研究生信息平台中权限管理的设计与实现

顾航; 夏帆; 宋树彬; 肖李敏; 董启文; 徐林昊; 周傲英

doi:10.3969/j.issn.1000-5641.2018.03.012

研究生信息平台中权限管理的设计与实现

doi: 10.3969/j.issn.1000-5641.2018.03.012

1.
华东师范大学数据科学与工程学院, 上海 200062
2.
华东师范大学研究生院, 上海 200062
3.
印孚瑟斯技术中国有限公司, 上海 200135

基金项目:

国家重点研发计划 2016YFB1000905

国家自然科学基金广东省联合重点项目 U1401256

国家自然科学基金 61672234

国家自然科学基金 61402177

华东师范大学信息化软科学研究课题 41600-10201-562940/008

详细信息

作者简介:
顾航, 男, 硕士研究生, 研究方向为数据科学技术应用.E-mail:553778439@qq.com

通讯作者:
夏帆, 男, 博士后, 研究方向为社交媒体分析.E-mail:xiafan68@qq.com

中图分类号: TP315
计量
- 文章访问数: 109
- HTML全文浏览量: 63
- PDF下载量: 275
- 被引次数: 0
出版历程
- 收稿日期: 2017-09-19
- 刊出日期: 2018-05-25

Design and implementation of an authorization system for a graduate school information

1.
School of Data Science and Engineering, East China Normal University, Shanghai 200062, China
2.
Graduate School, East China Normal University, Shanghai 200062, China
3.
Infosys Technologies China Ltd, Shanghai 200135, China

摘要

摘要: 认证与授权是保障软件系统中数据与服务安全的重要机制.在研发下一代华东师范大学研究生院信息管理系统的过程中，针对新的业务需求（如学籍异动管理和预毕结业审核等流程审批管理），设计了一种基于访问域模型的权限管理模块，结合Spring Security组件实现了一种多层级、可配置、高性能的权限拦截器，有效地解决了用户认证与授权问题.该权限管理模块在实际使用中不会给Web服务请求带来响应延迟问题，能够防御常见的网络攻击（如会话攻击或跨域请求伪造），而且可以灵活地满足华东师范大学各个院系和职能部门在使用研究生院信息平台过程中经常发生的用户授权变更需求.
- 授权 /
- 权限管理 /
- 访问域模型
Abstract: Authentication and authorization are critical to ensuring the security of data and services in software systems. To satisfy the need for authorization management during the development of the next generation information platform for East China Normal University's Graduate School, this paper proposes an access domain-based authorization module and uses Spring Security components to implement a hierarchical, configurable, high-performance privilege interceptor. The approach can effectively defend against popular network attacks, such as session attacks and CSRF, guarantee low latency for web service access, and provide a flexible way to meet the frequently changing authorization requirements of faculty from different schools and departments.
- authorization /
- authority management /
- access domain model

HTML全文

图 1 用户请求流图

Fig. 1 Process flow diagram of typical user request

下载: 全尺寸图片幻灯片

图 2 用户登录授权图

Fig. 2 User login and authorization chart

下载: 全尺寸图片幻灯片

图 3 权限模块ER图

Fig. 3 Entity relation diagram for authority module

下载: 全尺寸图片幻灯片

图 4 角色配置界面

Fig. 4 Role configuration interface

下载: 全尺寸图片幻灯片

图 5 权限配置界面

Fig. 5 Authority configuration interface

下载: 全尺寸图片幻灯片

图 6 权限拦截流程图

Fig. 6 Process of authority interception

下载: 全尺寸图片幻灯片

图 7 对携带学号的请求权限验证流程图

Fig. 7 Verification process for requests with a student number

下载: 全尺寸图片幻灯片

图 8 对携带综合查询条件的请求权限验证流程图

Fig. 8 Verification process for requests with a query condition

下载: 全尺寸图片幻灯片

图 9 RestAPI实体类的实体图定义

Fig. 9 Definition of entity graph in RestAPI

下载: 全尺寸图片幻灯片

图 10 基于RestAPI实体图定义的权限服务接口实现

Fig. 10 Implementation of authority service interface based on RestAPI entity definition

下载: 全尺寸图片幻灯片

图 11 权限请求的响应时间

Fig. 11 Response time of authority request

下载: 全尺寸图片幻灯片

图 12 业务请求的响应时间

Fig. 12 Response time of business request

下载: 全尺寸图片幻灯片

表 1 3种主流安全框架的特性对比

Tab. 1 Comparison of three mainstream security frameworks

特性	Spring Security	Apache Shiro	Java JAAS
权限粒度	很细	较细	较细
安全性	高	较高	较高
灵活性	低	高	低
兼容性	低	高	低
单点登录	支持	不支持	不支持

下载: 导出CSV

表 2 拦截器栈中各拦截器功能

Tab. 2 Functions of interceptors in the interceptor stack

拦截器名称	功能
HttpSessionContextIntegrationFilter	处理用户的会话中的会话上下文对象, 如果当前的会话中没有这个对象, 则生成一个上下文对象并放入该用户的会话中
LogoutFilter	处理注销请求
AuthenticationProcessingFilter	判断用户是否登录
SecurityContextHolderAwareRequestFilter	将用户发来的请求进行包装, 时候后续拦截器能够基于包装后的对象进行处理
AnonymousAuthenticationFilter	当用户发送匿名请求时, 为当前用户赋予一个匿名权限
ExceptionTranslationFilter	捕捉并处理Spring Security中产生的异常
SessionFixationProtectionFilter	防御会话固定攻击
FilterSecurityInterceptor	保护HTTP资源的安全, 并在请求拒绝的时候抛出异常

下载: 导出CSV

参考文献(9)

[1]	吴波, 王晶.基于基本RBAC模型的权限管理框架的设计与实现[J].计算机系统应用, 2011(4):50-54. http://edu.wanfangdata.com.cn/Periodical/Detail/jsjxtyy201104011
[2]	贾青梅, 杨正球. 统一权限管理模块的设计与实现[C]//2009通信理论与技术新发展——第十四届全国青年通信学术会议论文集[C]. 中国通信学会青年工作委员会, 2009: 233-237.
[3]	ZHAO F, WANG L, TIAN X. Design and implementation of authorization management system based on RBAC[J]. Computer & Digital Engineering, 2012, 532/533(43):586-590. https://www.scientific.net/AMR.532-533.586
[4]	桂艳峰, 林作铨.一个基于角色的Web安全访问控制系统[J].计算机研究与发展, 2003, 8:1186-1194.
[5]	顾春华, 肖宝亮. RBAC模型层次关系中的角色权限[J].华东理工大学学报(自然科学版), 2007(1):96-99. http://www.wanfangdata.com.cn/details/detail.do?_type=perio&id=hdlgdxxb200701022
[6]	杨柳, 危韧勇, 陈传波.一种扩展型基于角色权限管理模型(E-RBAC)的研究[J].计算机工程与科学, 2006, 9:126-128. http://d.wanfangdata.com.cn/Periodical_jsjgcykx200609042.aspx
[7]	桂艳峰, 林作铨.一个基于角色的Web安全访问控制系统[J].计算机研究与发展, 2003, 8:1186-1194.
[8]	NI P, LIAO J, WANG C, et al. Web information recommendation based on user behaviors[C]//Computer Science and Information Engineering, 2009 WRI World Congress on. IEEE Xplore, 2009: 426-430.
[9]	ZHANG Y, JOSHI J B D. Role Based Access Control[M]. New York:Springer, 2009.