用户权限管理系统

用户权限 管理系统 工资管理系统慧云智能化管理系统免费考勤管理系统员工工资计算excel病人信息管理系统 用户权限管理系统1引言当前，企业的信息化和管理的网络化成为趋势，越来越多的企业构建自己的信息管理平台，实现管理手段的信息化，优化企业组织结构，提高企业对市场的灵敏度和竞争力。但将管理信息放到网络上，如何管理分配和控制用户的权限成为影响管理信息安全性的重要问题。ASP(ActiveServerPages,动态服务网页)是Microsoft公司于1996年年底推出的服务器端Web应用程序开发技术。ASP的脚本都在服务器端执行，提供了许多服务器端的对象和组件，返回给客户端的制式标准的Html页面，这样既降低了对客户端浏览器的要求，又是程序的安全性得到了保证，同时也使得我们可以对不同的用户提供不同的页面。另外，ASP还可以利用ADO(ActiveXDatabaseObjecct)组件提供给更加简单有效的访问数据库，并且支持几乎所有的脚本语言。综合ASP以上特点可以看出，使用ASP技术可以方便的开发出功能强大的服务器端用户权限管理系统，下面用一个实例来说明开发过程。2实例剖析系统描述该系统是用ASP为某公司企业的MIS系统开发用户权限管理系统，要求实现以下功能:(1)用户要分级别，不同级别具有不同权限(访问不同资源)。(2)一台计算机上可以有多个不同权限的用户。一个用户在不同的计算机上具有相同的权限。某些用户在自己计算机上无需输入用户名和密码，可自动登录。(5)用户管理支持IP地址的通配符和连接符。数据库的设计首先，根据该企业的要求将用户按照访问的对象划分成不同的权限级别;自动登录用户的IP要单独存放，便于查询。因此，在Userid.mdb中建立了两张表（见表1和表2）分别存放用户主要信息和自动登录用户的IP地址。表1用户信息表（user）字段名称数据类型字段说明Id文本用户名Password文本密码Access_level文本用户类型（用0,1字符串表示）Count文本访问次数Ip_address文本IP地址Menu_name文本菜单文件的路径和名称Op_check文本用户附加选项（自动登录、用户修改密码）Del_flag文本删除标记（1表示删除）No文本用户编号表2自动登录IP地址表（Autologin）字段名称数据类型字段说明Ip_address文本自动登录的IP地址在User表中，Access_level字段用以0或1组成的5b字符串表示不同的用户级别（管理员、高级用户、中级用户、普通用户和自定义用户），每一位表示一种级别，“0”无效，“1”有效;如，“10000”表示该用户具有管理员权限;各级别能够访问的对象显示在网页左边的树型菜单控件中，不同的用户显示不同的菜单，菜单的内容存放在相应的文件中，通过Menu_name字段来调用;Ip_address字段支持在IP地址第三、四段使用通配符“*”和连接符“-”，如，“792.168.2.*”，“192.168.151-153.10-100”；0p_check字段用2位0,1字符串表示用户附加选项，如“01”表示允许用户修改密码，“10”表示该用户为自动登录用户。在Autologin表中，Ip_address字段用来存发User中Op_check字段第一位是“1”的用户的IP地址。系统流程系统流程图如图一所示。用户登录首先由check.asp获取用户的IP信息，到数据库Userid.mdb的Autologin表中查找该IP信息，到数据库Userid.mdb的Autologin表中查找该IP是否为自动登录的用户。如果是，从User表中获取对应的权限，直接进入系统的主页;如果不是，就进入Login.asp，要求用户输入用户名、密码，通过验证后，获取相应的权限，进入系统主页。check.asp-login.asp用户访问判断是否为自动登录系统L及获取用户权限信息主页用户权限信息用户数据库Userid.mdb图1用户登录流程2.4用ASP.net实现系统ASP.net提供了内置的Session对象，以用来访问存储于用户的局部会话空间中的变量和对象，可以实现多个网页本地数据的共享和相互间的数据传递;本系统的许多全局信息就是采用这种方式来传递的，如，菜单文件的路径等。当用户通过浏览器访问时，首先使用ASP.net内置的服务器端变量获取用户的IP地址，判断该用户是否为自动登录，实现的代码如下：Ip-ad=reqeest.ServerVariables(“REMOTE_ADDR”)//获得用户ip地址IfCheckIP(ip_ad)Then?Check(ip_ad)?//检验是否为自动登录用户Session(“passed“)=True//Passed为True表示通过验证Logon=True//写入日志文件SetMyFileObject=Server.createobject(“scripting.filesyatemobject”)Physicalpath=Server.MapPath(“global/win.ins”)SetMyTextFile=MyFileObject.OpenTextFile(PhysicalPath,&true)MyTextFile.WriteLine(now()&”用户名"&ID&“IP地址为“&ip_ad&”自动登录网络”)MyTextFile.CloseEndif函数Check(ip_ad)作用是检查IP地址为ip_ad的用户是否为自动登录用户，如果是，就返回true;同时获取该用户对应的权限和级别;如果不是，就返回False。