一种基于角色访问控制的信息系统数据存储层及组建方法.pdf

摘要
申请专利号：	CN200910194942.7	申请日：	2009.09.01
公开号：	CN102004868A	公开日：	2011.04.06
当前法律状态：	撤回	有效性：	无权
法律详情：	发明专利申请公布后的视为撤回IPC(主分类):G06F 21/00申请公布日:20110406\|\|\|公开
IPC分类号：	G06F21/00; G06F17/30	主分类号：	G06F21/00
申请人：	上海杉达学院
发明人：	潘毅民; 沙洁
地址：	201209 上海市浦东新区金海路2727号
优先权：
专利代理机构：	上海集信知识产权代理有限公司 31254	代理人：	魏学成
PDF下载：	PDF下载

内容摘要

本发明揭示了一种基于角色访问控制的信息系统数据存储层及组建方法，通过用户数据表存储所述信息系统注册用户的用户名、密码和登录次数，通过角色数据表存储若干具有不同级别访问权限的角色，通过用户与角色关系数据表存储所述用户和角色的匹配关系。该数据存储层的这些数据表供信息系统调用，实现系统用户信息的修改、用户与角色之间的匹配，进而实现对用户的访问权限进行赋予和控制的目的。

权利要求书

1.一种基于角色访问控制的信息系统数据存储层，其特征在于，包括：用户数据表，用以存储所述信息系统注册用户的用户名、密码和登录次数；角色数据表，用以存储若干具有不同级别访问权限的角色，所述每个角色的访问权限包括所述信息系统数据的若干访问范围的集合；用户与角色关系数据表，用以存储所述用户和角色的匹配关系。2.如权利要求1所述的数据存储层，其特征在于，所述用户数据表用以实现所述信息系统的用户注册、添加用户以及删除用户，所述用户数据表存储的用户登录次数，在所述用户每登录所述信息系统一次后加一。3.如权利要求1或2所述的数据存储层，其特征在于，所述角色数据表用以实现所述信息系统的添加角色和删除角色，所述角色数据表存储的角色名作为该数据表的具有唯一ID的主键。4.如权利要求3所述的数据存储层，其特征在于，所述用户与角色关系数据表用以实现所述信息系统进行所述角色添加用户、删除用户角色以及查询用户角色的操作，所述用户与角色关系数据表存储的用户与角色的匹配关系包括一对一、一对多以及多对一。5.一种基于角色访问控制的信息系统数据存储层的组建方法，其特征在于，包括以下步骤：建立用户数据表，使其存储所述信息系统注册用户的用户名、密码和登录次数；建立角色数据表，使其存储若干具有不同级别访问权限的角色，所述每个角色的访问权限包括所述信息系统数据的若干访问范围的集合；建立用户与角色关系数据表，使其存储所述用户和角色的匹配关系；将所述信息系统用户数据、角色数据以及用户与角色关系数据写入所述数据表形成基于数据表存储的数据存储层。6.如权利要求5所述的方法，其特征在于，所述用户数据表用以实现所述信息系统的用户注册、添加用户以及删除用户，所述用户数据表存储的用户登录次数，在所述用户每登录所述信息系统一次后加一。7.如权利要求5或6所述的方法，其特征在于，所述角色数据表用以实现所述信息系统的添加角色和删除角色，所述角色数据表存储的角色名作为该数据表的具有唯一ID的主键。8.如权利要求7所述的方法，其特征在于，所述用户与角色关系数据表用以实现所述信息系统进行所述角色添加用户、删除用户角色以及查询用户角色的操作，所述用户与角色关系数据表存储的用户与角色的匹配关系包括一对一、一对多以及多对一。

说明书

一种基于角色访问控制的信息系统数据存储层及组建方法

技术领域

本发明涉及数据信息系统数据存储技术，更具体地说，涉及一种基于角色访问控制的信息系统数据存储层及组建方法。

背景技术

目前越来越多的工作需要利用到各种各样的信息系统，而信息系统的安全性越来越得到人们的关注，例如在信息系统的访问控制方面就需要注重其安全性，在一个信息系统中具有级别不同的各种用户，特定的用户只能访问特定的数据，而如果安全措施不到位，那么会出现用户可以访问到其不该访问的数据，从而造成泄密等事故，就可能给国家和企业造成难以挽回的损失。

