統(tǒng)一用戶及權(quán)限管理

1、文件編號(hào):統(tǒng)一用戶及權(quán)限管理平臺(tái)解決方案及設(shè)計(jì)報(bào)告版本號(hào)0.9擬制人王應(yīng)喜日期2006年6月審核人 日期批準(zhǔn)人 日期目錄弟一早引言1.1 編寫目的1.3 定義1.4 參考資料第二章統(tǒng)一權(quán)限管理解決方案2.1 需求分析2.2 系統(tǒng)架構(gòu)2.3 系統(tǒng)技術(shù)路線第三章統(tǒng)一用戶及授權(quán)管理系統(tǒng)設(shè)計(jì)3.1 組織機(jī)才管理3.2 用戶管理3.3 應(yīng)用系統(tǒng)管理、應(yīng)用系統(tǒng)權(quán)限配置管理 3.4 角色管理3.5 角色權(quán)限分配3.6 用戶權(quán)限（角色）分配3.7 用戶登錄日志管理功第四章 對(duì)外接口設(shè)計(jì)4.1 概述42 接口詳細(xì)描述4.2.1 獲取用戶完整信息 4.2.2 獲取用戶擁有的功能模塊的完整信息 4.2.3 獲取用戶

2、擁有的一級(jí)功能模塊 4.2.4 獲取用戶擁有的某一一級(jí)功能模塊下的所有子功能模塊 4.2.5 獲取用戶擁有的某一末級(jí)功能模塊的操作列表 4.2.6 判斷用戶是否擁有的某一末級(jí)功能模塊的某一操作權(quán)限 4.2.7 獲取某一功能模塊的 ACL 尚需進(jìn)一步研究 4.2.8 獲取某一模塊的數(shù)據(jù)級(jí)權(quán)限規(guī)劃規(guī)則一尚需進(jìn)一步研究 1 引言1.1 編寫目的編寫此文的目的從總體上描述企業(yè)統(tǒng)一用戶及授權(quán)管理的解決方案以及統(tǒng)一用戶及授權(quán)管理系統(tǒng)的功能設(shè)計(jì)、對(duì)外接口設(shè)計(jì)、數(shù)據(jù)庫(kù)設(shè)計(jì)，并為下一階段的詳細(xì)設(shè)計(jì)以及系統(tǒng)編碼、測(cè)試提供依據(jù)。本文檔讀者對(duì)象：用戶、項(xiàng)目經(jīng)理、系統(tǒng)分析員、軟件文檔管理員、質(zhì)量管理人員，軟件開(kāi)發(fā)人員、

3、軟件測(cè)試人員等。此文檔和附加參考資料作為系統(tǒng)進(jìn)行設(shè)計(jì)與測(cè)試的基礎(chǔ)性文檔。1.2 背景隨著信息化的發(fā)展，企業(yè)的應(yīng)用不斷的增加，而企業(yè)的應(yīng)用行使多樣化，既有傳統(tǒng)的C/S 模式應(yīng)用，又有基于internet 的 B/S 應(yīng)用；既有基于Windows 平臺(tái)的 .net 應(yīng)用，又有基于 J2ee 架構(gòu)的應(yīng)用。企業(yè)在進(jìn)行信息化建設(shè)過(guò)程中，在沒(méi)有實(shí)現(xiàn)同以用戶及授權(quán)管理之前，各個(gè)系統(tǒng)的用戶獨(dú)立，且用戶授權(quán)不能集中管理，這給企業(yè)信息化的系統(tǒng)管理員和操作用戶帶來(lái)很多不便。鑒于此，本文提出基于統(tǒng)一用戶及授權(quán)管理解決方案。1.3 定義列出本文件中用到的專門術(shù)語(yǔ)的定義和外文首字母組詞的原詞組。1、 SSO： Singl

4、e Sign On ，單點(diǎn)登錄1.4 參考資料2 統(tǒng)一用戶及權(quán)限管理平臺(tái)解決方案2.1 需求分析統(tǒng)一用戶權(quán)限管理主要解決的問(wèn)題：1 、 提供用戶注冊(cè)用戶通過(guò)網(wǎng)上注冊(cè)。2 、 提供統(tǒng)一的用戶管理和授權(quán)管理（應(yīng)用程序）權(quán)限控制， 只實(shí)現(xiàn)功能權(quán)限控制， 而不實(shí)現(xiàn)數(shù)據(jù)（范圍 ）權(quán)限控制 ， 主要由于各個(gè)業(yè)務(wù)的數(shù)據(jù)訪問(wèn)規(guī)則很難歸納為標(biāo)準(zhǔn)的訪問(wèn)規(guī)則。而功能從權(quán)限的控制包括：不做權(quán)限控制的功能，即不登陸就可操作，如：對(duì)外新聞、公告查詢公共功能：用戶只要登陸就可操作的功能，如：內(nèi)部新聞、內(nèi)部公告查詢需權(quán)控制的功能：只有當(dāng)用戶擁有該功能的權(quán)限才能操作的功能3 、 提供統(tǒng)一的用戶及權(quán)限認(rèn)證接口提供的統(tǒng)一的用戶及權(quán)

