用户及资源权限管理设计.doc

通用用户管理和权限控制系统 软件设计文档 版本 1.0 通用用户管理和权限控制系统 版本： 1.0 软件构架文档 日期： 2003/5/12 Confidential Page 2 of 50 修订历史记录 日期 版本 说明 作者 2003/5/12 1.0 创建 JavaOA 项目组 通用用户管理和权限控制系统 版本： 1.0 软件构架文档 日期： 2003/5/12 Confidential Page 3 of 50 目录 1. 简介.5 1.1 目的.5 1.2 范围.5 1.3 定义、首字母缩写词和缩略语.5 1.4 参考资料.5 1.5 概述.6 2. 构架表示方式.6 3. 构架目标和约束.6 3.1 约束.6 3.2 目标.6 4. 构架机制.7 4.1 分析机制.7 4.2 分析机制-设计机制-实现机制映射 7 5. 用例视图.7 5.1 视图.7 5.2 用例(USE CASE) .8 5.3 操作员（ACTOR） 9 6. 类包图.9 6.1 概述.9 6.2 在构架方面具有重要意义的设计包.10 6.2.1 接口（ interface） 10 6.2.2 基础管理（ BasicManage） .11 6.2.2.1 组织机构类（department） 12 6.2.2.2 组织机构管理类 12 6.2.2.3 用户管理类（UserManager） 13 6.2.2.4 用户类（user） 14 6.2.2.5 角色管理类（RoleManager） 15 6.2.2.6 角色类（role） 16 6.2.2.7 资源管理类（ResourceManager） .17 6.2.2.8 资源类（Resource） .17 6.2.2.9 权限管理类（PermissionManager） 18 6.2.2.10 权限类（permission） 19 6.2.2.11 用户组管理类 20 6.2.2.12 用户组类（group） 20 6.2.2.13 授权管理类（GrantManager） 21 6.2.2.14 用户角色类（user_role） .22 6.2.2.15 用户组成员类（UserGroupMember） 22 6.2.2.16 角色资源权限类（role_resource_permission ） 23 6.2.3 访问控制（ AccessControl） .24 6.2.3.1 会话控制类（SessinControler） .24 6.2.4 日志记录（ LogRec） 25 通用用户管理和权限控制系统 版本： 1.0 软件构架文档 日期： 2003/5/12 Confidential Page 4 of 50 6.2.4.1 日志类（log） .25 6.2.4.2 日志管理类（LogManager） 26 6.2.5 底层支持 (support)27 6.2.5.1 数据库连接管理类（DatabaseConnectionControler ） 27 6.2.5.2 LDAP 系统连接管理类（LdapSystemConnectionControler） .28 6.2.5.3 CA 系统连接管理类（CASystemConnectionControler ） .28 6.2.5.4 系统设置类 29 6.3 设计与需求对应关系.30 6.3.1 设计功能类与功能需求对应关系 .30 6.3.2 设计接口类与接口需求对应关系 .30 7. 组件视图.31 8. 部署视图.32 8.1 视图.32 9. 数据视图.33 10. 交互视图.34 10.1 顺序视图.34 10.1.1 添加一类权限： add a permission.34 10.1.2 添加一项资源： add a resource.35 10.1.3 添加一个角色： add a role 36 10.1.4 添加一个用户： add a user37 10.1.5 系统管理员登录： administrator login .38 10.1.6 将某资源的一项访问权限授权给某角色： grant a resources access permission to a role.39 10.1.7 用户登录验证： login authenticate40 10.1.8 访问日志自动记录： record access log 41 10.1.9 资源访问验证： resource access authenticate 42 10.1.10 日志归档： archive log 43 10.1.11 日志恢复： restore log .44 10.1.12 删除日志： delete log.45 10.1.13 添加公共用户组： add a public group46 10.1.14 添加一个用户自定义组： add a users self_defined group 47 10.1.15 给公共用户组添加成员： add a member to public group.48 11. 质量.49 11.1 可重用性.49 通用用户管理和权限控制系统 版本： 1.0 软件构架文档 日期： 2003/5/12 Confidential Page 5 of 50 软件设计文档 1. 简介 1.1 目的 本文档将从构架和详细设计两方面对通用用户管理和权限控制系统进行综合概述，其中会 使用多种不同的构架视图：用例视图、顺序图、协作图、类图、组件图等来描述系统的各个方 面，以作为下步编码测试的重要依据。 本文档的读者为：公司技术负责人、用户代表、项目经理、设计员、程序员、测试员、评 审组成员。 1.2 范围 本文档将在通用用户管理和权限控制系统的设计和构建阶段适用，对它的修改将直接影 响系统的编码测试和系统构建。 