描述：描述： 一般類：一般類：無主動性：主動性：NO其它：其它：中文名中文名英文名英文名數(shù)據(jù)類型數(shù)據(jù)類型數(shù)據(jù)約束數(shù)據(jù)約束說明說明屬屬性性LDAP 服務(wù)器LDAPServerIP字符串IPLDAP 服務(wù)器名LDAPServerName字符串CA 服務(wù)器 IPCAServerIP字符串CA 服務(wù)器名CAServerName字符串?dāng)?shù)據(jù)庫連接字符串DatabaseConnString字符串連接 LDAP 系統(tǒng)ConnectToLDAP布爾YES/NO說說明明連接 CA 系統(tǒng)ConnectTo

40、CA布爾YES/NO中文名中文名英文名英文名輸入?yún)?shù)輸入?yún)?shù)輸出參數(shù)輸出參數(shù)說明說明系統(tǒng)設(shè)置config操操作作說說明明6.36.3設(shè)計與需求對應(yīng)關(guān)系設(shè)計與需求對應(yīng)關(guān)系6.3.1設(shè)計功能類與功能需求對應(yīng)關(guān)系需求類別需求類別需求標(biāo)識需求標(biāo)識需求功能名稱需求功能名稱對應(yīng)設(shè)計類對應(yīng)設(shè)計類1.1組織機(jī)構(gòu)設(shè)置DepartmentManager、department1.2用戶信息維護(hù)UserManager、user用戶管理1.3用戶組信息維護(hù)GroupManager、group、GroupMember1.4定義可訪問資源對象ResourceManager、 resource1.5定義權(quán)限Permissio

41、nManager、permission1.6定義角色RoleManager、role權(quán)限管理1.7授權(quán)GrantManager、role_resource_permission1.8用戶登錄系統(tǒng)UserManager訪問控制1.9對資源的訪問控制UserManager1.10記錄用戶訪問日志LogManager、AccessLog2.1用戶查詢UserManager2.2對用戶組查詢GroupManager2.3用戶訪問日志查詢LogManager2.4組織機(jī)構(gòu)查詢DepartmentManager2.5對角色查詢RoleManager2.6對資源對象的查詢ResourceManager數(shù)據(jù)查

42、詢2.7模糊查詢ComplexQueryMaker31系統(tǒng)設(shè)置管理SystemConfig隱含需求(未規(guī)定但實現(xiàn)需要)6.3.2設(shè)計接口類與接口需求對應(yīng)關(guān)系需求類需求類型型接口需接口需求求標(biāo)示標(biāo)示接口需求描述接口需求描述對應(yīng)設(shè)計接口類對應(yīng)設(shè)計接口類1登錄驗證功能訪問接口UserManage2資源訪問驗證功能訪問接口UserManage3用戶口令修改功能訪問接口UserManage4口令找回功能接口UserManage5日志記錄功能訪問接口RecordLog用戶功能需求6組管理功能訪問接口GroupManage7數(shù)據(jù)庫連接管理DatabaseConnectionControler8CA 系統(tǒng)連接

43、管理CASystemConnectionControler隱含需求(未規(guī)定但實現(xiàn)需要9LDAP 系統(tǒng)連接管理LdapSystemConnectionControler7.7. 組件視圖組件視圖本系統(tǒng)共有主要組件 18 個，如下圖 7.1 示，注意圖中最下面一排是系統(tǒng)的外部調(diào)用接口，而不是真正的系統(tǒng)組件。ResourceManagerUserManageMainUserManagerRoleManagerPermissionManagerGrantManagerLogManagerLoginPageMainPageLogManagePageDbConnectorResourceInfoPageU

44、serInfoPageRoleManagePagePermissionManagePageGrantManagePageUserManageRecordLogDB_UserSessionManagerCASystemConnectorLDAPSystemConnectorSystemConfigGroupManage8.8. 部署視圖部署視圖8.18.1視圖視圖由于本系統(tǒng)提供的功能的性質(zhì)，屬于應(yīng)用系統(tǒng)的后臺支持系統(tǒng)，本系統(tǒng)的部署情況與具體的業(yè)務(wù)系統(tǒng)有區(qū)別，具體情況見下圖 8.1：圖 7.1application systemuser management and access control

45、systemCA authenticate systemdatabase serveradmin clientLDAP systemapplication interfaceLDAP ConnectorDatabase ConnectorCA system connectorbrowser圖中四個蘭色邊框的部件是系統(tǒng)與外部的接口，其中系統(tǒng)與應(yīng)用系統(tǒng)（application system）之間的接口（application interface）包括三個實際接口，它們是：用戶管理相關(guān)接口（UserManage）:提供對登錄驗證、資源訪問權(quán)限驗證、用戶口令修改、用戶口令找回這四項功能的訪問。用戶組管