5、限認(rèn)證接口同時(shí)滿足C/S 和 B/S 應(yīng)用的用戶認(rèn)證和權(quán)限控制的需求；且對(duì)于 B/S 應(yīng)用，既滿足基于 windows 平臺(tái)的 .net 應(yīng)用，也滿足與基于 J2ee 架構(gòu)的應(yīng)用。4 、 提供統(tǒng)一的數(shù)據(jù)訪問(wèn)接口統(tǒng)一用戶及權(quán)限管理平臺(tái)提供各類數(shù)據(jù)訪問(wèn)接口，如：獲取操作人員的信息、獲取機(jī)構(gòu)信息、獲取系統(tǒng)功能信息等。5 、 系統(tǒng)具有較好的擴(kuò)展性和靈活性組織機(jī)構(gòu)、用戶的屬性要求可以進(jìn)行適當(dāng)?shù)脑黾?，以滿足各個(gè)不同企業(yè)的統(tǒng)一權(quán)限管理的需要。統(tǒng)一權(quán)限管理，既滿足與單個(gè)應(yīng)用授權(quán)，也滿足所有應(yīng)用集中授權(quán)。統(tǒng)一權(quán)限管理既滿足一個(gè)機(jī)構(gòu)集中授權(quán)，也滿足多機(jī)構(gòu)逐級(jí)受權(quán)。在統(tǒng)一授權(quán)管理中，每個(gè)應(yīng)用權(quán)限控制的粒度不一致，有

6、的應(yīng)用或模塊控制得較粗，有的控制得較精確，如：對(duì)于數(shù)據(jù)的維護(hù)只是一個(gè)“數(shù)據(jù)維護(hù)”權(quán)限粗的控制， 也可以控制到“數(shù)據(jù)新增”、“數(shù)據(jù)修改”和“數(shù)據(jù)刪除”權(quán)限的精確控制上。/以下由沈偉補(bǔ)充6、系統(tǒng)的單點(diǎn)登錄（包括跨系統(tǒng)的應(yīng)用調(diào)用）7、權(quán)限模型配置（包括模塊與部分可通用的數(shù)據(jù)權(quán)限；數(shù)據(jù)權(quán)限做到什么程度需思 考）。對(duì)于第2點(diǎn)中細(xì)節(jié)描述部分，則形成需建成獨(dú)立服務(wù)模式，而非源程序加載模式 此需求需討論。建議：對(duì) SSO項(xiàng)目進(jìn)行繼承。2.2 系統(tǒng)架構(gòu)如圖所示，統(tǒng)一用戶及權(quán)限管理平冷廨|初能由四部分組成:1、O的嘉舞系統(tǒng)應(yīng)急指揮系統(tǒng)。郵件系統(tǒng)用戶注冊(cè)系統(tǒng)提供用戶網(wǎng)上注冊(cè)。認(rèn)證？服務(wù)接2、統(tǒng)一用戶及授權(quán)管理系用系

7、桀 巾、，一工療統(tǒng)一用尸、授權(quán)管理系統(tǒng)該系統(tǒng)主要由的系價(jià)管人員使用 創(chuàng)織機(jī) 用尸 應(yīng)用系織機(jī)應(yīng)用系權(quán)限認(rèn)證接口組織機(jī)構(gòu)管理、I用戶管理、理、應(yīng)用系統(tǒng)7以限（功能、泗置管理、數(shù)據(jù)訪問(wèn)接口角色管理、角功侏。3、IK丁權(quán)限認(rèn)證接口、數(shù)據(jù)訪間按認(rèn)證中心數(shù)據(jù)組織機(jī)構(gòu)信息、用戶信息、應(yīng)用系統(tǒng)信息、應(yīng)用系統(tǒng)權(quán)限 （功能）配置信息、角色同過(guò)調(diào)用身份認(rèn)證接口實(shí)現(xiàn)用戶身份認(rèn)證；調(diào)用實(shí)現(xiàn)對(duì)用戶權(quán)限認(rèn)證；通過(guò)調(diào)用數(shù)據(jù)接口讀取如用戶信息、組織機(jī)構(gòu)信息等數(shù)據(jù)。4、認(rèn)證中心數(shù)據(jù)庫(kù)認(rèn)證中心數(shù)數(shù)據(jù)庫(kù)負(fù)責(zé)存儲(chǔ)統(tǒng)一用戶及權(quán)限管理的數(shù)據(jù)。2.2.1 統(tǒng)一用戶、權(quán)限管理數(shù)據(jù)流程圖認(rèn)證中統(tǒng)一用戶、授權(quán)管理圖:數(shù)加流：其匕系>從以上

8、圖中可知,進(jìn)行統(tǒng)J用戶、一授權(quán)管理時(shí),二方面對(duì)認(rèn)證中心的用戶信息、IBM Websph權(quán)限分配數(shù)據(jù)進(jìn)行維護(hù)，另一方面，根據(jù)需要，可以對(duì)門戶系統(tǒng)(如Liferay Portalere Portal)中的相關(guān)的用戶、權(quán)限分配信息進(jìn)行同步更新，以及對(duì)郵件系統(tǒng)中的郵件帳戶信息進(jìn)行同步更新，以及對(duì)其它系統(tǒng)的認(rèn)證信息進(jìn)行同步更新通過(guò)以上方案，既滿足了統(tǒng)一用戶和授權(quán)管理，同時(shí)，又解決了門戶系統(tǒng)、郵件 系統(tǒng)等的用戶管理、授權(quán)和認(rèn)證問(wèn)題。避開(kāi)了去了解甚至重新構(gòu)造門戶系統(tǒng)、郵件系 統(tǒng)等中的用戶認(rèn)證、權(quán)限認(rèn)證問(wèn)題。2.2.2 新建應(yīng)用、門戶的身份認(rèn)證、權(quán)限認(rèn)證機(jī)制門戶權(quán)限的認(rèn)證由門戶月區(qū)需明甌底證服務(wù)完成。新的應(yīng)用

