用户及资源权限管理设计优质文档.docx

1、用户及资源权限管理设计优质文档通用用户管理和权限控制系统软件设计文档版本 1.0 修订历史记录日期版本说明作者2003/5/121.0创建JavaOA项目组软件设计文档 1. 简介目的本文档将从构架和详细设计两方面对通用用户管理和权限控制系统进行综合概述，其中会使用多种不同的构架视图：用例视图、顺序图、协作图、类图、组件图等来描述系统的各个方面，以作为下步编码测试的重要依据。本文档的读者为：公司技术负责人、用户代表、项目经理、设计员、程序员、测试员、评审组成员。范围 本文档将在通用用户管理和权限控制系统的设计和构建阶段适用，对它的修改将直接影响系统的编码测试和系统构建。 本文档作为通用用户管理

2、和权限控制系统开发过程中设计阶段的输出工件，既从系统整体的架构设计的角度做决定，又包括系统的详细设计。定义、首字母缩写词和缩略语参考资料资料名称作者译者出版社出版时间书号通用用户管理和权限控制系统项目开发计划Java OA2项目组无无2003年4月通用用户管理和权限控制系统需求规格说明书Java OA2项目组无无2003年5月概述本文档将从十一个方面对通用用户管理和权限控制系统做出设计规定：简介、构架表示方式、构架目标和约束、用例视图、逻辑视图、组件视图、部署视图、数据视图、交互图、质量。2. 构架表示方式通用用户管理和权限控制系统将采用当前流行的J2EE架构体系来设计构建，系统构架采用遵照U

3、ML标准的面向对象建模工具RATIONAL ROSE来表示，将从用例视图、逻辑视图、组件视图、部署视图这几个不同角度来展示系统。用例视图：描述系统的功能（use cases）、外部环境（actors）、use case 和 actors之间的关系（use case diagram）。逻辑视图：主要包括交互图（interaction diagram）、类图（class diagram）。交互图又分时序图（sequence diagram）和协作图（collaboration diagram）. 时序图按时间显示信息流；协作图显示对象间的关系和消息；类图显示系统的包和类，显示系统组件及其相互间关系

4、。在架构设计阶段，最有用的是类图，在本系统架构设计文档中，我们也只列出系统类图。组件视图：描述系统的实际结构，展示系统组件如何构成代码库并显示组件间的关系（依赖性关系）。部署视图：描述各组件在物理上的位置关系，展示系统运行时软硬件的实际部署情况。3. 构架目标和约束根据通用用户管理和权限控制系统需求规格说明书的规定，本系统在架构方面有一定的目标和约束条件。约束必须基于JAVA架构体系目标本系统构架将实现如下目标： 重用：为了避免重复劳动，为了降低成本，我们希望能够在以后的开发中重用本系统的代码和设计。 透明：为了提高效率，我们将把实现的细节隐藏起来，仅把客户最终需求或二次开发需求的接口呈现给客

5、户或二次开发者。这样，具体的实现对客户和二次开发者来说就是透明的。 延展：由于需求的易变性。我们需要架构具有一定的延展性，以适应未来可能的变化。但是，延展性和稳定性，延展性和简单性都是矛盾的。因此我们需要权衡我们的投入/产出比。以设计出具有适当和延展性的架构。 简明：一个复杂的架构不论是测试还是维护都是困难的。我们希望架构能够在满足目的的情况下尽可能的简单明了。 高效：作为要嵌入办公自动化系统中的重要子系统，我们的用户管理和访问控制系统的架构必须是高效的。 安全：安全是架构的一个很重要的方面。4. 构架机制分析机制对在分析中使用到的分析机制进行阐述分析机制描述持久性机制需要保存下来以备下次重新

6、使用的一种机制错误报告机制需要对程序运行时发生的错误需要进行某种方式让用户知道的机制安全性机制需要用一种方法保证非授权者不能使用或查看到信息的一种机制分析机制-设计机制-实现机制映射分析机制设计机制实现机制持久性机制带删除标记的文件保存机制带删除标记的Java序列化机制数据保存机制数据库机制错误报告机制窗口弹出错误信息机制Java的错误报告机制安全性机制操作日志机制系统自动记录所有操作登录机制登录机制5. 用例视图视图系统用例视图如图5.1，要说明的是考虑视图的篇幅，图中用例之间的关系都没有标明类型，它们都应该为包含关系。图5.1用例(use case) 根据上节视图，本系统共12个关键用例：

7、组织机构管理（department admin）资源管理（resource admin）角色管理（role admin）权限管理（permission admin）授权管理（grant resources permission to role）用户管理（user admin）日志管理（log admin）日志查询（query log）登录控制（login control）访问控制（access control）日志记录（record log）口令修改（passwd change）操作员（actor）本系统共两类操作员：系统管理员和外部应用系统。系统管理员利用系统提供的管理界面操作系统管理相关用

