当用户的身份得到确认后,兵棋系统需要提供基于角色的访问控制机制对用户进行授权。此处的角色,与上文中所说的身份认证的三类角色不是同一含义,而是相对于兵棋系统而言,即身份认证中所有“最终用户”再区分的角色,与第八章第四节中用户角色是同一含义。通过对兵棋系统合法的访问者进行具体角色分配,从而确定访问者在系统中对哪类资源有怎样的访问权限。譬如,很多新型武器装备的关键数据,只有专门负责数据准备和录入的组训人员才能够访问并修改,甚至其他导调人员都不能直接访问或者只能查看,不能修改。权限管控功能主要包括角色授权、委托授权、权限复制等授权方式,以及页面级权限、菜单项权限、数据级权限等管控方式。
角色授权,即为推演准备、实施、总结等全过程中涉及同类型行为和职能范围的一组人定义角色,并对角色分配访问兵棋系统的权限。这种方式可以简化授权管理的工作量。
委托授权,即允许兵棋系统的某些用户在满足一定条件下或经过特定审批流程后,为其他用户授予临时的权限。譬如,可以设立“兵棋组训人员”这一角色,然后再委托授权其中某些人员主要负责兵棋推演准备工作,另一些人员主要负责兵棋推演导控工作。
权限复制,允许把A角色所拥有的所有权限复制到B角色中,这时B角色所拥有的权限是A角色拥有的权限和原来B角色拥有权限的合集。这种授权方式通常需要慎用,只适用于系统功能区分比较详细、推演组织协调比较复杂的情况。
无论是哪种授权方式,归根到底,还是要落实到“权限”的划分上,即权限管控方式上。从军事人员的角度来看,兵棋系统的使用权限划分,通常体现在各种具体的功能上;而从技术人员的角度来看,兵棋系统的权限管控方式,则通常体现在菜单项、页面区域和数据选项之中。(www.xing528.com)
菜单项权限,即对兵棋系统内的菜单权限定义了“可见”和“不可见”两种状态,不同权限的用户对应于各个菜单分别为“可见”或“不可见”。用户登录系统后,只能看见所有“可见”的菜单。尤其是整体技术架构采用B/S(浏览器/服务器)架构的兵棋系统,各种可区分的功能选项,均可以在登录后主界面上用菜单进行页面链接,这样能够快捷地设置哪些菜单对于哪些用户可见,从而实现权限的管控。
页面级权限,即对兵棋系统某些页面内的具体输入区域、按钮和下拉列表等空间,页面级权限定义了“可写”、“只读”、“隐藏”和“不可见”等四种权限,针对不同用户可以设置不同的权限。其目的是既保持页面整体风格的一致性,又便于实现权限的管控。
数据级权限,即对兵棋系统所有可访问的数据定义“行级”、“列级”和“表达式”权限。数据级权限是在执行SQL语句前把一些限制条件加入到SQL语句中,实际执行的是修改后的带有各种条件限制的SQL语句。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