本文档作为通用用户管理和权限控制系统开发过程中设计阶段的输出工件，既从系统整 体的架构设计的角度做决定，又包括系统的详细设计。 1.3 定义、首字母缩写词和缩略语 1.4 参考资料 资料名称 作者 译者 出版社 出版时间 书号 通用用户管理和权限控制系统项目 开发计划 Java OA2 项目组 无 无 2003 年 4 月 通用用户管理和权限控制系统需求 规格说明书 Java OA2 项目组 无 无 2003 年 5 月 通用用户管理和权限控制系统 版本： 1.0 软件构架文档 日期： 2003/5/12 Confidential Page 6 of 50 1.5 概述 本文档将从十一个方面对通用用户管理和权限控制系统做出设计规定：简介、构架表示方式、 构架目标和约束、用例视图、逻辑视图、组件视图、部署视图、数据视图、交互图、质量。 2. 构架表示方式 通用用户管理和权限控制系统将采用当前流行的 J2EE 架构体系来设计构建，系统构架采用遵 照 UML 标准的面向对象建模工具 RATIONAL ROSE 来表示，将从用例视图、逻辑视图、组件视图、 部署视图这几个不同角度来展示系统。 用例视图：描述系统的功能（use cases）、外部环境（actors）、use case 和 actors 之 间的关系（use case diagram）。 逻辑视图：主要包括交互图（interaction diagram）、类图（class diagram）。交互图又 分时序图（sequence diagram）和协作图（collaboration diagram）. 时序图按时间显示信息流； 协作图显示对象间的关系和消息；类图显示系统的包和类，显示系统组件及其相互间关系。在架 构设计阶段，最有用的是类图，在本系统架构设计文档中，我们也只列出系统类图。 组件视图：描述系统的实际结构，展示系统组件如何构成代码库并显示组件间的关系（依赖 性关系）。 部署视图：描述各组件在物理上的位置关系，展示系统运行时软硬件的实际部署情况。 3. 构架目标和约束 根据通用用户管理和权限控制系统需求规格说明书的规定，本系统在架构方面有一定的目 标和约束条件。 3.1 约束 必须基于 JAVA 架构体系 3.2 目标 本系统构架将实现如下目标： 重用：为了避免重复劳动，为了降低成本，我们希望能够在以后的开发中重用本系统的代 码和设计。 透明：为了提高效率，我们将把实现的细节隐藏起来，仅把客户最终需求或二次开发需求 的接口呈现给客户或二次开发者。这样，具体的实现对客户和二次开发者来说就是透明的。 通用用户管理和权限控制系统 版本： 1.0 软件构架文档 日期： 2003/5/12 Confidential Page 7 of 50 延展：由于需求的易变性。我们需要架构具有一定的延展性，以适应未来可能的变化。但 是，延展性和稳定性，延展性和简单性都是矛盾的。因此我们需要权衡我们的投入/产出 比。以设计出具有适当和延展性的架构。 简明：一个复杂的架构不论是测试还是维护都是困难的。我们希望架构能够在满足目的的 情况下尽可能的简单明了。 高效：作为要嵌入办公自动化系统中的重要子系统，我们的用户管理和访问控制系统的架 构必须是高效的。 安全：安全是架构的一个很重要的方面。 4. 构架机制 4.1 分析机制 对在分析中使用到的分析机制进行阐述 分析机制 描述 持久性机制 需要保存下来以备下次重新使用的一种机制 错误报告机制 需要对程序运行时发生的错误需要进行某种方式让用户知 道的机制 安全性机制 需要用一种方法保证非授权者不能使用或查看到信息的一 种机制 4.2 分析机制-设计机制-实现机制映射 分析机制 设计机制 实现机制 带删除标记的文件保存机制 带删除标记的 Java 序列化 机制持久性机制 数据保存机制 数据库机制 错误报告机制 窗口弹出错误信息机制 Java 的错误报告机制 操作日志机制 系统自动记录所有操作安全性机制 登录机制 登录机制 5. 用例视图 5.1 视图 系统用例视图如图 5.1，要说明的是考虑视图的篇幅，图中用例之间的关系都没有标明类 型，它们都应该为包含关系。 通用用户管理和权限控制系统 版本： 1.0 软件构架文档 日期： 2003/5/12 Confidential Page 8 of 50 # # # d l 5.2 用例(use case) 根据上节视图，本系统共 12 个关键用例： 组织机构管理（department admin） 资源管理（resource admin） 角色管理（role admin） 权限管理（permission admin） 授权管理（grant resources permission to role） 用户管理（user admin） 图 5.1 通用用户管理和权限控制系统 版本： 1.0 软件构架文档 日期： 2003/5/12 Confidential Page 9 of 50 日志管理（log admin） 日志查询（query log） 登录控制（login control） 访问控制（access control） 日志记录（record log） 口令修改（passwd change） 5.3 操作员（actor） 本系统共两类操作员：系统管理员和外部应用系统。 系统管理员利用系统提供的管理界面操作系统管理相关用例，主要是：组织机构管理、资源管 理、角色管理、权限管理、授权管理、用户管理、日志管理、日志查询。同时，系统管理员的一切行 为也需要通过系统的访问控制，也就是说这些管理用例要使用访问控制相关的后台用例：登录控制、 访问控制、日志记录、口令修改。 外部应用系统通过本系统提供的统一接口调用系统的访问控制相关用例：登录控制、访问控制、 日志记录、口令修改。 6. 