使用流程引擎控制访问权限的可行性研究
来源:互联网 发布:多益网络股价 编辑:程序博客网 时间:2024/06/05 01:34
web系统,构建容易,但很容易出现漏洞,比如相同url地址、不同参数的访问就很难控制用户的越权访问。尤其在OA系统和电子商务系统等涉及信息保密性的系统里,使用通用的web架构就很容易出现用户修改参数获取不应该获取的信息的情况。然而,如果,我们能够将系统完全设计成流程引擎管理的系统,所有用户只能够查看到自己的流程所对应的表单信息,那么数据安全性就有了保障。在这样的系统设计下,我们需要关注的唯一点就是发起流程的.do方法的授权,以及.do方法中使用session中的用户id和用户机构id作为数据识别项,判定这个流程是属于哪些人的,从而确定哪些人有查看这个流程的表单数据的权限。即:
只有在待办列表中的流程,用户才有操作的权限;
只有在待办、已办列表中的流程,用户才有查看的权限;
待办列表和已办列表都使用session中的userId做为参数过滤。
而,公告类型的业务,只是把接收人设置为所有人,在公告业务归档阶段加入是否开放给新员工阅读的选项。
对于,待办和已办列表中留痕的记录,只需要判断表单数据内容是否属于当前用户的流程,如果是就可以查看。
这就解决了,数据显示权限判断的问题。而实现的开发复杂度也并不是特别高。
剩下的就是,用户、机构、角色、权限管理。其中,权限管理,只需指定发起某个流程的权限了。
对于管理员,可以定做与以上流程不同的功能页面,以显示和管理所有的数据内容。
1 0
- 使用流程引擎控制访问权限的可行性研究
- 文件的访问权限控制
- Java访问权限的控制
- java的访问控制权限
- 文件的访问权限控制
- Java 访问权限的控制
- c++访问权限的控制
- java的访问权限控制
- Java的访问控制权限
- 使用nginx作图片服务器的访问权限控制
- 防止用户直接访问url的权限控制(使用过滤器)
- java 使用过滤器控制用户访问权限
- 使用Hadoop ACL 控制访问权限
- jsf的访问权限控制(控制访问页面)思路
- 如何使用命令行更改文件以及文件夹的访问控制权限,从而达到最高权限控制文件的目的
- 类的访问控制权限讨论
- 基于角色访问的权限控制
- 控制视图页面的访问权限
- adobe photoshop cc 2014 安装失败
- 三着色问题 递归和迭代方法 打印着色方案
- NSNotification、delegate、KVO之间的区别
- git使用心得
- java进阶-创建和销毁对象4
- 使用流程引擎控制访问权限的可行性研究
- Linux查看运行时长及上次重启时间
- MySql连接CommunicationsException错误
- Android系统adb调试命令及常用抓log方法
- Rails项目中使用jQuery操作session
- DDD领域驱动模型设计
- WEBI上如何取前一天
- 用Ranorex进行安卓IOS自动化测试
- An Evaluation of Bong Joon-ho’s Snowpier