9、系統(tǒng)建設(shè)，叩戶、曲艮是基J統(tǒng)一的用戶、權(quán)限管理平臺(tái)建設(shè)，用 門戶單點(diǎn)登戶身份認(rèn)證、權(quán)限認(rèn)"由我們叫血勺統(tǒng)，用戶權(quán)心理的認(rèn)證吟完成。 認(rèn)證中心用戶認(rèn)證接2.2.3老的應(yīng)用系統(tǒng)的認(rèn)證機(jī)制老的應(yīng)用系統(tǒng)的用戶認(rèn)證、權(quán)限認(rèn)證仍然由老系統(tǒng)完成。若老的應(yīng)用系統(tǒng)整合到門戶,首先通過(guò)門戶認(rèn)證，然后再通過(guò)老的系統(tǒng)的用戶、權(quán)限認(rèn)證。具體如下：認(rèn)證中心統(tǒng)一用戶認(rèn)證接口認(rèn)證中心與老從門戶應(yīng)用請(qǐng)求系統(tǒng)認(rèn)證該系統(tǒng)采用jsp+struts+hibernateTOMCAT 。提供給應(yīng)用系統(tǒng)的接口以2方法采用一般的javabean 實(shí)現(xiàn)。數(shù)據(jù)庫(kù) 在本方案中，數(shù)據(jù)庫(kù)系統(tǒng)采用 mysql數(shù)據(jù)庫(kù)3用戶注冊(cè)系統(tǒng)設(shè)計(jì)此部分主要是

10、想用戶網(wǎng)上注冊(cè)功能。4 統(tǒng)一用戶及授權(quán)管理系統(tǒng)設(shè)計(jì)統(tǒng)一用戶及授權(quán)管理系統(tǒng)主要實(shí)現(xiàn)的功能包括：組織機(jī)構(gòu)及用戶管理應(yīng)用系統(tǒng)及功能管理角色管理角色權(quán)限分配用戶權(quán)限分配用戶登錄日志管理系統(tǒng)主界面如下：4.1 組織機(jī)構(gòu)及用戶管理1 、 功能描述采用樹(shù)形結(jié)構(gòu)對(duì)機(jī)構(gòu)及人員進(jìn)行維護(hù)管理。具體包括：1） 機(jī)構(gòu)的維護(hù)機(jī)構(gòu)新增機(jī)構(gòu)刪除機(jī)構(gòu)修改2） 人員的維護(hù)人員新增人員刪除人員修改人員口令修改注冊(cè)用戶審查 帳戶開(kāi)通 / 停止3） 用戶授權(quán)用戶角色授權(quán)4） 用戶權(quán)限查詢用戶擁有的角色查詢用戶擁有的權(quán)限查詢2 、 界面樣式4.2 角色管理對(duì)角色的維護(hù)管理，包括角色的新增、修改、刪除。4.3 角色權(quán)限分配4.4 用戶權(quán)限

11、（角色）分配4.5 登錄（在線）用戶管理提供在線用戶查詢和注銷在線用戶功能。4.6 輔助功能4.6.1 系統(tǒng)操作管理實(shí)現(xiàn)操作日志的查詢和導(dǎo)出。4.6.2 用戶登錄日志管理實(shí)現(xiàn)對(duì)用戶歷史登錄日志的查詢和導(dǎo)出。4.6.3 系統(tǒng)代碼表管理代碼類別維護(hù)代碼維護(hù)4.7 應(yīng)用系統(tǒng)及功能管理此部分功能一般只提供給開(kāi)發(fā)應(yīng)用開(kāi)發(fā)上維護(hù)。主要實(shí)現(xiàn)應(yīng)用系統(tǒng)目錄維護(hù)和系統(tǒng)功能維護(hù)。5 認(rèn)證與服務(wù)接口設(shè)計(jì)5.1 概述企業(yè)的信息化建設(shè)通常是要建設(shè)多個(gè)應(yīng)用系統(tǒng)，多個(gè)應(yīng)用系統(tǒng)共用一套組織機(jī)構(gòu)及權(quán)限管理子系統(tǒng)。組織機(jī)構(gòu)中包括不同業(yè)務(wù)部門、不同行政級(jí)別的人員，不僅組織機(jī)構(gòu)非常龐大，并且各個(gè)組織單元之間的關(guān)系錯(cuò)綜復(fù)雜。為方便組織機(jī)

12、構(gòu)管理工作和授權(quán)管理工作的順利進(jìn)行，在組織機(jī)構(gòu)及權(quán)限管理部分實(shí)行“逐級(jí)授權(quán)”的策略，將組織機(jī)構(gòu)及權(quán)限管理子系統(tǒng)建設(shè)成為一個(gè)獨(dú)立的 Web 應(yīng)用，各個(gè)行政級(jí)別的系統(tǒng)系統(tǒng)管理員都可以登錄到Web 服務(wù)器上，進(jìn)行組織機(jī)構(gòu)和權(quán)限的管理和維護(hù)工作。由于這是一個(gè)多應(yīng)用系統(tǒng)， 各個(gè)業(yè)務(wù)系統(tǒng)對(duì)權(quán)限分配的結(jié)果都有各自不同的展現(xiàn)方式，為使各個(gè)應(yīng)用系統(tǒng)能夠?qū)⒔M織機(jī)構(gòu)管理和權(quán)限分配的結(jié)果實(shí)實(shí)在在的應(yīng)用到各個(gè)業(yè)務(wù)系統(tǒng)中，組織機(jī)構(gòu)及權(quán)限管理子系統(tǒng)向各個(gè)業(yè)務(wù)系統(tǒng)提供了統(tǒng)一的應(yīng)用程序接口。接口以WEBSERVICE 形式提供，為方便各個(gè)業(yè)務(wù)系統(tǒng)操作，接口的返回值以XML格式為主。各個(gè)業(yè)務(wù)系統(tǒng)根據(jù)權(quán)限管理子系統(tǒng)的返回值可以自行