类包图 6.1 概述 本系统可分为五个部分（如下图：6.1）：接口、基础管理、日志记录、访问控制、底层支持。 接口：包括为系统管理员提供的系统管理用户界面和为外部应用系统提供的调用接口。 基础管理：包括完成系统基础的管理功能（用户管理、资源管理、角色管理、权限管理、授权管 理、用户管理、日志管理、日志查询）的所有类。 日志记录：包括完成自动日志记录功能的类。 访问控制：包括实现统一登录验证、访问权限验证、会话管理的所有类。 底层支持：包括实现数据库连接或其它系统连接的所有类。 e e 图 6.1 通用用户管理和权限控制系统 版本： 1.0 软件构架文档 日期： 2003/5/12 Confidential Page 10 of 50 6.2 在构架方面具有重要意义的设计包 6.2.1 接口（ interface） 系统主要包括 12 个接口，其中 8 个用户界面,四个外部调用接口： 登录页面（LoginPage） 主页（MainPage） 资源管理页面（ResourceInfoPage） 权限管理页面（PermissionInfoPage） 角色管理页面（RoleInfoPage） 角色授权页面（GrantManagePage） 用户管理页面（UserInfoPage） 日志管理页面（LogManagePage） 登录验证接口（LoginCheck） 资源访问验证接口（ResourceAccessCheck） 记录日志功能接口（RecordLog） 口令修改接口（PasswdChange） 图 6.2 通用用户管理和权限控制系统 版本： 1.0 软件构架文档 日期： 2003/5/12 Confidential Page 11 of 50 6.2.2 基础管理（ BasicManage） 图 63 通用用户管理和权限控制系统 版本： 1.0 软件构架文档 日期： 2003/5/12 Confidential Page 12 of 50 6.2.2.1组织机构类（department） 整 体 说 明 中文类名：组织机构类 英文类名：department 描述：记录组织机构信息 一般类：无 主动性：NO 其它： 中文名 英文名 数据类型 数据约束 说明 机构编码 id 字符串 12 位 编码规则：机构分级，每 3 位一级，如 001 表示是一级机构；001002 表示 001 机 构下属的 002 机构；如此类推。 机构全称 description 字符串 50 机构简称 ShortName 字符串 20 属 性 说 明 中文名 英文名 输入参数 输出参数 说明操 作 说 明 6.2.2.2组织机构管理类 整 体 说 明 中文类名：组织机构管理类 英文类名：DepartmentManager 描述：实现组织机构信息的增加、修改、删除、显示、查询 一般类：无 主动性：YES 其它： 通用用户管理和权限控制系统 版本： 1.0 软件构架文档 日期： 2003/5/12 Confidential Page 13 of 50 中文名 英文名 数据类 型 数据约束 说明属 性 说 明 中文名 英文名 输入参数 输出参数 说明 增加部门 AddDepartment 修改部门 ModifyDepartmrnt DepartmentId 删除部门 DeleteDepartment DepartmentId 显示部门信息 ShowDepartment DepartmentId Department 信息表格 操 作 说 明 搜索部门信息 SeekDepartment DepartmentId Department 对象 6.2.2.3用户管理类（UserManager） 整 体 说 明 中文类名：用户管理类 英文类名：UserManager 描述：管理用户信息，用户管理相关的所有操作都由它完成。 一般类：无 主动性：YES 其它： 中文名 英文名 数据类型 数据约束 说明属 性 说 明 中文名 英文名 输入参数 输出参数 说明 口令修改 UserPasswdChange 旧口令，新口令 加密口令 UserPasswdEncrypt 口令字符串 加密串 操 作 说 明 解密口令 UserPasswdDecrypt 加密字符串 解密后的口令 通用用户管理和权限控制系统 版本： 1.0 软件构架文档 日期： 2003/5/12 Confidential Page 14 of 50 找回口令 UserPasswdFind 口令提示问题、问 题答案 解密后的口令 增加用户 AddUser 用户信息 修改用户信息 ModifyUserInfo 用户名、修改信息 删除用户 DeleteUser 用户名 显示用户信息 ShowUserInfo 用户名 用户登录验证 UserAuthenticate 用户名、口令 是否合法用户 包括本系统、CA 系统、LDAP 系 统的验证 查询用户信息 SeekUserInfo 用户名 资源访问权限 验证 AccessAuthenticate 用户名、资源编码、 权限编码 是否有该资源 的此种权限 生成用户授权 视图 CreateGrantView 用户名 生成某用户完整 的用户授权信息 视图，仅在当前 会话有效期存在 6.2.2.4用户类（user） 整 体 说 明 中文类名：用户类 英文类名：user 描述： 记录用户基本信息 一般类：无 主动性：NO 其它： 中文名 英文名 数据类型 数据约束 说明 用户名 name 字符串 口令 passwd 字符串属 性 提示问题 PasswdPromptQuestion 字符串 通用用户管理和权限控制系统 版本： 1.0 软件构架文档 日期： 2003/5/12 Confidential Page 15 of 50 问题答案 PasswdQuestionResult 字符串 部门号 