可见对于信息系统的用户访问需要进行相关安全策略的设计，从而达到对不同用户的访问进行控制的目的。相关的安全策略包括基于角色授权的用户控制策略，对于使用该策略的信息系统，其数据存储层也是一个待解决的问题。

发明内容

本发明的目的在于提供一种基于角色访问控制的信息系统数据存储层及组建方法，通过该数据存储层的数据表来实现对不同用户的访问进行控制的目的。

根据本发明的第一方面，提供一种基于角色访问控制的信息系统数据存储层，包括：

用户数据表，用以存储所述信息系统注册用户的用户名、密码和登录次数；

角色数据表，用以存储若干具有不同级别访问权限的角色，所述每个角色的访问权限包括所述信息系统数据的若干访问范围的集合；

用户与角色关系数据表，用以存储所述用户和角色的匹配关系。

所述用户数据表用以实现所述信息系统的用户注册、添加用户以及删除用户，所述用户数据表存储的用户登录次数，在所述用户每登录所述信息系统一次后加一。

所述角色数据表用以实现所述信息系统的添加角色和删除角色，所述角色数据表存储的角色名作为该数据表的具有唯一ID的主键。

所述用户与角色关系数据表用以实现所述信息系统进行所述角色添加用户、删除用户角色以及查询用户角色的操作，所述用户与角色关系数据表存储的用户与角色的匹配关系包括一对一、一对多以及多对一。

另一方面，本发明还提供一种基于角色访问控制的信息系统数据存储层的组建方法，包括以下步骤：

建立用户数据表，使其存储所述信息系统注册用户的用户名、密码和登录次数；

建立角色数据表，使其存储若干具有不同级别访问权限的角色，所述每个角色的访问权限包括所述信息系统数据的若干访问范围的集合；

建立用户与角色关系数据表，使其存储所述用户和角色的匹配关系；

将所述信息系统用户数据、角色数据以及用户与角色关系数据写入所述数据表形成基于数据表存储的数据存储层。

所述角色数据表用以实现所述信息系统的添加角色和删除角色，所述角色数据表存储的角色名作为该数据表的具有唯一ID的主键。

采用本发明所述的一种基于角色访问控制的信息系统数据存储层及组建方法，通过用户数据表存储所述信息系统注册用户的用户名、密码和登录次数，通过角色数据表存储若干具有不同级别访问权限的角色，通过用户与角色关系数据表存储所述用户和角色的匹配关系。该数据存储层的这些数据表供信息系统调用，实现系统用户信息的修改、用户与角色之间的匹配，进而实现对用户的访问权限进行赋予和控制的目的。

附图说明

图1为本发明所述数据存储层的原理框图；

图2为本发明所述方法的流程图；

图3为本发明所述基于角色授权的流程图。

具体实施方式

下面结合附图和实施例进一步说明本发明的技术方案，通过将本发明应用在毕业生管理系统中进行说明。

参考图1，图1显示了一种基于角色访问控制的信息系统数据存储层100，包括用户数据表101、角色数据表102以及用户与角色关系数据表103，下面依次进行介绍：

用户数据表101，用以存储所述信息系统注册用户的用户名、密码和登录次数及学号或工号，见表1。所述用户数据表101用以实现所述信息系统的用户注册、添加用户以及删除用户，所述用户数据表101存储的用户登录次数，在所述用户每登录所述信息系统一次后加一。

表1-用户数据表

  列名
  数据类型
  允许空
  name(主键)
  Nvarchar(20)
  否
  password
  Nvarchar(20)
  否
  counts
  Numeric(18，0)
  是

  idmap
  Nvarchar(10)
  否

表1中的name表示用户登录时的用户名，数据类型为长度为20个字符的字符类型，用户名当然不允许空。Password就是用户登录时的密码，数据类型和name的一样也是长度为20个字符的字符类型。Counts表示用户的登录次数，在用户每登录一次后加一，数据类型为长度为18位，小数部分0位的数字类型。Idmap表示用户的学号或工号，数据类型为长度为10个字符的字符类型。

角色数据表102，用以存储若干具有不同级别访问权限的角色，所述每个角色的访问权限包括所述信息系统数据的若干访问范围的集合，见表2。所述角色数据表102用以实现所述信息系统的添加角色和删除角色，所述角色数据表102存储的角色名作为该数据表的具有唯一ID的主键。