46、理接口（GroupManage）：提供對用戶自定義組的增加刪除、組成員的增加刪除功能的訪問。日志功能接口（RecordLog）：提供對日志記錄功能的訪問。圖 8.19.9. 數(shù)據(jù)視圖數(shù)據(jù)視圖10.10.交互視圖交互視圖10.110.1順序視圖順序視圖10.1.1 添加一類權(quán)限：add a permission描述描述：系統(tǒng)管理員基本管理功能之一，具體過程如下：1、系統(tǒng)管理員首先輸入權(quán)限定義信息到權(quán)限信息頁面。2、系統(tǒng)管理員點擊執(zhí)行確認(rèn)。3、權(quán)限信息頁面發(fā)送添加指令和信息給權(quán)限管理者。4、權(quán)限管理者生成一個權(quán)限實例。 : administratorpermission info page : P

47、ermissionInfoPagepermission manager : PermissionManagerpermission : permissionset permission infoadd permissionnew a permissionprocess10.1.2 添加一項資源：add a resource描述：描述：系統(tǒng)管理員基本管理功能之一，具體過程如下：1、系統(tǒng)管理員首先輸入資源定義信息到資源信息頁面。2、系統(tǒng)管理員點擊執(zhí)行確認(rèn)。3、資源信息頁面發(fā)送添加指令和信息給資源管理者。4、資源管理者生成一個資源實例。resource manager : ResourceManag

48、er : administratorresource : resourceresource info page : ResourceInfoPagenew a resourceset resource infoadd resourceprocess10.1.3 添加一個角色：add a role描述：描述：系統(tǒng)管理員基本管理功能之一，具體過程如下：1、系統(tǒng)管理員首先輸入角色定義信息到角色信息頁面。2、系統(tǒng)管理員點擊執(zhí)行確認(rèn)。3、角色信息頁面發(fā)送添加指令和信息給角色管理者。4、角色管理者生成一個角色實例。 : administratorroles info page : RoleInfoPage

49、role manager : RoleManagerrole : roleset role infoadd roleprocessnew role10.1.4 添加一個用戶：add a user描述：描述：系統(tǒng)管理員基本管理功能之一，具體過程如下：1、系統(tǒng)管理員首先輸入用戶定義信息到用戶信息頁面。2、系統(tǒng)管理員點擊執(zhí)行確認(rèn)。3、用戶信息頁面發(fā)送添加指令和信息給用戶管理者。4、用戶管理者生成一個用戶實例。 : administratoruser manager : UserManageruser : userUsers info page : UserInfoPagenew userset us

50、ers infoprocessadd user10.1.5 系統(tǒng)管理員登錄：administrator login描述：描述：系統(tǒng)管理員登錄系統(tǒng)與其他一般用戶從應(yīng)用系統(tǒng)登錄一樣接受驗證。兩者不同的是：系統(tǒng)管理員從系統(tǒng)提供的登錄頁面登錄、而其他用戶從應(yīng)用系統(tǒng)提供的登錄頁面登錄。1、系統(tǒng)管理員從系統(tǒng)提供的登錄頁面訪問登錄驗證接口并提交用戶信息給登錄驗證接口。2、登錄驗證接口調(diào)用用戶管理者的登錄驗證方法。3、用戶管理者訪問本系統(tǒng)用戶信息并驗證。4、用戶管理者發(fā)送 CA 證書到 CA 系統(tǒng)并接受 CA 系統(tǒng)驗證結(jié)果。5、用戶管理者發(fā)送 LDAP 系統(tǒng)用戶信息到 LDAP 系統(tǒng)并接受 LDAP 系統(tǒng)驗證

51、結(jié)果。6、用戶管理者返回最終驗證結(jié)果給登錄驗證接口并生成用戶授權(quán)視圖。7、登錄驗證接口返回驗證結(jié)果給登錄頁面8、登錄頁面關(guān)閉自身并打開系統(tǒng)管理主頁。login authenticate interface : LoginCheck : administratorinternal login page : LoginPageuser manager : UserManageruser : userCA connector : CASystemConnectionControlerLDAP system : LdapSystemConnectionSontrolermain page : Main

52、Pageinput login infocreate users grant viewname and pass checkCA certificationlegal userlegal userLDAP users infolegal LDAP userlogin infoinvoke authenticate functionauthenticate resultlegal userclose myselfopen this page10.1.6 將某資源的一項訪問權(quán)限授權(quán)給某角色：grant a resources access permission to a role描述：系統(tǒng)管理員基