department 字符串 真实姓名 RealName 字符串 LDAP 用户名 LDAPUserName 字符串 LDAP 口令 LDAPUserPasswd 字符串 说 明 CA 证书路径 CACertifyPath 字符串 中文名 英文名 输入参数 输出参数 说明操 作 说 明 6.2.2.5角色管理类（RoleManager） 整 体 说 明 中文类名：角色管理类 英文类名：RoleManager 描述： 一般类：无 主动性：YES 其它： 中文名 英文名 数据 类型 数据约束 说明属 性 说 明 中文名 英文名 输入参数 输出参数 说明 增加角色 AddRole 角色信息 操 作 说 修改角色信息 Modifyrole 角色编码、修 改信息 通用用户管理和权限控制系统 版本： 1.0 软件构架文档 日期： 2003/5/12 Confidential Page 16 of 50 删除角色 DeleteRole 角色编码 显示角色信息 ShowRoleInfo 角色编码 明 查询角色信息 SeekRole 角色编码 6.2.2.6角色类（role） 整 体 说 明 中文类名：角色类 英文类名：role 描述： 记录角色定义信息 一般类：无 主动性：NO 其它： 中文名 英文名 数据类型 数据约束 说明 角色编码 id 字符串 角色描述 description 字符串 角色名称 ShortName 字符串 属 性 说 明 中文名 英文名 输入参数 输出参数 说明操 作 说 明 通用用户管理和权限控制系统 版本： 1.0 软件构架文档 日期： 2003/5/12 Confidential Page 17 of 50 6.2.2.7资源管理类（ResourceManager） 整 体 说 明 中文类名：资源管理类 英文类名：ResourceManager 描述： 一般类：无 主动性：YES 其它： 中文名 英文名 数据类型 数据约束 说明属 性 说 明 中文名 英文名 输入参数 输出参数 说明 增加资源 AddResource 资源信息 修改资源信息 ModifyResource 资源编码、 修改信息 删除资源 DeleteResource 资源编码 显示资源信息 ShowResourceInfo 资源编码 操 作 说 明 查询资源信息 SeekResource 资源编码 6.2.2.8资源类（Resource） 整 体 说 明 中文类名：资源类 英文类名：Resource 描述： 一般类：无 主动性：NO 其它： 中文名 英文名 数据类型 数据约束 说明 通用用户管理和权限控制系统 版本： 1.0 软件构架文档 日期： 2003/5/12 Confidential Page 18 of 50 资源编码 id 字符串 编码规则：资源分级，每 3 位一级，如 001 表示是一级资源；001002 表示 001 资源下 属的 002 资源；如此类推。 资源描述 description 字符串 资源名称 ShortName 字符串 属 性 说 明 资源 URL URL 字符串 由此定位资源 中文名 英文名 输入参数 输出参数 说明操 作 说 明 6.2.2.9权限管理类（PermissionManager） 整 体 说 明 中文类名：权限管理类 英文类名：PermissionManager 描述： 一般类：无 主动性：YES 其它： 中文名 英文名 数据类型 数据约束 说明属 性 说 明 中文名 英文名 输入参数 输出参数 说明 增加权限 AddPermission 权限信息 修改权限信息 ModifyPermission 权限编码、 修改信息 操 作 说 明 删除权限 DeletePermission 权限编码 通用用户管理和权限控制系统 版本： 1.0 软件构架文档 日期： 2003/5/12 Confidential Page 19 of 50 显示权限信息 ShowPermissionInfo 权限编码 查询权限信息 SeekPermission 权限编码 6.2.2.10 权限类（permission） 整 体 说 明 中文类名：权限类 英文类名：permission 描述： 一般类：无 主动性：NO 其它： 中文名 英文名 数据类 型 数据约束 说明 权限编码 id 字符串 权限描述 description 字符串 属 性 说 明 中文名 英文名 输入参数 输出参数 说明操 作 说 明 通用用户管理和权限控制系统 版本： 1.0 软件构架文档 日期： 2003/5/12 Confidential Page 20 of 50 6.2.2.11 用户组管理类 整 体 说 明 中文类名：用户组管理类 英文类名：GroupManager 描述： 一般类：无 主动性：NO 其它： 中文名 英文名 数据类型 数据约束 说明属 性 说 明 中文名 英文名 输入参数 输出参数 说明 添加用户组 AddGroup 删除用户组 DeleteGroup 该组成员同 时删除 添加组成员 AddGroupMember 删除组成员 DeleteGroupMember 操 作 说 明 6.2.2.12 用户组类（group） 整 体 说 明 中文类名：用户组类 英文类名：group 描述： 一般类：无 主动性：NO 其它： 属 性 中文名 英文名 数据类 型 数据约束 说明 通用用户管理和权限控制系统 版本： 1.0 软件构架文档 日期： 2003/5/12 Confidential Page 21 of 50 组编码 id 字符串 组描述 description 字符串 组类型 public 布尔型 Yes/no 公共组:yes,个人自定义组:no 说 明 所有者 owner 字符串 公共组则无 中文名 英文名 输入参数 输出参数 