13、決定如何展現(xiàn)權(quán)限分配的結(jié)果5.2 接口詳細(xì)描述統(tǒng)一用戶及權(quán)限管理平臺(tái)以 WEBSERVICE 形式提供對(duì)外接口，返回信息以XML形式提供，接口如下：5.2.1 判斷用戶是否合法類名稱OrgManager函數(shù)名稱功能描述：根據(jù)用戶登錄名、口令判斷用戶是否為合法用戶調(diào)用語(yǔ)法：參數(shù)描述：參數(shù)標(biāo)識(shí)參數(shù)名稱數(shù)據(jù)類型輸入/輸出userID用戶ID號(hào)String輸入返回值說(shuō)明：備注：5.2.2 用戶注銷類名稱OrgManager函數(shù)名稱功能描述：根據(jù)用戶登錄名注銷登錄用戶調(diào)用語(yǔ)法：參數(shù)描述：參數(shù)標(biāo)識(shí)參數(shù)名稱數(shù)據(jù)類型輸入/輸出userID 用戶ID號(hào) String輸入返回值說(shuō)明：備注：5.2.3 用戶修改密碼

14、類名稱OrgManager函數(shù)名稱功能描述：用戶修登錄名注銷登錄用戶調(diào)用語(yǔ)法：參數(shù)描述：參數(shù)標(biāo)識(shí)參數(shù)名稱數(shù)據(jù)類型輸入/輸出userID用戶ID號(hào)String輸入返回值說(shuō)明：備注：5.2.4 獲取用戶登錄信息類名稱OrgManager函數(shù)名稱功能描述：根據(jù)用戶登錄名或用戶ID號(hào)獲取用戶登錄信息調(diào)用語(yǔ)法：參數(shù)描述：參數(shù)標(biāo)識(shí)參數(shù)名稱數(shù)據(jù)類型輸入/輸出userID用戶ID號(hào)String輸入返回值說(shuō)明：備注：5.2.5 獲取組織機(jī)構(gòu)信息類名稱 OrgManager函數(shù)名稱功能描述：根據(jù)用戶登錄名或用戶ID號(hào)獲取用戶登錄信息調(diào)用語(yǔ)法：參數(shù)描述：userID參數(shù)標(biāo)識(shí)參數(shù)名稱數(shù)據(jù)類型 輸入/輸出輸入用戶ID號(hào)

15、 String返回信說(shuō)明:備注：5.2.6 獲取用戶完整信息類名稱OrgManager函數(shù)名稱getUserInfo功能描述：根據(jù)用戶ID號(hào)獲取用戶完整信息調(diào)用語(yǔ)法：String getUserInfo (String userID) throws AppException,RemoteException參數(shù)描述：參數(shù)標(biāo)識(shí)參數(shù)名稱數(shù)據(jù)類型輸入/輸出userID用戶 ID 號(hào)String輸入返回值說(shuō)明：存在相應(yīng)的結(jié)果信息時(shí)，返回值格式如下：<?xml version="1.0" encoding="GBK"?><org><pe

16、rson id="xxxx"> <-人員標(biāo)識(shí)-><name>xxxx</name<-用戶姓名-><admin_level>xxxx</admin_level> <-管理級(jí)另 ->< ownerd_unit >xxxx</ ownerd_unit ><-設(shè)立機(jī)構(gòu)-><department>xxxx</department> <-部門-><district>xxxx</district> <-行

17、政區(qū)劃-><telephone>xxxx</telephone> <-辦公電話-><email>xxxx</email><usb_state>xxxx</usb_state><-USB 發(fā)放狀態(tài)-></person></org>沒(méi)有相應(yīng)的結(jié)果信息時(shí)返回空字符串" ”。備注：5.2.7 獲取用戶擁有的功能模塊的完整信息類名稱PrivilegeManager函數(shù)名稱getModulesOfUser功能描述：根據(jù)用戶ID號(hào)獲取用戶擁有的功能模塊的完整信息調(diào)用語(yǔ)法：S

18、tring getModulesOfUser (String userID) throws AppException,RemoteException參數(shù)描述：參數(shù)標(biāo)識(shí)參數(shù)名稱數(shù)據(jù)類型輸入/輸出userID用戶ID號(hào)String輸入返回化存在相應(yīng)的結(jié)果信息時(shí)，返回值格式如下：<?xml version="1.0" encoding="GBK"?><privilege><application id="xxxx" name="xxxx"><-應(yīng)用。返回值中包含 1 個(gè)以上應(yīng)用-

19、><menu id="xxxx" name="name" title="xxxx"> <-枝干菜單-><menu id="xxxx" name="name" title="xxxx"> <-枝干菜單可以嵌套-><itemid="xxxx"name="name"title="xxxx"location="xxxx"/><item

20、id="xxxx"name="name"title="xxxx"location="xxxx"/><-一個(gè)枝干菜單下包含1個(gè)以上葉子菜單項(xiàng)-></menu></menu><menu id="xxxx" name="name" title="xxxx"><item id="xxxx" name="name" title="xxxx" loc