表2-角色数据表

  列名
  数据类型
  允许空
  rolename(主键)
  Nvarchar(20)
  否

表中rolename表示角色名，数据类型为长度为20个字符的字符类型，不允许为空。

用户与角色关系数据表103，用以存储所述用户和角色的匹配关系，见表3。所述用户与角色关系数据表103用以实现所述信息系统进行所述角色添加用户、删除用户角色以及查询用户角色的操作，所述用户与角色关系数据表103存储的用户与角色的匹配关系包括一对一、一对多以及多对一。

表3-用户与角色关系数据表

  列名
  数据类型
  允许空
  ID(主键)
  Numeric(18，0)
  否
  Name
  Nvarchar(20)
  否
  Role
  Nvarchar(20)
  否

表中的ID表示流水号，由于姓名和角色之间的对应关系不是一对一，所以需要一个唯一的ID来作为主键。

参见图2，本发明还提供一种基于角色访问控制的信息系统数据存储层的组建方法200，包括以下步骤：

201、建立用户数据表，使其存储所述信息系统注册用户的用户名、密码和登录次数。

202、建立角色数据表，使其存储若干具有不同级别访问权限的角色，所述每个角色的访问权限包括所述信息系统数据的若干访问范围的集合。

所述角色数据表用以实现所述信息系统的添加角色和删除角色，所述角色数据表存储的角色名作为该数据表的具有唯一ID的主键。

203、建立用户与角色关系数据表，使其存储所述用户和角色的匹配关系。

204、将所述信息系统用户数据、角色数据以及用户与角色关系数据写入所述数据表形成基于数据表存储的数据存储层。

下面介绍一下以上述数据表为基础的所述信息系统的数据存储层，是如何配合信息系统调用，实现系统用户信息的修改、用户与角色之间的匹配，进而实现对用户的访问权限进行赋予和控制的目的。

建立所述信息系统的用户类文件，使所述用户类文件包括处理操作所述用户数据表的方法；调用所述用户类文件，所述用户类文件通过返回所述信息系统的数据处理层中对数据存储层操作的方法实现对所述用户数据表的操作，所述操作包括添加用户、删除用户、更新用户信息、根据用户名查询以及返回某个用户信息。用户类文件在具体建立时设为User类，其中包含添加用户、删除用户、更新用户信息、根据用户名查询以及返回某个用户信息等方法。该类主要通过返回DAL层(数据处理层)SLogin类中对数据存储层操作的方法，实现需要的功能，从而保证了数据存储层的安全性。通过下面的代码结构，页面的后台代码只需要调用User类中的添加、删除等方法就就可以实现对应的功能。如需要实现注册功能时，首先建立一个SLogin model，获得该model所有的信息，然后建立一个操作的对象，再调用添加方法即可。其具体代码如下：

SLogin mySLogin＝new SLogin()；

mySLogin.name＝name.Text.Trim()；

mySLogin.password＝name.Text.Trim()；

mySLogin.idmap＝name.Text.Trim()；

Users opUser＝new Users()；

opUser.CreatUser(mySLogin)；

其余功能代码也类似该结构。

建立所述信息系统的角色类文件，使所述角色类文件包括处理操作所述角色数据表的方法。调用所述角色类文件，所述角色类文件通过返回所述信息系统的数据处理层中对数据存储层操作的方法实现对所述角色数据表的操作，所述操作包括添加角色、删除角色以及判断是否存在某角色。角色类文件在具体建立时设为roles类，其中包含添加角色、删除角色以及判断是否存在某角色等方法。该类中的方法也是通过返回DAL层中的方法来实现具体功能。实现相应功能时，同样先建立一个SRoleLib的model并获得相关信息，然后通过调用Roles类里面的相关方法就可以实现相关的功能。