说明操 作 说 明 6.2.2.13 授权管理类（GrantManager） 整 体 说 明 中文类名：授权管理类 英文类名：GrantManager 描述：实现将资源的访问权限授予用户角色、角色授予用户或用户组的功能 一般类：无 主动性：YES 其它： 中文名 英文名 数据类型 数据约束 说明属 性 说 明 中文名 英文名 输入参数 输出参数 说明 增加角色授权 AddRoleGrant 修改角色授权 ModifyRoleGrant 删除角色授权 DeleteRoleGrant 对角色的资 源访问权限 的管理 用户角色授予 AddUserGrant 删除角色授予 DeleteUserGrant 操 作 说 明 对用户拥有 的角色的管 理 通用用户管理和权限控制系统 版本： 1.0 软件构架文档 日期： 2003/5/12 Confidential Page 22 of 50 6.2.2.14 用户角色类（user_role） 整 体 说 明 中文类名：用户角色类 英文类名：user_role 描述： 一般类：无 主动性：NO 其它： 中文名 英文名 数据类型 数据约束 说明 用户名 name 角色编 码 RoleId 属 性 说 明 中文名 英文名 输入参数 输出参数 说明操 作 说 明 6.2.2.15 用户组成员类（UserGroupMember） 整 体 说 明 中文类名：用户组成员类 英文类名：UserGroupMember 描述： 一般类：无 主动性：NO 其它： 属 中文名 英文名 数据类型 数据约束 说明 通用用户管理和权限控制系统 版本： 1.0 软件构架文档 日期： 2003/5/12 Confidential Page 23 of 50 组编码 GroupId 字符串 成员名 name 字符串 性 说 明 中文名 英文名 输入参数 输出参数 说明操 作 说 明 6.2.2.16 角色资源权限类（role_resource_permission） 整 体 说 明 中文类名：角色资源权限类 英文类名：role_resource_permission 描述： 一般类：无 主动性：NO 其它： 中文名 英文名 数据类 型 数据约束 说明 角色编码 RoleId 字符串 资源编码 ResourceId 字符串 权限编码 PermissionId 字符串 属 性 说 明 中文名 英文名 输入参数 输出参数 说明操 作 说 明 通用用户管理和权限控制系统 版本： 1.0 软件构架文档 日期： 2003/5/12 Confidential Page 24 of 50 6.2.3 访问控制（ AccessControl） 6.2.3.1 会话控制类（SessinControler） 整 体 说 明 中文类名：会话控制类 英文类名：SessinControler 描述：实现按预先定义的规则对所有用户会话进行管理 一般类：无 主动性：YES 其它： 中文名 英文名 数据类型 数据约束 说明 时间设置值 TimeOutValue 数字 会话过期时间 属 性 说 明 中文名 英文名 输入参数 输出参数 说明 会话过期 TimeOut 会话过期，终止用户会话 操 作 说 明 图 64 通用用户管理和权限控制系统 版本： 1.0 软件构架文档 日期： 2003/5/12 Confidential Page 25 of 50 6.2.4 日志记录（ LogRec） 6.2.4.1 日志类（log） 整 体 说 明 中文类名：日志类 英文类名：log 描述： 一般类：无 主动性：NO 其它： 中文名 英文名 数据类型 数据约束 说明 用户名 name 字符串 资源访问 AccessType 布尔 YES/NO 登录：NO；资源访问：YES 访问时间 Time date 访问资源 ResourceId 字符串 登录日志则无 权限类型 PermissionId 字符串 登录日志则无 属 性 说 明 关键字 KeyWord 字符串 登录日志则无 图 65 通用用户管理和权限控制系统 版本： 1.0 软件构架文档 日期： 2003/5/12 Confidential Page 26 of 50 机器地址 IP 字符串 中文名 英文名 输入参数 输出参数 说明操 作 说 明 6.2.4.2 日志管理类（LogManager） 整 体 说 明 中文类名：日志管理类 英文类名：LogManager 描述：完成日志归档、删除、恢复、查询等日志记录信息管理及自动记录操作日志的功能 一般类：无 主动性：YES 其它： 中文名 英文名 数据类型 数据约束 说明属 性 说 明 中文名 英文名 输入参数 输出参数 说明 日志归档 ArchiveLog 导出路径 日志压缩导出 日志删除 DeleteLog 时间段 日志恢复 RecoverLog 日志文件 日志显示 ShowLog 日志查询 SeekLog 操 作 说 明 自动记录 Log 通用用户管理和权限控制系统 版本： 1.0 软件构架文档 日期： 2003/5/12 Confidential Page 27 of 50 6.2.5 底层支持 (support) 6.2.5.1数据库连接管理类（DatabaseConnectionControler） 整 体 说 明 中文类名：数据库连接管理类 英文类名：DatabaseConnectionControler 描述： 一般类：无 主动性：NO 其它： 中文名 英文名 数据类型 数据约束 说明属 性 说 明 中文名 英文名 输入参数 输出参数 说明操 作 打开连接 ConnOpen 图 66 通用用户管理和权限控制系统 版本： 1.0 软件构架文档 日期： 2003/5/12 Confidential Page 28 of 50 关闭连接 