2.數(shù)據(jù)級(jí)訪問控制模型

數(shù)據(jù)級(jí)權(quán)限管理的工作是對(duì)系統(tǒng)中包含的數(shù)據(jù)項(xiàng)進(jìn)行必要的訪問權(quán)限管理，使用戶在獲取系統(tǒng)訪問控制權(quán)限之后能正確的訪問其對(duì)應(yīng)的數(shù)據(jù)對(duì)象。在目前的web應(yīng)用系統(tǒng)中，數(shù)據(jù)量非常大，而且隨著系統(tǒng)的使用，數(shù)據(jù)的增長(zhǎng)也非常迅速，所以web數(shù)據(jù)級(jí)權(quán)限管理的最終目標(biāo)就是對(duì)頁面和函數(shù)過程中對(duì)數(shù)據(jù)庫進(jìn)行有效、安全和合理的訪問控制。可靠的web數(shù)據(jù)級(jí)權(quán)限管理需要使用戶只能看見自己權(quán)限范圍之內(nèi)的數(shù)據(jù)，而不能看到權(quán)限之外的數(shù)據(jù)，從系統(tǒng)安全角度，還要控制用戶的任何操作都不能使系統(tǒng)出現(xiàn)非法數(shù)據(jù)或者使系統(tǒng)進(jìn)入一種可能的不安全狀態(tài)。

數(shù)據(jù)級(jí)細(xì)粒度訪問模型如下圖所示。包括用戶身份認(rèn)證、方法攔截、過濾器、權(quán)限管理控制器和規(guī)則引擎等組成。

用戶通過瀏覽器URL和系統(tǒng)后臺(tái)Bean內(nèi)的方法兩種方式對(duì)Weh資源進(jìn)行訪問請(qǐng)求，首先需要進(jìn)行用戶身份認(rèn)證和方法攔截，之后是根據(jù)用戶身份和定義的數(shù)據(jù)級(jí)訪問規(guī)則來實(shí)現(xiàn)安全的數(shù)據(jù)級(jí)權(quán)限管理工作。