21、ation="xxxx"/></menu><-一個(gè)應(yīng)用下包含1個(gè)以上枝干菜單-></application ><application id="xxxx" name="xxxx"><menu id="xxxx" name="name" title="xxxx"><menu id="xxxx" name="name" title="xxxx">

22、;<item id="xxxx" name="name" title="xxxx"location="xxxx"/></menu></menu></application ></privilege >沒(méi)有相應(yīng)的結(jié)果信息時(shí)返回空字符串備注:5.2.8 獲取用戶擁有的一級(jí)功能模塊類名稱PrivilegeManager函數(shù)名稱getRootModulesOfUser (String userID)功能描述：根據(jù)用戶ID號(hào)獲取用戶擁有的一級(jí)功能模塊調(diào)用語(yǔ)法：Str

23、ing getRootModulesOfUser (String userID)throws AppException,RemoteException參數(shù)描述：參數(shù)標(biāo)識(shí)參數(shù)名稱數(shù)據(jù)類型輸入/輸出userID用戶ID號(hào)String輸入返回化存在相應(yīng)的結(jié)果信息時(shí)，返回值格式如下：<?xml version="1.0" encoding="GBK"?><privilege><application id="xxxx" name= " xxxx ” ><menu id=" xxxx

24、" name="name" title= " xxxx” /></application ><application id="xxxx" name= " xxxx ” ><menu id=" xxxx" name="name" title= " xxxx” /></application ><-應(yīng)用。返回值中包含1個(gè)以上應(yīng)用-></privilege >沒(méi)有相應(yīng)的結(jié)果信息時(shí)返回空字符串備注：5.2.

25、9 獲取用戶擁有的某一一級(jí)功能模塊下的所有子功能模塊類名稱PrivilegeManager函數(shù)名稱getRootModulesOfUser (String userID)功能描述：根據(jù)用戶ID號(hào)、一級(jí)功能模塊ID,獲取用戶擁有的某一一級(jí)功能模塊下的所有子功能模塊調(diào)用語(yǔ)法：String getChildModulesUnderOneRootOfUser (String userID,String applicationID,String rootModuleID)throws AppException,RemoteException參數(shù)描述：參數(shù)標(biāo)識(shí)參數(shù)名稱數(shù)據(jù)類型輸入/輸出userID用戶 I

26、D 號(hào)String輸入applicationID 應(yīng)用 ID 號(hào)String輸入rootModuleID 一級(jí)功能模塊 ID 號(hào) String輸入返回化存在相應(yīng)的結(jié)果信息時(shí)，返回值格式如下:<?xml version="1.0" encoding="GBK"?><privilege><application id="xxxx" name="xxxx"><menu id="xxxx" name="name" title="xx

27、xx"><menu id="xxxx" name="name" title="xxxx"><itemid="xxxx"name="name"title="xxxxlocation="xxxx"/><itemid="xxxx"name="name"title="xxxxlocation="xxxx"/><-1個(gè)枝干菜單下包含1個(gè)以上葉子菜單項(xiàng)

28、-></menu><menu id="xxxx" name="name" title="xxxx"><item id="xxxx" name="name" title="xxxxlocation="xxxx"/></menu><-1個(gè)根菜單下包含0個(gè)以上枝干菜單-></menu></application ></privilege >沒(méi)有相應(yīng)的結(jié)果信息時(shí)返回空字符串

29、" ”。備注：5.2.10 獲取用戶擁有的某一末級(jí)功能模塊的操作列表類名稱PrivilegeManager函數(shù)名稱getOperationsInOneEndModuleOfUser功能描述：根據(jù)用戶ID號(hào)、應(yīng)用ID、末級(jí)功能模塊ID,獲取用戶擁有的某一末級(jí)功能模塊中的所有操作調(diào)用語(yǔ)法：String getOperationsInOneEndModuleOfUser (String userID,String applicationID,String endModuleID)throws AppException,RemoteException參數(shù)描述：參數(shù)標(biāo)識(shí)參數(shù)名稱數(shù)據(jù)類型輸入/輸

30、出userID 用戶ID號(hào) String輸入applicationID 應(yīng)用 ID 號(hào) String輸入endModuleID末級(jí)功能模塊ID號(hào)String輸入返回化存在相應(yīng)的結(jié)果信息時(shí)，返回值格式如下：<?xml version="1.0" encoding="GBK"?><privilege><application id="xxxx" name="xxxx"><menu id="xxxx" name="name" title=&

31、quot;xxxx"><menu id="xxxx" name="name" title="xxxx"><item id="xxxx" name="name" title="xxxx"location="xxxx"/><operation id="xxxx"/><operation id="xxxx"/> <-包含 1 個(gè) 以上操作標(biāo)識(shí)->&

32、lt;/item></menu></menu>5.2.11 判斷用戶是否擁有的某一末級(jí)功能模塊的某一操作權(quán)限類名稱PrivilegeManager函數(shù)名稱isHaveOperationInOneEndModule功能描述：根據(jù)用戶ID號(hào)、應(yīng)用ID、末級(jí)功能模塊ID、操作名稱，判斷用戶是否擁有的某一末級(jí)功能模塊的某一操作權(quán)限調(diào)用語(yǔ)法：boolean isHaveOperationInOneEndModule (String userID,String applicationID,String endModuleID,String operationName)thro