ConnClose说 明 6.2.5.2 LDAP 系统连接管理类（LdapSystemConnectionControler） 整 体 说 明 中文类名：LDAP 系统连接管理类 英文类名：LdapSystemConnectionControler 描述： 一般类：无 主动性：NO 其它： 中文名 英文名 数据类型 数据约束 说明属 性 说 明 中文名 英文名 输入参数 输出参数 说明 打开连接 ConnOpen 关闭连接 ConnClose 操 作 说 明 6.2.5.3 CA 系统连接管理类（CASystemConnectionControler） 整 体 说 明 中文类名： CA 系统连接管理类 英文类名：CASystemConnectionControler 描述： 一般类：无 主动性：NO 其它： 属 中文名 英文名 数据类型 数据约束 说明 通用用户管理和权限控制系统 版本： 1.0 软件构架文档 日期： 2003/5/12 Confidential Page 29 of 50 性 说 明 中文名 英文名 输入参数 输出参数 说明 打开连接 ConnOpen 关闭连接 ConnClose 操 作 说 明 6.2.5.4系统设置类 整 体 说 明 中文类名： CA 系统连接管理类 英文类名：CASystemConnectionControler 描述： 一般类：无 主动性：NO 其它： 中文名 英文名 数据类型 数据约束 说明 LDAP 服务器 IP LDAPServerIP 字符串 LDAP 服务器名 LDAPServerName 字符串 CA 服务器 IP CAServerIP 字符串 CA 服务器名 CAServerName 字符串 数据库连接字 符串 DatabaseConnStr ing 字符串 连接 LDAP 系统 ConnectToLDAP 布尔 YES/NO 属 性 说 明 连接 CA 系统 ConnectToCA 布尔 YES/NO 中文名 英文名 输入参数 输出参数 说明 系统设置 config 操 作 说 明 通用用户管理和权限控制系统 版本： 1.0 软件构架文档 日期： 2003/5/12 Confidential Page 30 of 50 6.3 设计与需求对应关系 6.3.1 设计功能类与功能需求对应关系 需求类别 需求标识 需求功能名称 对应设计类 1.1 组织机构设置 DepartmentManager、department 1.2 用户信息维护 UserManager、user 用 户 管 理 1.3 用户组信息维护 GroupManager、group、GroupMember 1.4 定义可访问资源对象 ResourceManager、 resource 1.5 定义权限 PermissionManager、permission 1.6 定义角色 RoleManager、role 权 限 管 理 1.7 授权 GrantManager、role_resource_permi ssion 1.8 用户登录系统 UserManager 1.9 对资源的访问控制 UserManager 访问 控制 1.10 记录用户访问日志 LogManager、AccessLog 2.1 用户查询 UserManager 2.2 对用户组查询 GroupManager 2.3 用户访问 日志查询 LogManager 2.4 组织机构查询 DepartmentManager 2.5 对角色查询 RoleManager 2.6 对资源对象的查询 ResourceManager 数 据 查 询 2.7 模糊查询 ComplexQueryMaker 31 系统设置管理 SystemConfig隐含需求 (未规定但 实现需要) 6.3.2 设计接口类与接口需求对应关系 需求类 型 接口需 求 标示 接口需求描述 对应设计接口类 1 登录验证功能访问接口 UserManage 2 资源访问验证功能访问接口 UserManage 3 用户口令修改功能访问接口 UserManage 4 口令找回功能接口 UserManage 5 日志记录功能访问接口 RecordLog 用户功能 需求 6 组管理功能访问接口 GroupManage 7 数据库连接管理 DatabaseConnectionControler隐含需求 (未规定 但 8 CA 系统连接管理 CASystemConnectionControler 通用用户管理和权限控制系统 版本： 1.0 软件构架文档 日期： 2003/5/12 Confidential Page 31 of 50 实现需要 9 LDAP 系统连接管理 LdapSystemConnectionControler 7. 组件视图 本系统共有主要组件 18 个，如下图 7.1 示，注意图中最下面一排是系统的外部调用接口，而不是 真正的系统组件。 ResourceManager UserManageMain UserManager RoleManager PermisionManager GrantManager LogManager LoginPage MainPage LogManagePage DbConectorResourceInfoPage UserInfoPage RoleManagePage PermisionManagePage GrantManagePage UserManage RecordLog DB_User SesionManager CASystemConector LDAPSystemConector SystemConfigGroupManage 图 7.1 通用用户管理和权限控制系统 版本： 1.0 软件构架文档 日期： 2003/5/12 Confidential Page 32 of 50 8. 