建立所述信息系统的用户与角色关系类文件，使所述用户与角色关系类文件包括处理操作所述用户与角色关系数据表的方法。调用所述用户与角色关系类文件，所述用户与角色关系类文件通过返回所述信息系统的数据处理层中对数据存储层操作的方法实现对所述用户与角色关系数据表的操作，所述操作包括给角色添加用户、返回某个用户所有角色的集合、返回一组用户的用户名匹配给定的角色、从某个角色中删除一组用户。用户与角色关系类文件在具体建立时设为Users-Roles类，Users-Roles类就是将用户和角色联系起来的类，其中给角色添加用户、返回某个用户所有角色的集合、返回一组用户他们的用户名匹配给定的角色、从某个角色中删除一组用户等方法。该类中的方法也是通过返回DAL层中SRole类的方法来实现具体功能。实现相应功能时，同样先建立一个SRole的model并获得相关信息，然后通过调用Users-Roles类里面的相关方法就可以实现相关的功能。

参见3，这里介绍一下授权在角色访问控制中的应用，基于角色的授权(role-based authorization)，这种授权方式并不是根据用户来授权，而是通过给用户分配角色(role)，再通过设置角色所具有的权限来从而实现给用户授权。从图2中看出，其过程分为：用户角色分配，角色权限分配以及依据权限操作这几个步骤。

需要指出的是，本发明所述一种基于角色访问控制的信息系统数据存储层的组建方法200和本发明所述一种基于角色访问控制的信息系统数据存储层100，两者在原理及实施例方面是相同或类似的，故两者的重复部分不再赘述。

本技术领域中的普通技术人员应当认识到，以上的实施例仅是用来说明本发明，而并非用作为对本发明的限定，只要在本发明的实质精神范围内，对以上实施例的变化、变型都将落在本发明的权利要求书范围内。

资源描述

《一种基于角色访问控制的信息系统数据存储层及组建方法.pdf》由会员分享，可在线阅读，更多相关《一种基于角色访问控制的信息系统数据存储层及组建方法.pdf（9页珍藏版）》请在专利查询网上搜索。

1、10申请公布号CN102004868A43申请公布日20110406CN102004868ACN102004868A21申请号200910194942722申请日20090901G06F21/00200601G06F17/3020060171申请人上海杉达学院地址201209上海市浦东新区金海路2727号72发明人潘毅民沙洁74专利代理机构上海集信知识产权代理有限公司31254代理人魏学成54发明名称一种基于角色访问控制的信息系统数据存储层及组建方法57摘要本发明揭示了一种基于角色访问控制的信息系统数据存储层及组建方法，通过用户数据表存储所述信息系统注册用户的用户名、密码和登录次数，通过角色数。

2、据表存储若干具有不同级别访问权限的角色，通过用户与角色关系数据表存储所述用户和角色的匹配关系。该数据存储层的这些数据表供信息系统调用，实现系统用户信息的修改、用户与角色之间的匹配，进而实现对用户的访问权限进行赋予和控制的目的。51INTCL19中华人民共和国国家知识产权局12发明专利申请权利要求书1页说明书5页附图2页CN102004881A1/1页21一种基于角色访问控制的信息系统数据存储层，其特征在于，包括用户数据表，用以存储所述信息系统注册用户的用户名、密码和登录次数；角色数据表，用以存储若干具有不同级别访问权限的角色，所述每个角色的访问权限包括所述信息系统数据的若干访问范围的集合；用户。

3、与角色关系数据表，用以存储所述用户和角色的匹配关系。2如权利要求1所述的数据存储层，其特征在于，所述用户数据表用以实现所述信息系统的用户注册、添加用户以及删除用户，所述用户数据表存储的用户登录次数，在所述用户每登录所述信息系统一次后加一。3如权利要求1或2所述的数据存储层，其特征在于，所述角色数据表用以实现所述信息系统的添加角色和删除角色，所述角色数据表存储的角色名作为该数据表的具有唯一ID的主键。4如权利要求3所述的数据存储层，其特征在于，所述用户与角色关系数据表用以实现所述信息系统进行所述角色添加用户、删除用户角色以及查询用户角色的操作，所述用户与角色关系数据表存储的用户与角色的匹配关系包。

4、括一对一、一对多以及多对一。5一种基于角色访问控制的信息系统数据存储层的组建方法，其特征在于，包括以下步骤建立用户数据表，使其存储所述信息系统注册用户的用户名、密码和登录次数；建立角色数据表，使其存储若干具有不同级别访问权限的角色，所述每个角色的访问权限包括所述信息系统数据的若干访问范围的集合；建立用户与角色关系数据表，使其存储所述用户和角色的匹配关系；将所述信息系统用户数据、角色数据以及用户与角色关系数据写入所述数据表形成基于数据表存储的数据存储层。6如权利要求5所述的方法，其特征在于，所述用户数据表用以实现所述信息系统的用户注册、添加用户以及删除用户，所述用户数据表存储的用户登录次数，在所。

