基于角色的访问控制体系在实际项目中的应用

最近，在 给安徽某军工厂撰写2008年信息化项目规划方案。

客户的需求大体是这样的：

第一，想建设一个信息门户，将所有的业务应用系统都通过该信息门户展现。

第二，要建立一个框架，在这个框架上可以开发业务应用，他们对这个框架的需求是需要工作流引擎、搜索引擎

第三，要对目前C/S结构的OA重新翻版，新建一批业务应用，如项目管理、绩效管理、文档管理、知识管理等。

我与客户电话沟通之后，考虑许久，迟迟没有动笔。

最终，我觉得要从两个角度来考虑他们的需求。

第一个角度，必须从业务应用的软件系统生命周期来看。

一个业务应用软件系统一般过程会是这样的：需求调研、需求分析、需求设计、功能设计、系统设计、开发、调试、试运行，然后正式上线运行，最后还有可能升级改造。所以客户将要建立的这个框架平台提供的功能，我个人认为必须涵盖一个业务应用软件项目的整个生命周期的大部分需求，而且如开发、现场部署初始化、运行维护这三个阶段的需求则必须涵盖。

第二个角度，必须从业务应用的软件系统需求分类来看。

一个业务应用软件系统，尤其是企业级业务应用系统，一般具备组织机构及人员管理、权限分配管理及访问控制、登录身份验证这三部分功能。除此之外，一个业务应用的本身业务功能会有流程类、统计分析类、信息发布类、全文检索类这几类业务需求。既然要建设一个框架平台，这部分完全可以纳入到框架平台，各个业务应用系统只是来使用框架平台提供的功能。而这些功能我们可以暂且称其为组件，这些组件在设计体系架构时，则必须涵盖软件项目生命周期每个阶段的要求，特别是开发、现场部署初始化、运行维护这三个阶段。

因此，每个组件都需具备开发接口或开发工具或开发API，现场初始化时候的配套工具或者其它类似东东，以及运行时候的监控运行界面。

讲了这么多，怎么还没有见到基于角色的访问控制啊，呵呵。

在框架平台里，我认为分成三类组件：基础组件、技术功能组件、门户组件。

技术功能组件，在业务应用系统开发业务的时候使用，如工作流、商务智能、搜索引擎、信息发布等。

门户组件，相对比较简单，就是可以在展现层集成各个业务应用系统。当然门户除此之外还有很多其它功能，这里不是强调重点。

而基础组件，我就将基于角色的访问控制纳入到这类组件了。一般一个业务应用软件系统必须具备的组织机构及人员管理、权限分配管理及访问控制、登录身份验证这些功能纳入到基础组件的范畴。

我认为：将这些基础功能分成四个组件最合适：

1）业务应用系统及业务功能注册管理。

2）多组织机构及人员管理。

3）基于角色的授权及访问控制。

4）登录身份验证，可以做到单点登录范畴的功能。