部署视图 8.1 视图 由于本系统提供的功能的性质，属于应用系统的后台支持系统，本系统的部署情况与具体的业务 系统有区别，具体情况见下图 8.1： aplication system user management and aces control system CA authenticate system datbase server admin client LDAP system aplication interface LDAP Conector Datbase Conector CA system conectorbrowser 图中四个兰色边框的部件是系统与外部的接口，其中系统与应用系统（application system）之间的 接口（application interface）包括三个实际接口，它们是： 用户管理相关接口（UserManage）:提供对登录验证、资源访问权限验证、用户口令修改、用户口令找 回这四项功能的访问。 用户组管理接口（GroupManage）：提供对用户自定义组的增加删除、组成员的增加删除功能的访问。 日志功能接口（RecordLog）：提供对日志记录功能的访问。 图 8.1 通用用户管理和权限控制系统 版本： 1.0 软件构架文档 日期： 2003/5/12 Confidential Page 33 of 50 9. 数据视图 通用用户管理和权限控制系统 版本： 1.0 软件构架文档 日期： 2003/5/12 Confidential Page 34 of 50 10.交互视图 10.1 顺序视图 10.1.1 添加一类权限： add a permission 描述：系统管理员基本管理功能之一，具体过程如下： 1、 系统管理员首先输入权限定义信息到权限信息页面。 2、 系统管理员点击执行确认。 3、 权限信息页面发送添加指令和信息给权限管理者。 4、 权限管理者生成一个权限实例。 : administrator permision info page : PermisionInfoPage permision manager : PermisionManager permision : permisionset permision info ad permision new a permision proces 通用用户管理和权限控制系统 版本： 1.0 软件构架文档 日期： 2003/5/12 Confidential Page 35 of 50 10.1.2 添加一项资源： add a resource 描述：系统管理员基本管理功能之一，具体过程如下： 1、 系统管理员首先输入资源定义信息到资源信息页面。 2、系统管理员点击执行确认。 3、资源信息页面发送添加指令和信息给资源管理者。 4、资源管理者生成一个资源实例。 resource manager : ResourceManager : administrator resource : resourceresource info page : ResourceInfoPage new a resource set resource info ad resource proces 通用用户管理和权限控制系统 版本： 1.0 软件构架文档 日期： 2003/5/12 Confidential Page 36 of 50 10.1.3 添加一个角色： add a role 描述：系统管理员基本管理功能之一，具体过程如下： 1、 系统管理员首先输入角色定义信息到角色信息页面。 2、 系统管理员点击执行确认。 3、 角色信息页面发送添加指令和信息给角色管理者。 4、 角色管理者生成一个角色实例。 : administratorroles info page : RoleInfoPage role manager : RoleManager role : role set role info ad role proces new role 通用用户管理和权限控制系统 版本： 1.0 软件构架文档 日期： 2003/5/12 Confidential Page 37 of 50 10.1.4 添加一个用户： add a user 描述：系统管理员基本管理功能之一，具体过程如下： 1、 系统管理员首先输入用户定义信息到用户信息页面。 2、 系统管理员点击执行确认。 3、 用户信息页面发送添加指令和信息给用户管理者。 4、 用户管理者生成一个用户实例。 : administrator user manager : UserManager user : userUsers info page : UserInfoPage new user set users info proces ad user 通用用户管理和权限控制系统 版本： 1.0 软件构架文档 日期： 2003/5/12 Confidential Page 38 of 50 10.1.5 系统管理员登录： administrator login 描述：系统管理员登录系统与其他一般用户从应用系统登录一样接受验证。两者不同的是：系统管理员 从系统提供的登录页面登录、而其他用户从应用系统提供的登录页面登录。 1、 系统管理员从系统提供的登录页面访问登录验证接口并提交用户信息给登录验证接口。 2、 登录验证接口调用用户管理者的登录验证方法。 3、 用户管理者访问本系统用户信息并验证。 4、 用户管理者发送 CA 证书到 CA 系统并接受 CA 系统验证结果。 5、 用户管理者发送 LDAP 系统用户信息到 LDAP 系统并接受 LDAP 系统验证结果。 6、 用户管理者返回最终验证结果给登录验证接口并生成用户授权视图。 