某工作流程系統的權限問題,希望大家不吝賜教 ^_^


最近為某機關做個類工作流的系統,對安全和權限要求很嚴格!所以正為權限校驗的問題發愁,
原來初步是想通過讀取用戶登錄的session,然后在對數據庫表進行的操作的bean中統一進行鑒權,通過用戶Id,表格名稱,操作類型和流程環節Id來判斷是否可以進行相關操作,同時寫操作日志。感覺這樣似乎太簡單,應該有些安全漏洞,如何做更好?請大家多提寶貴意見。萬分感謝!
分數不是問題,全當向大家拜年啦 !!!^_^

27 个解决方案

#1


大家來看看啦

#2


100分不夠么?

#3


幫你up吧,我不懂,不過覺得你的情況比較復雜,最好還是給出代碼,大家討論一下。

#4


gz

#5


安全的話,可以通過a)數據加密b)ssl解決。
權限判斷,你那樣應該也可以了吧,權限越細將來越不好管理

#6


數據加密和SSL主要從網絡傳輸上考慮,那么如果是指在業務操作上,對權限的管理判別,像我構想的那樣,取用戶登錄session的Id和流程環節Id,再用過bean來處理判別的方式,有什么不好和可以改進的地方?由於以前沒有真正做過什么安全性要求很高的項目,所以很沒有經驗的說^_^ 還希望大家多多指點。

順祝各位羊年吉祥!!!!

#7


你可以這樣,自定義一個para作為secure id 在 input type="hiden"中傳遞
其中的value是用自己寫的helper class生成的包含權限的hashcode,或加密后的編碼,helper class中自定義用戶權限
使用filter class作為每次web請求的驗證類,其中驗證此用戶的value是否與請求服務相輔,不符,跳轉錯誤頁面
這是session tracking中的一種方法,加密強度可以,並且,較簡單

#8


對DavidBone的補充一點。最好不要不要在客戶端用input type="hiden"的表單傳遞敏感數據,即使被加密過。

#9


我也是感覺form里面的東西都不會安全的,單看源碼就能看出來。
大家有沒有做過相似的系統,說說經驗呢?我現在是類似對以往的一個舊系統補上安全鑒權,如何做比較好?

#10


up

#11


肯定不能在jsp文件中判定權限的,漏洞太大了。我們使用struts框架開發web,在action里調用ejb的方法判定權限。ejb里的權限判定和你想得差不多。

#12


有具體的例子否?俺對ejb不怎么懂的說:(

#13


做一個權限表,在每頁要進行處理

#14


安全方面
用 SSL + 防火牆 + OS安全 。

權限方面
設計一個或者多個控制器,以及一套權限規則。

#15


現在主要是問具體的權限鑒定模式該如何做,簡單的bean直接做的缺點有哪些?

#16


up

#17


up

#18


首先應該有個權限規則,任何一個工作流系統都應該有一個可以管理道一定粒度的權限系統,這里推薦一篇文章
http://www.jdon.com:81/jive/article.jsp?forum=46&thread=4110&message=438816
文章中說的也不完全符合每個系統的要求,你可以根據自己的要求重新定制。
然后,就是一個流程的定制,當你利用權限系統在每個節點(假定流程由節點組成)的參與者和每個節點的模板和模板中的模塊。要注意的是,參與者並不一定就是一個用戶,其實它是一個規則,它說明了什么楊的用戶可以參與這個節點,比如:某組織下具有某種身份或者權限的用戶。這個規則你可以根據你具體的要求增減。
一旦權限系統和流程規則確定一個工作流系統基本就完成了。
以上是個人做工作流的經驗。

#19


thx TheTens
J道中的文章以前看過的,現在不是權限規則的問題,具體的權限規則,我大體已經制定好了,只是說現在如何實現這種權限規則?即如何具體鑒權。

#20


up

#21


你擔心什么呢???我不是很明白.

#22


我有一個簡單一些地實現,但你最好先決定權限控制的程度。
簡單一點到頁面,就是對頁面的對應功能是否在session中的權限串中進行判定。如果需要具體到頁面元素,只要對權限的結構進行設計既可。

#23


up

大家有什么好的例子么?

#24


up

#25


權限我絕對不應該對頁面進行控制,應該寫到每個類的方法中。

#26


定義好權限后,定義角色
一個角色擁有很多權限
就是先定義好workflow后,
根據用戶登陸來判斷權限而生成菜單,不過這樣很笨
最好是用EJB里定義,我對EJB正在學習之中

#27


我就是想了解多點在這方面具體實施的方法和注意(諸如如何的做法安全性好)

注意!

本站转载的文章为个人学习借鉴使用,本站对版权不负任何法律责任。如果侵犯了您的隐私权益,请联系我们删除。



 
粤ICP备14056181号  © 2014-2021 ITdaan.com