8、例，主要是：组织机构管理、资源管理、角色管理、权限管理、授权管理、用户管理、日志管理、日志查询。同时，系统管理员的一切行为也需要通过系统的访问控制，也就是说这些管理用例要使用访问控制相关的后台用例：登录控制、访问控制、日志记录、口令修改。外部应用系统通过本系统提供的统一接口调用系统的访问控制相关用例：登录控制、访问控制、日志记录、口令修改。6. 类包图概述本系统可分为五个部分（如下图：6.1）：接口、基础管理、日志记录、访问控制、底层支持。接口：包括为系统管理员提供的系统管理用户界面和为外部应用系统提供的调用接口。基础管理：包括完成系统基础的管理功能（用户管理、资源管理、角色管理、权限管理、授

9、权管理、用户管理、日志管理、日志查询）的所有类。日志记录：包括完成自动日志记录功能的类。访问控制：包括实现统一登录验证、访问权限验证、会话管理的所有类。底层支持：包括实现数据库连接或其它系统连接的所有类。图6.1在构架方面具有重要意义的设计包接口（interface）系统主要包括12个接口，其中8个用户界面,四个外部调用接口：登录页面（LoginPage）主页（MainPage）资源管理页面（ResourceInfoPage）权限管理页面（PermissionInfoPage）角色管理页面（RoleInfoPage）角色授权页面（GrantManagePage）用户管理页面（UserInfoP

10、age）日志管理页面（LogManagePage）登录验证接口（LoginCheck）资源访问验证接口（ResourceAccessCheck）记录日志功能接口（RecordLog）口令修改接口（PasswdChange）图6.2基础管理（BasicManage）图63 组织机构类（department）整体说明中文类名：组织机构类英文类名：department描述：记录组织机构信息一般类：无主动性：NO其它：属性说明中文名英文名数据类型数据约束说明机构编码id字符串12位编码规则：机构分级，每3位一级，如001表示是一级机构；001002表示001机构下属的002机构；如此类推。机构全称de

11、scription字符串50机构简称ShortName字符串20操作说明中文名英文名输入参数输出参数说明组织机构管理类整体说明中文类名：组织机构管理类英文类名：DepartmentManager描述：实现组织机构信息的增加、修改、删除、显示、查询一般类：无主动性：YES其它：属性说明中文名英文名数据类型数据约束说明操作说明中文名英文名输入参数输出参数说明增加部门AddDepartment修改部门ModifyDepartmrntDepartmentId删除部门DeleteDepartmentDepartmentId显示部门信息ShowDepartmentDepartmentIdDepartmen

12、t信息表格搜索部门信息SeekDepartmentDepartmentIdDepartment对象用户管理类（UserManager）整体说明中文类名：用户管理类英文类名：UserManager描述：管理用户信息，用户管理相关的所有操作都由它完成。一般类：无主动性：YES其它：属性说明中文名英文名数据类型数据约束说明操作说明中文名英文名输入参数输出参数说明口令修改UserPasswdChange旧口令，新口令加密口令UserPasswdEncrypt口令字符串加密串解密口令UserPasswdDecrypt加密字符串解密后的口令找回口令UserPasswdFind口令提示问题、问题答案解密后的

13、口令增加用户AddUser用户信息修改用户信息ModifyUserInfo用户名、修改信息删除用户DeleteUser用户名显示用户信息ShowUserInfo用户名用户登录验证UserAuthenticate用户名、口令是否合法用户包括本系统、CA系统、LDAP系统的验证查询用户信息SeekUserInfo用户名资源访问权限验证AccessAuthenticate用户名、资源编码、权限编码是否有该资源的此种权限生成用户授权视图CreateGrantView用户名生成某用户完整的用户授权信息视图，仅在当前会话有效期存在用户类（user）整体说明中文类名：用户类英文类名：user描述： 记录用户

14、基本信息一般类：无主动性：NO其它：属性说明中文名英文名数据类型数据约束说明用户名name字符串口令passwd字符串提示问题PasswdPromptQuestion字符串问题答案PasswdQuestionResult字符串部门号department字符串真实姓名RealName字符串LDAP用户名LDAPUserName字符串LDAP口令LDAPUserPasswd字符串CA证书路径CACertifyPath字符串操作说明中文名英文名输入参数输出参数说明角色管理类（RoleManager）整体说明中文类名：角色管理类英文类名：RoleManager描述： 一般类：无主动性：YES其它：属性

15、说明中文名英文名数据类型数据约束说明操作说明中文名英文名输入参数输出参数说明增加角色AddRole角色信息修改角色信息Modifyrole角色编码、修改信息删除角色DeleteRole角色编码显示角色信息ShowRoleInfo角色编码查询角色信息SeekRole角色编码角色类（role）整体说明中文类名：角色类英文类名：role描述： 记录角色定义信息一般类：无主动性：NO其它：属性说明中文名英文名数据类型数据约束说明角色编码id字符串角色描述description字符串角色名称ShortName字符串操作说明中文名英文名输入参数输出参数说明资源管理类（ResourceManager）整体说