7、 登录验证接口返回验证结果给登录页面 8、 登录页面关闭自身并打开系统管理主页。 login authenticate interface : LoginCheck : administratorinternal login page : LoginPage user manger : UserManger user : user CA conector : CASystemonectionControler LDAP sytem : LdapSystemConectionSontrolermain page : MainPageinput login ifo create users grant view name and pas check CA certifcationlegal userlegal user LDAP users infolegal LDAP user login ifoinvoke authenticate function authenticate rsultlegal user close myself open this page 通用用户管理和权限控制系统 版本： 1.0 软件构架文档 日期： 2003/5/12 Confidential Page 39 of 50 10.1.6 将某资源的一项访问权限授权给某角色： grant a resources access permission to a role 描述：系统管理员基本管理功能之一，具体过程如下： 1、 授权页面发送查询请求给角色管理者 2、 角色管理者返回所有角色信息 3、 授权页面发送查询请求给资源管理者 4、 资源管理者返回所有资源信息 5、 授权页面发送查询请求给权限管理者 6、 权限管理者返回所有权限信息 7、 系统管理员选择角色 8、 系统管理员选择资源 9、 系统管理员选择权限 10、 系统管理员发送执行授权命令给授权页面 11、 授权页面发送添加授权指令和授权信息给授权管理者 12、 授权管理者增加授权 role manager : RoleManager : administrator grant page : GrantManagePage resource manager : ResourceManager grant manager : GrantManager grant table : role_resource_permisionpermision manager : PerisionManager selct permision ad grant new a grantproces sek al rolesroles infosek al resource al resource infosek al permision al permision infoselct role selct esource 通用用户管理和权限控制系统 版本： 1.0 软件构架文档 日期： 2003/5/12 Confidential Page 40 of 50 10.1.7 用户登录验证： login authenticate 描述：系统提供给应用系统的功能之一，具体过程如下： 1、 应用系统访问登录验证接口并提交用户信息给登录验证接口。 2、 登录验证接口调用用户管理者的登录验证方法。 3、 用户管理者访问本系统用户信息并验证。 4、 用户管理者发送 CA 证书到 CA 系统并接受 CA 系统验证结果。 5、 用户管理者发送 LDAP 系统用户信息到 LDAP 系统并接受 LDAP 系统验证结果。 6、 用户管理者返回最终验证结果给登录验证接口并生成用户授权视图。 7、 登录验证接口返回验证结果给应用系统。 : outer aplication system login interface : LoginCheck user manager : UserManager user : user CA system conector : CASystemConectionControler LDAP conector : LdapSystemConectionSontrolerlogin info invoke UserAuthenticate legal login name and pas query CA certification LDAP system users infolegal LDAP userlegal user user info create users grant view 通用用户管理和权限控制系统 版本： 1.0 软件构架文档 日期： 2003/5/12 Confidential Page 41 of 50 10.1.8 访问日志自动记录： record access log 描述：系统提供给应用系统的功能之一，应用系统在登录系统或访问资源的同时调用日志记录功能，具 体过程如下： 1、 应用系统访问日志记录功能接口并提交日志内容给日志记录功能接口。 2、 日志记录功能接口调用日志管理者日志记录方法。 3、 日志管理者生成新的日志并返回操作结果给日志记录功能接口。 4、 日志记录功能接口返回调用结果给应用系统。 log manager : LogManager : outer aplication system log : AcesLoglog interface : RecordLog new log log info invoke log function invoke result suces or fail 通用用户管理和权限控制系统 版本： 1.0 软件构架文档 日期： 2003/5/12 Confidential Page 42 of 50 10.1.9 资源访问验证