33、ws AppException,RemoteException參數(shù)描述：參數(shù)標(biāo)識(shí)參數(shù)名稱數(shù)據(jù)類型輸入/輸出userID 用戶ID號(hào) String輸入applicationID 應(yīng)用 ID 號(hào) String輸入endModuleID末級(jí)功能模塊ID號(hào)String輸入輸入operationName 操作名稱String返回化-true 擁有-false 沒(méi)有備注：5.2.12 獲取某一功能模塊的ACL 尚需進(jìn)一步研究類名稱PrivilegeManager函數(shù)名稱getAclOfModule功能描述:根據(jù)模塊ID號(hào)獲取屬主應(yīng)用、同類應(yīng)用、其它應(yīng)用對(duì)當(dāng)前模塊的操作權(quán)調(diào)用語(yǔ)法:String getMod

34、uleACL (String moduleID)throws AppException,RemoteException參數(shù)描述:參數(shù)標(biāo)識(shí)參數(shù)名稱數(shù)據(jù)類型輸入/輸出moduleID 模塊 ID 號(hào)String返回化String型模塊ACL屬性，ACL屬性由三位數(shù)據(jù)組成，第一位代表屬主應(yīng)用的權(quán)限,第二位代表同類應(yīng)用的權(quán)限，第三位代表其他應(yīng)用的權(quán)限。每一位有四個(gè)枚舉值:0:沒(méi)有權(quán)限1:查詢權(quán)限5.2.13 獲取某一模塊的數(shù)據(jù)級(jí)權(quán)限規(guī)劃規(guī)則一尚需進(jìn)一步研究類名稱PrivilegeManager函數(shù)名稱getDataAuthRuleOfModule功能描述：根據(jù)模塊ID,用戶ID獲取當(dāng)前操作員能夠在當(dāng)前

35、模塊上操作哪些行政區(qū)劃內(nèi)的數(shù)據(jù)。調(diào)用語(yǔ)法：String getDataAuthRuleOfModule (String modulelD, String userID)throws AppException,RemoteException參數(shù)描述：參數(shù)標(biāo)識(shí)參數(shù)名稱數(shù)據(jù)類型輸入/輸出moduleID 模塊 ID 號(hào)String輸入userID用戶ID號(hào)String輸入返回化存在相應(yīng)的結(jié)果信息時(shí)，返回值格式如下：<?xml version="1.0" encoding="GBK"?><dataprivilege><dataare

36、a includesubunit="yes">123456</dataarea><-兀素值為行政區(qū)劃代碼-><dataarea includesubunit="no">222222</dataarea><-includesubunit屬性標(biāo)識(shí)是否包含下級(jí)機(jī)構(gòu)數(shù)據(jù)-><-返回值中包含1個(gè)以上dataarea 元素-></dataprivilege >沒(méi)有相應(yīng)的結(jié)果信息時(shí)返回空字符串" ”。備注：6數(shù)據(jù)庫(kù)設(shè)計(jì)說(shuō)明：數(shù)據(jù)庫(kù)的對(duì)象（包括數(shù)據(jù)庫(kù)表名、字段名、索引等所

37、有數(shù)據(jù)庫(kù)中的對(duì)象 ）的名稱全部以小寫命名。6.1 機(jī)構(gòu)信息系統(tǒng)編號(hào)：ZT_YHQXGL系統(tǒng)名稱：統(tǒng)一用戶權(quán)限管理更新頻率：存儲(chǔ)編碼：ORG_UNIT存儲(chǔ)名稱：組織機(jī)構(gòu)信息存儲(chǔ)容量：10 1500序 號(hào)字段名字段含義類型NOTNULL說(shuō)明1UNIT_ID機(jī)構(gòu)標(biāo)識(shí)VARCHARZ 32)YPK系統(tǒng)生成2UNIT_NAME機(jī)構(gòu)名稱VARCHARZ 32)Y3UNIT_DESC描述信息VARCHARZ 255)4UNIT_OWNERED_UNIT上級(jí)機(jī)構(gòu)VARCHARZ 32)在系統(tǒng)中創(chuàng)建該機(jī)構(gòu)的機(jī)構(gòu)的標(biāo)識(shí)5UNIT_DISTRICT行政區(qū)劃VARCHARZ 30)值如：重慶市、重慶巾江北區(qū)、值取自A

38、A10 表7UNIT_TYPE機(jī)構(gòu)類型VARCHARZ 8)8UNIT_ORGID組織機(jī)構(gòu)編碼VARCHAR2(32)要求管理員手工輸入9UNIT_LEVEL機(jī)構(gòu)級(jí)別VARCHAR2(8)1:市級(jí)2:區(qū)級(jí)3:街道級(jí)UNIT_LINKMAN聯(lián)系人VARCHAR2(10)UNIT_TELEPHONE聯(lián)系電話VARCHAR2(20)UNIT_ADDRESS地址VARCHAR2(50)UNIT_POSTALCODE郵政編碼VARCHAR2(6)UNIT_BANK_CODE銀行行號(hào)VARCHAR2(40)UNIT_BANK_NAME戶名VARCHAR2(50)UNIT_BANK_ACCOUNT銀行帳號(hào)V

39、ARCHAR2(40)6.2 用戶信息系統(tǒng)名：ZT_YHQXGL系統(tǒng)名稱：統(tǒng)一用戶權(quán)限管理更新頻率：存儲(chǔ)編碼：app_user存儲(chǔ)名稱：用戶信息存儲(chǔ)容量：序號(hào)字段名字段含義NOT NULL說(shuō)明1USER_ID用戶標(biāo)識(shí)VARCHAR2； 32)YPK系統(tǒng)生成2USER_ACCOUNT用戶帳號(hào)（用戶名）VARCHAR2； 32)Y3USER_PWD用戶密碼VARCHAR2； 32)加密存儲(chǔ)4USER_NAME姓名VARCHAR2； 32)5Is _individual_a ccount是否個(gè)人賬戶VARCHARW1)0-否/1-是6Id_card_no身份證號(hào)碼VARCHARW20)7User_t