53、本管理功能之一，具體過程如下：1、授權(quán)頁面發(fā)送查詢請求給角色管理者2、角色管理者返回所有角色信息3、授權(quán)頁面發(fā)送查詢請求給資源管理者4、資源管理者返回所有資源信息5、授權(quán)頁面發(fā)送查詢請求給權(quán)限管理者6、權(quán)限管理者返回所有權(quán)限信息7、系統(tǒng)管理員選擇角色8、系統(tǒng)管理員選擇資源9、系統(tǒng)管理員選擇權(quán)限10、系統(tǒng)管理員發(fā)送執(zhí)行授權(quán)命令給授權(quán)頁面11、授權(quán)頁面發(fā)送添加授權(quán)指令和授權(quán)信息給授權(quán)管理者12、授權(quán)管理者增加授權(quán)role manager : RoleManager : administratorgrant page : GrantManagePageresource manager : Resou

54、rceManagergrant manager : GrantManagergrant table : role_resource_permissionpermission manager : PermissionManagerselect permissionadd grantnew a grantprocessseek all rolesroles infoseek all resourceall resource infoseek all permissionall permission infoselect roleselect esource10.1.7 用戶登錄驗證：login a

55、uthenticate描述：系統(tǒng)提供給應(yīng)用系統(tǒng)的功能之一，具體過程如下：1、應(yīng)用系統(tǒng)訪問登錄驗證接口并提交用戶信息給登錄驗證接口。2、登錄驗證接口調(diào)用用戶管理者的登錄驗證方法。3、用戶管理者訪問本系統(tǒng)用戶信息并驗證。4、用戶管理者發(fā)送 CA 證書到 CA 系統(tǒng)并接受 CA 系統(tǒng)驗證結(jié)果。5、用戶管理者發(fā)送 LDAP 系統(tǒng)用戶信息到 LDAP 系統(tǒng)并接受 LDAP 系統(tǒng)驗證結(jié)果。6、用戶管理者返回最終驗證結(jié)果給登錄驗證接口并生成用戶授權(quán)視圖。7、登錄驗證接口返回驗證結(jié)果給應(yīng)用系統(tǒng)。 : outer application systemlogin interface : LoginCheckuse

56、r manager : UserManageruser : userCA system connector : CASystemConnectionControlerLDAP connector : LdapSystemConnectionSontrolerlogin infoinvoke UserAuthenticatelegal loginname and pass queryCA certificationLDAP system users infolegal LDAP userlegal useruser infocreate users grant view10.1.8 訪問日志自動

57、記錄：record access log描述：系統(tǒng)提供給應(yīng)用系統(tǒng)的功能之一，應(yīng)用系統(tǒng)在登錄系統(tǒng)或訪問資源的同時調(diào)用日志記錄功能，具體過程如下：1、應(yīng)用系統(tǒng)訪問日志記錄功能接口并提交日志容給日志記錄功能接口。2、日志記錄功能接口調(diào)用日志管理者日志記錄方法。3、日志管理者生成新的日志并返回操作結(jié)果給日志記錄功能接口。4、日志記錄功能接口返回調(diào)用結(jié)果給應(yīng)用系統(tǒng)。log manager : LogManager : outer application systemlog : AccessLoglog interface : RecordLognew loglog infoinvoke log func

58、tioninvoke resultsucess or fail10.1.9 資源訪問驗證：resource access authenticate描述：系統(tǒng)提供給應(yīng)用系統(tǒng)的功能之一，具體過程如下：1、應(yīng)用系統(tǒng)訪問資源訪問驗證接口并發(fā)送用戶訪問相關(guān)信息給資源訪問驗證接口。2、資源訪問驗證接口調(diào)用用戶管理者的資源訪問驗證方法。3、用戶管理者從用戶登錄時建立的用戶授權(quán)視圖查找與當(dāng)前訪問匹配的信息。4、用戶管理者根據(jù)查找結(jié)果判斷用戶是否有該權(quán)限并返回信息給資源訪問驗證接口。5、資源訪問驗證接口返回驗證結(jié)果給應(yīng)用系統(tǒng)。access authenticate interface : ResourceAcc

59、essCheck : outer application systemuser manager : UserManagerusers grant view : GrantViewuser name,resource,permissioninvoke authenticateauthenticate resultyes or noseek same recordseek result10.1.10日志歸檔：archive log描述：系統(tǒng)管理員對操作日志做定期歸檔，具體過程如下：1、系統(tǒng)管理員輸入歸檔文件名、文件存儲路徑到日志管理頁面。2、系統(tǒng)管理員執(zhí)行日志管理頁面的操作。3、日志管理頁面調(diào)用日

60、志管理者的日志歸檔方法。4、日志管理者查詢所有日志記錄。5、日志管理者獲得日志記錄后歸檔到指定文件。6、日志管理者完成操作后返回結(jié)果到日志管理頁面。 : administratorlog manage page : LogManagePagelog manager : LogManagerlog : AccessLoginput file name,patharchiveprocessseek log recordsall recordsresult10.1.11日志恢復(fù)：restore log描述：在必要的時候，系統(tǒng)管理員將以前的歸檔日志恢復(fù)到系統(tǒng)中。1、系統(tǒng)管理員輸入要恢復(fù)的日志歸檔文件的