16、明中文类名：资源管理类英文类名：ResourceManager描述： 一般类：无主动性：YES其它：属性说明中文名英文名数据类型数据约束说明操作说明中文名英文名输入参数输出参数说明增加资源AddResource资源信息修改资源信息ModifyResource资源编码、修改信息删除资源DeleteResource资源编码显示资源信息ShowResourceInfo资源编码查询资源信息SeekResource资源编码资源类（Resource）整体说明中文类名：资源类英文类名：Resource描述： 一般类：无主动性：NO其它：属性说明中文名英文名数据类型数据约束说明资源编码id字符串编码规则：资源

17、分级，每3位一级，如001表示是一级资源；001002表示001资源下属的002资源；如此类推。资源描述description字符串资源名称ShortName字符串资源URLURL字符串由此定位资源操作说明中文名英文名输入参数输出参数说明权限管理类（PermissionManager）整体说明中文类名：权限管理类英文类名：PermissionManager描述： 一般类：无主动性：YES其它：属性说明中文名英文名数据类型数据约束说明操作说明中文名英文名输入参数输出参数说明增加权限AddPermission权限信息修改权限信息ModifyPermission权限编码、修改信息删除权限Delete

18、Permission权限编码显示权限信息ShowPermissionInfo权限编码查询权限信息SeekPermission权限编码权限类（permission）整体说明中文类名：权限类英文类名：permission描述： 一般类：无主动性：NO其它：属性说明中文名英文名数据类型数据约束说明权限编码id字符串权限描述description字符串操作说明中文名英文名输入参数输出参数说明用户组管理类整体说明中文类名：用户组管理类英文类名：GroupManager描述： 一般类：无主动性：NO其它：属性说明中文名英文名数据类型数据约束说明操作说明中文名英文名输入参数输出参数说明添加用户组AddGro

19、up删除用户组DeleteGroup该组成员同时删除添加组成员AddGroupMember删除组成员DeleteGroupMember用户组类（group）整体说明中文类名：用户组类英文类名：group描述： 一般类：无主动性：NO其它：属性说明中文名英文名数据类型数据约束说明组编码id字符串组描述description字符串组类型public布尔型Yes/no公共组:yes,个人自定义组:no所有者owner字符串公共组则无操作说明中文名英文名输入参数输出参数说明授权管理类（GrantManager） 整体说明中文类名：授权管理类英文类名：GrantManager描述：实现将资源的访问权限授

20、予用户角色、角色授予用户或用户组的功能一般类：无主动性：YES其它：属性说明中文名英文名数据类型数据约束说明操作说明中文名英文名输入参数输出参数说明增加角色授权AddRoleGrant对角色的资源访问权限的管理修改角色授权ModifyRoleGrant删除角色授权DeleteRoleGrant用户角色授予AddUserGrant对用户拥有的角色的管理删除角色授予DeleteUserGrant用户角色类（user_role）整体说明中文类名：用户角色类英文类名：user_role描述： 一般类：无主动性：NO其它：属性说明中文名英文名数据类型数据约束说明用户名name角色编码RoleId操作说明

21、中文名英文名输入参数输出参数说明用户组成员类（UserGroupMember）整体说明中文类名：用户组成员类英文类名：UserGroupMember描述： 一般类：无主动性：NO其它：属性说明中文名英文名数据类型数据约束说明组编码GroupId字符串成员名name字符串操作说明中文名英文名输入参数输出参数说明角色资源权限类（role_resource_permission）整体说明中文类名：角色资源权限类英文类名：role_resource_permission描述： 一般类：无主动性：NO其它：属性说明中文名英文名数据类型数据约束说明角色编码RoleId字符串资源编码ResourceId字符

22、串权限编码PermissionId字符串操作说明中文名英文名输入参数输出参数说明访问控制（AccessControl）图64 会话控制类（SessinControler）整体说明中文类名：会话控制类英文类名：SessinControler描述：实现按预先定义的规则对所有用户会话进行管理一般类：无主动性：YES其它：属性说明中文名英文名数据类型数据约束说明时间设置值TimeOutValue数字会话过期时间操作说明中文名英文名输入参数输出参数说明会话过期TimeOut会话过期，终止用户会话日志记录（LogRec）图65 日志类（log）整体说明中文类名：日志类英文类名：log描述： 一般类：无主动

23、性：NO其它：属性说明中文名英文名数据类型数据约束说明用户名name字符串资源访问AccessType布尔YES/NO登录：NO；资源访问：YES访问时间Timedate访问资源ResourceId字符串登录日志则无权限类型PermissionId字符串登录日志则无关键字KeyWord字符串登录日志则无机器地址IP字符串操作说明中文名英文名输入参数输出参数说明日志管理类（LogManager）整体说明中文类名：日志管理类英文类名：LogManager描述：完成日志归档、删除、恢复、查询等日志记录信息管理及自动记录操作日志的功能一般类：无主动性：YES其它：属性说明中文名英文名数据类型数据约束说明