40、ype_code人員類別代碼VARCHARW32 )8Certificate_typ e_code其它證件類別代碼VARCHARW32)9Certificate_no其它證件號(hào)碼VARCHARW32 )10UNIT_ID人員所屬機(jī)構(gòu)IDVARCHAR2； 32)FKUNIT_ID-> ORG_UNIT. UNIT_ID11Headship_code職務(wù)代碼VARCHARW32 )12USER_EMAIL電子信箱VARCHAR2(32)13USER_TELEPHONE電話VARCHAR2(15)14USER_DESC備注說(shuō)明VARCHAR2(255)17USER_CREATEDBYUNIT

41、創(chuàng)建機(jī)構(gòu)VARCHAR2； 32 )18account_status帳戶狀態(tài)VARCHARW1)0-賬戶未開(kāi)通/停止1-開(kāi)通/后效19Valid_tmie帳戶后效期timestamp20Reg_time注冊(cè)時(shí)間timestamp21Reg_ipaddr用戶注冊(cè)IP地址VARCHAR2； 32 )22Auditing_time審核時(shí)間timestamp23Auditing_person審核人VARCHARW 10 )24Auditing_result審核結(jié)論Auditing0-無(wú)效1-后效25Disqualificatio n_cause審核未通過(guò)原因VARCHAR2； 255)說(shuō)明：1 Is

42、_individual_account（ 是否個(gè)人賬戶）:0-否：當(dāng)不為個(gè)人賬戶時(shí)，即允許多個(gè)人同時(shí)使用（登錄）1-是（缺?。涸试S多個(gè)人同時(shí)使用（登錄）2 當(dāng)對(duì)注冊(cè)用戶審核時(shí)，審核通過(guò)，則賬戶自動(dòng)開(kāi)通3 若賬戶有效期到期，則賬戶自動(dòng)“停止”，此功能實(shí)現(xiàn)由系統(tǒng)自動(dòng)完成6.3 角色信息系統(tǒng)編號(hào)ZT_YHQXGL系統(tǒng)名稱統(tǒng)一用戶權(quán)限管理更新頻率：存儲(chǔ)編碼ORG_ROLE存儲(chǔ)名稱角色信息存儲(chǔ)容量：1000 1500序號(hào)字段名字段含義NOTNULL說(shuō)明1ROLE_ID角色標(biāo)識(shí)VARCHAR2； 32)YPK系統(tǒng)生成2ROLE_NAME角色名稱VARCHAR2； 32)Y3User_type_code人

43、員類別代碼VARCHAR2； 32)4Org_type_code機(jī)構(gòu)類別代碼VARCHAR2； 32)5ROLE_DESC角色描述VARCHAR2； 255 )說(shuō)明：6.4 機(jī)構(gòu)類別-角色信息系統(tǒng)編號(hào)：ZT_YHQXGL系統(tǒng)名稱：統(tǒng)一用戶權(quán)限管理更新頻率：存儲(chǔ)編碼：org _type_role存儲(chǔ)名稱：角色一用戶（機(jī)構(gòu)）映射信息存儲(chǔ)容量：10001500序號(hào)字段名字段含義NOT NULL說(shuō)明1org_type_role_id機(jī)構(gòu)類別-角色I(xiàn)D號(hào)VARCHAR2； 32)Ypk系統(tǒng)產(chǎn)生2org_type_code機(jī)構(gòu)類別代碼VARCHAR2； 32)YfK用戶標(biāo)識(shí)3ROLE_ID角色標(biāo)識(shí)VARC

44、HAR2； 32)YfK角色標(biāo)識(shí)6.5 機(jī)構(gòu)類別-角色信息系統(tǒng)編號(hào)：ZT_YHQXGL系統(tǒng)名稱：統(tǒng)一用戶權(quán)限管理更制率：存儲(chǔ)編碼：org _type_role存儲(chǔ)名稱：角色一用戶（機(jī)構(gòu)）映射信息存儲(chǔ)容量：10001500序字段名字段含義NOTNULL說(shuō)明號(hào)1Unit_role_id機(jī)構(gòu)-角色I(xiàn)D號(hào)VARCHAR2； 32)Ypk系統(tǒng)產(chǎn)生2unit_ID機(jī)構(gòu)ID號(hào)VARCHAR2； 32)YfK用戶標(biāo)識(shí)3ROLE_ID角色標(biāo)識(shí)VARCHAR2； 32)YfK角色標(biāo)識(shí)6.6 人員類別-角色信息系統(tǒng)編號(hào)：ZT_YHQXGL系統(tǒng)名稱：統(tǒng)一用戶權(quán)限管理更新頻率：存儲(chǔ)編碼：user _type_role存