5、述用户每登录所述信息系统一次后加一。7如权利要求5或6所述的方法，其特征在于，所述角色数据表用以实现所述信息系统的添加角色和删除角色，所述角色数据表存储的角色名作为该数据表的具有唯一ID的主键。8如权利要求7所述的方法，其特征在于，所述用户与角色关系数据表用以实现所述信息系统进行所述角色添加用户、删除用户角色以及查询用户角色的操作，所述用户与角色关系数据表存储的用户与角色的匹配关系包括一对一、一对多以及多对一。权利要求书CN102004868ACN102004881A1/5页3一种基于角色访问控制的信息系统数据存储层及组建方法技术领域0001本发明涉及数据信息系统数据存储技术，更具体地说，涉及。

6、一种基于角色访问控制的信息系统数据存储层及组建方法。背景技术0002目前越来越多的工作需要利用到各种各样的信息系统，而信息系统的安全性越来越得到人们的关注，例如在信息系统的访问控制方面就需要注重其安全性，在一个信息系统中具有级别不同的各种用户，特定的用户只能访问特定的数据，而如果安全措施不到位，那么会出现用户可以访问到其不该访问的数据，从而造成泄密等事故，就可能给国家和企业造成难以挽回的损失。0003可见对于信息系统的用户访问需要进行相关安全策略的设计，从而达到对不同用户的访问进行控制的目的。相关的安全策略包括基于角色授权的用户控制策略，对于使用该策略的信息系统，其数据存储层也是一个待解决的问。

7、题。发明内容0004本发明的目的在于提供一种基于角色访问控制的信息系统数据存储层及组建方法，通过该数据存储层的数据表来实现对不同用户的访问进行控制的目的。0005根据本发明的第一方面，提供一种基于角色访问控制的信息系统数据存储层，包括0006用户数据表，用以存储所述信息系统注册用户的用户名、密码和登录次数；0007角色数据表，用以存储若干具有不同级别访问权限的角色，所述每个角色的访问权限包括所述信息系统数据的若干访问范围的集合；0008用户与角色关系数据表，用以存储所述用户和角色的匹配关系。0009所述用户数据表用以实现所述信息系统的用户注册、添加用户以及删除用户，所述用户数据表存储的用户登录。

8、次数，在所述用户每登录所述信息系统一次后加一。0010所述角色数据表用以实现所述信息系统的添加角色和删除角色，所述角色数据表存储的角色名作为该数据表的具有唯一ID的主键。0011所述用户与角色关系数据表用以实现所述信息系统进行所述角色添加用户、删除用户角色以及查询用户角色的操作，所述用户与角色关系数据表存储的用户与角色的匹配关系包括一对一、一对多以及多对一。0012另一方面，本发明还提供一种基于角色访问控制的信息系统数据存储层的组建方法，包括以下步骤0013建立用户数据表，使其存储所述信息系统注册用户的用户名、密码和登录次数；0014建立角色数据表，使其存储若干具有不同级别访问权限的角色，所述。

9、每个角色的访问权限包括所述信息系统数据的若干访问范围的集合；0015建立用户与角色关系数据表，使其存储所述用户和角色的匹配关系；说明书CN102004868ACN102004881A2/5页40016将所述信息系统用户数据、角色数据以及用户与角色关系数据写入所述数据表形成基于数据表存储的数据存储层。0017所述用户数据表用以实现所述信息系统的用户注册、添加用户以及删除用户，所述用户数据表存储的用户登录次数，在所述用户每登录所述信息系统一次后加一。0018所述角色数据表用以实现所述信息系统的添加角色和删除角色，所述角色数据表存储的角色名作为该数据表的具有唯一ID的主键。0019所述用户与角色关系。