具体代码如下：//实现自动登录用户判断的函数FunctionCheckIP(ip_ad)//连接Userid.mdb数据库Setconn=Server.CreateObject(“ADODB.connection”)Param=“driver={MicrosoftAccessDriver(*.mdb)}”Conn.Openparam&”;dbq=”&Server.MapPath(“”userid.mdb”)&;Pwd=access_level”Sql=“Selectip_adressFormautologin”//打开自动登录Autologin表Setrs=server.CreateObject(“ADODB.Recordset”)Rs.Opensql,connRs.CacheSize=5Ifrs.EOFthen//如果有自动登录用户，则返回FalseCheckIP=FalseRs.closeElseRs.movefirstDowhile(notrs.cof)and(flag-false)Flag=TureIp_auto=rs(0)//从Autologin表中获得IP地址进行比较Fori=1to4//如果为“*”，则不用比较，实现通配符操作IfGetip(rs(0),i)<>”*”then//Getip(ip_ad,n)函数，实现了IP地址连接符的使用IfGetip(ip_ad,i)<>Getip(rs(0),i)thenFlag=falseIp_auto=””EndifEndifNextRs.movenextLoopCheckIP=falseIfflag=truethen//如果在Autologin表中查找到符合太监的记录Ifrs.RecordCount<=1then//如果Autologin表中只有一条记录Rs.MoveFirstElseIfrs.EOFthen//如果符合条件的是最后一条记录Rs.Movel,astElseRs.Move-1EndifEndifCheckIP=true//设定返回值为True“select*fromcon.execute(sql1)&counter&”//按查找的IP地址到User表中查找相应的权限SqlluserWhereip_address=„”&ip_auto&”?”SetrslIfnotrsl.EOFthenCounter=cint(rsl(3))+1//访问计数加1Session(“ID”)=rsl(“id”)//获取用户名，存入Session变量中共享//查找用户对应的菜单文件和IP地址以及类型Setrsl=conn.execute(“updateusersetcount=”Whereip_adress=„”&ip_auto&”?”)//更新访问次数Sql2=“select*fromuserwhereip_adress=„”&ip_auto&”?”setrs2=conn.execute(sql2)session(“access”)=rs2(“Access_level”)//获取权限Session(“user_menu”)=rs2(5)//获取用户的菜单文件路径Session(“user_op”)=rs2(6)//获取用户的附加选项EndifEndifEndifConn.closeEndFunction函数Getid(ip_ad,n)的作用是实现IP地址第三段和第四段中的连接符使用，ip_ad为要检查的ip地址变量，n表示要检查的是IP地址的第n段内容，如果找到则返回对应的值，否则返回999.主要代码如下://实现网段连接符-要把userid和ip_address字段长度改为24FunctionGetid(ip_ad,n)Ifn=1thenI=instr(1,ip_ad,“.”)Getid=mid(ip_ad,l,i-1)EndifIfn=3thenI=instr(l,ip_ad,”.”)i=instr(i+1,ip_ad,”.”)j=instr(i+1,ip_ad,”.”)//实现IP地址第三部分网段划分Ip_3=mid(ip_ad,i+1,j-i-1)Ifinstr(1,ip_3,”-”)=0then//如果第三部分没有使用连接符，就直接赋值Getip=ip_3Elsei=instr(l,ip_3,”-”)//如果第三部分使用了连接符，则进行分解J=len(ip_3)Ip_f=mid(ip_3,l,i-1)//获取开始的位置Ip_b=right(ip_3,j-i)//获取结束的位置Ip.test=Request.ServerVariables(“REMOTE_ADDR”)//获得用户IP地址I二instr(l,ip_testI=instr(i+1,ip_test,”.”)J=instr(i+1,ip_test,”.”)Ipu=mid(ip_test,i+1，j-i-1)//比较用户的IP地址的第三部分是否符合要求If(cint(ip_u)>)>=cint(ip_f)and(cint(ip_u)<=cint(ip_b))thenGetip=ip_uElseGetip=999EndifEndifEndIfn=4thenI=instr(l,ip_ad,”.”)EndFunction如果不是自动登录的用户，则进入Longin.asp页面，要求其输入用户名和密码。ID=Request(“ID”)//输入用户名Pwd=Request(“Pwd”)//输入密码IfID=””ThenHead=“请输入用户名和密码”ElselfNotCheckPwd(ID,Pwd,ip_ad)ThenHead=“用户名称或密码错误”ElseSession(“passed”)=TrueSession(“ID”)=IDLogon=TrueEndif函数CheckPwd(ID,Pwd,ip_ad)的作用是检查用户名为ID，密码为Pwd,IP地址为ip_ad的用户是否合法，如果合法就获取其相应的权限。该函数的实现具体的代码可参考函数CheckIP(ip_ad)。本系统主网页是一个框架网页，左面调用了一个树型菜单控件，根据不同的用户类别显示不同的菜单，实现代码如下:〈paramname二"menu_name"value二"<\%二session(“user_menu”)%>”>用一个Session变量来给控件的参数赋值，实现对显示菜单的控制。该系统使用ASP技术将用户的权限控制为两层：(1)根据用户不同的权限显示不同的菜单，如果用户无权访问某个页面(资源)，就不将该页面的链接显示在左边的菜单中，这样不仅可以防止用户得知一些不该知道的地址，还可以使用户操作变得简单明了。(2)在用户对某个页面发出请求是再次判断用户的权限，即判断Session(“Access”)的值，只有当用户具有访问权限时才将页面发送给用户，否则返回无权查看信息，实现代码如下：”then%><%ifmid(Session(“access”),3,1)=”1页面内容<%else%>对不起，权限不够<%endif%>即使用户通过其他途径知道页面的地址，在浏览其中直接注入页面的地址也无权进入页面。3结语ASP.net技术由于内置功能强大的组件，较高的安全性能，已成为网络开发中的一种流行的语言。本文介绍的基于ASP.net的用户权限管理的方法，不仅使得分配用户权限更加灵活、有效，也对用户的访问权限给予了强有力的控制，当然系统的安全是多方面的，本系统还要和其他安全措施配合使用，才能更加有效地发挥作用。参考资料