45、儲(chǔ)名稱：角色一用戶（機(jī)構(gòu)）映射信息存儲(chǔ)容量：10001500序號(hào)字段名字段含義NOT NULL說(shuō)明1User_type_role_id用戶類別-角色I(xiàn)D號(hào)VARCHAR2； 32)Ypk系統(tǒng)產(chǎn)生2USER_type_code用戶類別代碼VARCHAR2； 32)YfK用戶標(biāo)識(shí)3ROLE_ID角色標(biāo)識(shí)VARCHAR2； 32)YfK角色標(biāo)識(shí)6.7 用戶-角色信息系統(tǒng)編號(hào)：ZT_YHQXGL系統(tǒng)名稱：統(tǒng)一用戶權(quán)限管理更新率：存儲(chǔ)編碼：user _ROLE存儲(chǔ)名稱：角色一用戶（機(jī)構(gòu)）映射信息存儲(chǔ)容量：10001500序號(hào)字段名字段含義NOT NULL說(shuō)明1User_role_id用戶-角色I(xiàn)D號(hào)VA

46、RCHAR2； 32)Ypk系統(tǒng)產(chǎn)生2USER_ID角色名稱VARCHAR2； 32)YfK用戶標(biāo)識(shí)3ROLE_ID角色標(biāo)識(shí)VARCHAR2； 32)YfK角色標(biāo)識(shí)6.8 應(yīng)用系統(tǒng)信息系統(tǒng)編號(hào)：ZT_YHQXGL系統(tǒng)名稱：統(tǒng)一用戶權(quán)限管理更新頻率：存儲(chǔ)編碼 ：application存儲(chǔ)名稱：菜單信息存儲(chǔ)容量：550序 號(hào)字段名字段含義類型NOTNULL說(shuō)明1App_id應(yīng)用系統(tǒng)ID號(hào)VARCHAR2(32)YPK系統(tǒng)產(chǎn)生手工錄入，必須 唯一手工錄入，必須 唯一2App_no應(yīng)用系統(tǒng)編號(hào)VARCHAR2(32)Y3App_name應(yīng)用系統(tǒng)（標(biāo)題）名 稱VARCHAR2(50)Y4App_loca

47、tion應(yīng)用系統(tǒng)的入口地 址VARCHAR2(255)5App_type應(yīng)用系統(tǒng)類型VARCHAR2(1)Y0-門戶1-新建應(yīng)用2-老系統(tǒng)6.9 系統(tǒng)功能（菜單）信息系統(tǒng)編號(hào)：ZT_YHQXGL系統(tǒng)名稱：統(tǒng)一用戶權(quán)限管理更新頻率：存儲(chǔ)編碼：application存儲(chǔ)名稱：菜單信息存儲(chǔ)容量：550序 號(hào)字段名字段含義類型NOTNULL說(shuō)明1APP_MENU_ID系統(tǒng)功能ID系統(tǒng)產(chǎn)生2appid應(yīng)用系統(tǒng)IDVARCHAR2(32)YAPP_ID->a pp.appid3NAME名稱VARCHAR2(32)Y手工錄入，必須保證整個(gè)系統(tǒng)內(nèi)唯4TITLE標(biāo)題VARCHAR2(32)Y5PARENT

48、父菜單名稱VARCHAR2(32)6TARGET顯示區(qū)域VARCHAR2(32)當(dāng)菜單為葉子菜單時(shí)，指定主界面顯示區(qū)域7LOCATION主體界面URLVARCHAR2(255)7CHIEF默認(rèn)顯示NUMBER(1)1:默認(rèn)顯示0:不默認(rèn)顯示8IMAGE圖片VARCHAR2(255)菜單標(biāo)題前的圖片9ALTIMAGEVARCHAR2(255)10DESCRIPTION描述VARCHAR2(255)11ORDERID顯小順序NUMBER(3)12TYPE舊VARCHAR2(8)當(dāng)該記錄為操作時(shí)后效13BUSITYPE業(yè)務(wù)類型VARCHAR2(32)實(shí)際編碼10位。編碼規(guī)則和角色業(yè)務(wù)類型必須對(duì)應(yīng)14

49、FUNCTYPE功能類型VARCHAR2(32)0：功能分組；1:信息查詢2:業(yè)務(wù)辦理15authentication ype認(rèn)證類別Char(1)0-不控制1-控制功能9-公共功能說(shuō)明：Authentication_type(認(rèn)證類另U):0-不控制，用戶不需等路即可訪問(wèn)1-授權(quán)功能，需要授權(quán)才能訪問(wèn)的功能2-公共模塊，用戶等路即可訪問(wèn)的功能6.10 角色-功能信息系統(tǒng)編號(hào)：ZT_YHQXGL系統(tǒng)名稱：統(tǒng)一用戶權(quán)限管理更新頻率：存儲(chǔ)編碼：EAP_MENU_ROLE_MAP存儲(chǔ)名稱：菜單-角色映射信息存儲(chǔ)容量：序號(hào)字段名字段含義類型NOTNULL說(shuō)明1MENUNAME菜單名VARCHAR2(64)YPK菜單唯一標(biāo)識(shí)2ROLE_ID角色I(xiàn)D號(hào)VARCHAR2(64)YPK角色標(biāo)識(shí)36.11 代碼類別系統(tǒng)編號(hào)：ZT_YHQXGL系統(tǒng)名稱：統(tǒng)一用戶權(quán)限管理更制率：存儲(chǔ)編碼：ORG_ROLE存儲(chǔ)名稱：角色信息存儲(chǔ)容量：10001500序 號(hào)字段名字段含義類型NOTNULL說(shuō)明1Code_type_no代碼類別編號(hào)2Code_type代碼類別（名稱）3Code_rule（層次）編碼規(guī)則4Fixed_length是否固定長(zhǎng)度5f川_in_char不足位數(shù)填充字符說(shuō)明：1） Code_rule（編碼規(guī)則）：為空表示沒(méi)有編碼規(guī)則，2）否則表示有編碼規(guī)則，編碼