10、数据表用以实现所述信息系统进行所述角色添加用户、删除用户角色以及查询用户角色的操作，所述用户与角色关系数据表存储的用户与角色的匹配关系包括一对一、一对多以及多对一。0020采用本发明所述的一种基于角色访问控制的信息系统数据存储层及组建方法，通过用户数据表存储所述信息系统注册用户的用户名、密码和登录次数，通过角色数据表存储若干具有不同级别访问权限的角色，通过用户与角色关系数据表存储所述用户和角色的匹配关系。该数据存储层的这些数据表供信息系统调用，实现系统用户信息的修改、用户与角色之间的匹配，进而实现对用户的访问权限进行赋予和控制的目的。附图说明0021图1为本发明所述数据存储层的原理框图；002。

11、2图2为本发明所述方法的流程图；0023图3为本发明所述基于角色授权的流程图。具体实施方式0024下面结合附图和实施例进一步说明本发明的技术方案，通过将本发明应用在毕业生管理系统中进行说明。0025参考图1，图1显示了一种基于角色访问控制的信息系统数据存储层100，包括用户数据表101、角色数据表102以及用户与角色关系数据表103，下面依次进行介绍0026用户数据表101，用以存储所述信息系统注册用户的用户名、密码和登录次数及学号或工号，见表1。所述用户数据表101用以实现所述信息系统的用户注册、添加用户以及删除用户，所述用户数据表101存储的用户登录次数，在所述用户每登录所述信息系统一次后。

12、加一。0027表1用户数据表0028列名数据类型允许空NAME主键NVARCHAR20否PASSWORDNVARCHAR20否COUNTSNUMERIC18，0是说明书CN102004868ACN102004881A3/5页5IDMAPNVARCHAR10否0029表1中的NAME表示用户登录时的用户名，数据类型为长度为20个字符的字符类型，用户名当然不允许空。PASSWORD就是用户登录时的密码，数据类型和NAME的一样也是长度为20个字符的字符类型。COUNTS表示用户的登录次数，在用户每登录一次后加一，数据类型为长度为18位，小数部分0位的数字类型。IDMAP表示用户的学号或工号，数据类。

13、型为长度为10个字符的字符类型。0030角色数据表102，用以存储若干具有不同级别访问权限的角色，所述每个角色的访问权限包括所述信息系统数据的若干访问范围的集合，见表2。所述角色数据表102用以实现所述信息系统的添加角色和删除角色，所述角色数据表102存储的角色名作为该数据表的具有唯一ID的主键。0031表2角色数据表0032列名数据类型允许空ROLENAME主键NVARCHAR20否0033表中ROLENAME表示角色名，数据类型为长度为20个字符的字符类型，不允许为空。0034用户与角色关系数据表103，用以存储所述用户和角色的匹配关系，见表3。所述用户与角色关系数据表103用以实现所述信。

14、息系统进行所述角色添加用户、删除用户角色以及查询用户角色的操作，所述用户与角色关系数据表103存储的用户与角色的匹配关系包括一对一、一对多以及多对一。0035表3用户与角色关系数据表0036列名数据类型允许空ID主键NUMERIC18，0否NAMENVARCHAR20否ROLENVARCHAR20否0037表中的ID表示流水号，由于姓名和角色之间的对应关系不是一对一，所以需要一个唯一的ID来作为主键。0038参见图2，本发明还提供一种基于角色访问控制的信息系统数据存储层的组建方法200，包括以下步骤0039201、建立用户数据表，使其存储所述信息系统注册用户的用户名、密码和登录次数。0040所。

15、述用户数据表用以实现所述信息系统的用户注册、添加用户以及删除用户，所说明书CN102004868ACN102004881A4/5页6述用户数据表存储的用户登录次数，在所述用户每登录所述信息系统一次后加一。0041202、建立角色数据表，使其存储若干具有不同级别访问权限的角色，所述每个角色的访问权限包括所述信息系统数据的若干访问范围的集合。0042所述角色数据表用以实现所述信息系统的添加角色和删除角色，所述角色数据表存储的角色名作为该数据表的具有唯一ID的主键。0043203、建立用户与角色关系数据表，使其存储所述用户和角色的匹配关系。0044所述用户与角色关系数据表用以实现所述信息系统进行所述。

16、角色添加用户、删除用户角色以及查询用户角色的操作，所述用户与角色关系数据表存储的用户与角色的匹配关系包括一对一、一对多以及多对一。0045204、将所述信息系统用户数据、角色数据以及用户与角色关系数据写入所述数据表形成基于数据表存储的数据存储层。0046下面介绍一下以上述数据表为基础的所述信息系统的数据存储层，是如何配合信息系统调用，实现系统用户信息的修改、用户与角色之间的匹配，进而实现对用户的访问权限进行赋予和控制的目的。0047建立所述信息系统的用户类文件，使所述用户类文件包括处理操作所述用户数据表的方法；调用所述用户类文件，所述用户类文件通过返回所述信息系统的数据处理层中对数据存储层操作。

17、的方法实现对所述用户数据表的操作，所述操作包括添加用户、删除用户、更新用户信息、根据用户名查询以及返回某个用户信息。用户类文件在具体建立时设为USER类，其中包含添加用户、删除用户、更新用户信息、根据用户名查询以及返回某个用户信息等方法。该类主要通过返回DAL层数据处理层SLOGIN类中对数据存储层操作的方法，实现需要的功能，从而保证了数据存储层的安全性。通过下面的代码结构，页面的后台代码只需要调用USER类中的添加、删除等方法就就可以实现对应的功能。如需要实现注册功能时，首先建立一个SLOGINMODEL，获得该MODEL所有的信息，然后建立一个操作的对象，再调用添加方法即可。其具体代码如下。

18、0048SLOGINMYSLOGINNEWSLOGIN；0049MYSLOGINNAMENAMETEXTTRIM；0050MYSLOGINPASSWORDNAMETEXTTRIM；0051MYSLOGINIDMAPNAMETEXTTRIM；0052USERSOPUSERNEWUSERS；0053OPUSERCREATUSERMYSLOGIN；0054其余功能代码也类似该结构。0055建立所述信息系统的角色类文件，使所述角色类文件包括处理操作所述角色数据表的方法。调用所述角色类文件，所述角色类文件通过返回所述信息系统的数据处理层中对数据存储层操作的方法实现对所述角色数据表的操作，所述操作包括添加。

19、角色、删除角色以及判断是否存在某角色。角色类文件在具体建立时设为ROLES类，其中包含添加角色、删除角色以及判断是否存在某角色等方法。该类中的方法也是通过返回DAL层中的方法来实现具体功能。实现相应功能时，同样先建立一个SROLELIB的MODEL并获得相关信息，然后通过调用ROLES类里面的相关方法就可以实现相关的功能。0056建立所述信息系统的用户与角色关系类文件，使所述用户与角色关系类文件包括说明书CN102004868ACN102004881A5/5页7处理操作所述用户与角色关系数据表的方法。调用所述用户与角色关系类文件，所述用户与角色关系类文件通过返回所述信息系统的数据处理层中对数据。

20、存储层操作的方法实现对所述用户与角色关系数据表的操作，所述操作包括给角色添加用户、返回某个用户所有角色的集合、返回一组用户的用户名匹配给定的角色、从某个角色中删除一组用户。用户与角色关系类文件在具体建立时设为USERSROLES类，USERSROLES类就是将用户和角色联系起来的类，其中给角色添加用户、返回某个用户所有角色的集合、返回一组用户他们的用户名匹配给定的角色、从某个角色中删除一组用户等方法。该类中的方法也是通过返回DAL层中SROLE类的方法来实现具体功能。实现相应功能时，同样先建立一个SROLE的MODEL并获得相关信息，然后通过调用USERSROLES类里面的相关方法就可以实现相。

21、关的功能。0057参见3，这里介绍一下授权在角色访问控制中的应用，基于角色的授权ROLEBASEDAUTHORIZATION，这种授权方式并不是根据用户来授权，而是通过给用户分配角色ROLE，再通过设置角色所具有的权限来从而实现给用户授权。从图2中看出，其过程分为用户角色分配，角色权限分配以及依据权限操作这几个步骤。0058需要指出的是，本发明所述一种基于角色访问控制的信息系统数据存储层的组建方法200和本发明所述一种基于角色访问控制的信息系统数据存储层100，两者在原理及实施例方面是相同或类似的，故两者的重复部分不再赘述。0059本技术领域中的普通技术人员应当认识到，以上的实施例仅是用来说明本发明，而并非用作为对本发明的限定，只要在本发明的实质精神范围内，对以上实施例的变化、变型都将落在本发明的权利要求书范围内。说明书CN102004868ACN102004881A1/2页8图1图2说明书附图CN102004868ACN102004881A2/2页9图3说明书附图CN102004868A。

展开阅读全文