專利名稱:兩層和三層混合模式的界面集成方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)軟件行業(yè)用戶界面集成的領(lǐng)域��,在保證安全性的前提下����,提供了兩層和三層混合模式用戶界面集成的技術(shù)方法�,并使用戶帳戶得到統(tǒng)一的管理�。
背景技術(shù):
由于歷史原因以及技術(shù)本身的特點(diǎn)不同,很多企業(yè)往往存在兩層(C/S)和三層(B/S)的應(yīng)用系統(tǒng)����,而這兩類應(yīng)用系統(tǒng)往往采用獨(dú)立的權(quán)限控制�����,需要單獨(dú)打開(kāi)應(yīng)用程序�,分別登錄���,兩者之間難以直接傳遞信息��。
目前的一些單點(diǎn)登錄技術(shù)��,基本上是提供了這樣的一個(gè)框架�,通過(guò)這個(gè)框架�����,系統(tǒng)能夠幫助用戶在多個(gè)系統(tǒng)分別自動(dòng)登錄���,但幾個(gè)系統(tǒng)之間仍缺乏有機(jī)聯(lián)系���。
發(fā)明內(nèi)容
為解決兩層和三層環(huán)境下的界面集成問(wèn)題,本發(fā)明提供了一種從兩層系統(tǒng)的客戶端跳轉(zhuǎn)到三層系統(tǒng)的Web網(wǎng)頁(yè)的一種技術(shù)�,這種技術(shù)的核心是解決了兩層和三層混合體系的統(tǒng)一身份認(rèn)證和權(quán)限管理�����。
本發(fā)明所采用的技術(shù)方案如下1�����、兩層系統(tǒng)的數(shù)據(jù)庫(kù)賬戶在三層系統(tǒng)中的授權(quán)機(jī)制���。
在兩層系統(tǒng)中,有相當(dāng)一部分應(yīng)用系統(tǒng)的用戶帳戶直接采用了數(shù)據(jù)庫(kù)的賬號(hào)���;而在三層系統(tǒng)中�,數(shù)據(jù)庫(kù)帳戶一般只用于應(yīng)用服務(wù)器到數(shù)據(jù)庫(kù)服務(wù)器的登錄���,賬號(hào)數(shù)量一般為一個(gè)或幾個(gè)�,數(shù)量遠(yuǎn)遠(yuǎn)小于應(yīng)用系統(tǒng)的用戶帳戶���。一般三層系統(tǒng)有著自己的權(quán)限管理機(jī)制�,而這些權(quán)限管理機(jī)制大體上都是通過(guò)用戶帳戶到用戶組(崗位或角色)最后到訪問(wèn)權(quán)限這樣的過(guò)程進(jìn)行控制�。
為了做到在混合體系中用戶界面的集成,勢(shì)必就要在內(nèi)部機(jī)制上做到賬戶管理和授權(quán)管理的集成�。本方案是采用以下幾個(gè)環(huán)節(jié)的對(duì)應(yīng)關(guān)系實(shí)現(xiàn)賬戶和權(quán)限的統(tǒng)一管理兩層環(huán)境的用戶帳戶(數(shù)據(jù)庫(kù)賬戶)——三層環(huán)境的用戶組(崗位或角色)——三層環(huán)境的訪問(wèn)權(quán)限或者兩層環(huán)境的用戶帳戶(數(shù)據(jù)庫(kù)賬戶)——兩層環(huán)境的崗位(角色)——三層環(huán)境的用戶組(崗位或角色)——三層環(huán)境的訪問(wèn)權(quán)限
2、兩層系統(tǒng)客戶端調(diào)用三層系統(tǒng)Web網(wǎng)頁(yè)時(shí)的身份認(rèn)證機(jī)制����。
兩層系統(tǒng)客戶端調(diào)用三層系統(tǒng)Web網(wǎng)頁(yè)時(shí),需要在Web服務(wù)器端進(jìn)行客戶身份的認(rèn)證��,而傳統(tǒng)方法可以通過(guò)瀏覽器利用Post或Get方法傳遞相關(guān)參數(shù)��。但這會(huì)帶來(lái)兩個(gè)問(wèn)題(1)將用戶帳戶和口令通過(guò)參數(shù)傳遞意味著兩層的客戶端必須保存用戶首次登錄時(shí)的密碼����,在調(diào)用網(wǎng)頁(yè)時(shí),作為參數(shù)向服務(wù)器傳遞該密碼���。
(2)參數(shù)傳遞過(guò)程容易導(dǎo)致敏感信息的泄密����,Get方法傳遞的口令將在URL中顯示�,而Post方法傳遞的參數(shù)也容易通過(guò)網(wǎng)絡(luò)的偵聽(tīng)而被截取。
本發(fā)明采用的方法是��,避免在客戶端和服務(wù)器端之間傳遞敏感信息���,由應(yīng)用服務(wù)器來(lái)驗(yàn)證客戶端在數(shù)據(jù)庫(kù)服務(wù)器上的登錄情況��。其步驟如下(1)客戶端通過(guò)瀏覽器向Web服務(wù)器傳遞所需要訪問(wèn)的三層應(yīng)用系統(tǒng)的網(wǎng)頁(yè)�����,傳遞的參數(shù)中包含與當(dāng)前數(shù)據(jù)庫(kù)會(huì)話有關(guān)的參數(shù)�����,如本次登錄的數(shù)據(jù)庫(kù)帳戶名����。
(2)Web服務(wù)器收到客戶端的訪問(wèn)請(qǐng)求后,根據(jù)所傳遞的參數(shù)(如數(shù)據(jù)庫(kù)賬戶名)�、客戶端的地址(IP地址或者計(jì)算機(jī)名稱),在數(shù)據(jù)庫(kù)中查詢與當(dāng)前數(shù)據(jù)庫(kù)會(huì)話有關(guān)的表或視圖���,從而驗(yàn)證這一數(shù)據(jù)庫(kù)會(huì)話的合法性����。
(3)如果上述驗(yàn)證通過(guò)�,則在Session對(duì)象(指客戶端和Web服務(wù)器之間的會(huì)話)相應(yīng)變量中填入用戶身份的相關(guān)信息。
(4)根據(jù)這一用戶帳號(hào)和第1項(xiàng)所描述的授權(quán)機(jī)制�����,就可以提供對(duì)用戶請(qǐng)求頁(yè)面的訪問(wèn)權(quán)限控制。
通過(guò)這一方法���,可以避免非授權(quán)用戶通過(guò)指定的URL對(duì)相關(guān)Web頁(yè)面的非授權(quán)訪問(wèn)。針對(duì)兩層客戶端所調(diào)用的某一個(gè)Web網(wǎng)頁(yè)�����,在其他客戶機(jī)上調(diào)用或者在同一客戶機(jī)上但兩層客戶端未登錄期間訪問(wèn)均是無(wú)效的��。由于參數(shù)傳遞時(shí)不包含用戶口令等敏感信息�,因此,對(duì)Post方法的網(wǎng)絡(luò)偵聽(tīng)也是無(wú)效的��。
為了進(jìn)一步提高系統(tǒng)的安全性�����,可以增加兩層客戶端調(diào)用Web網(wǎng)頁(yè)時(shí)所傳遞的參數(shù)項(xiàng)����,如數(shù)據(jù)庫(kù)會(huì)話的創(chuàng)建時(shí)間、會(huì)話的ID號(hào)等����;還可以將相關(guān)的參數(shù)用某種方法進(jìn)行加密后傳遞���。
本發(fā)明的有益效果是,在保證安全性的前提下���,將兩層應(yīng)用系統(tǒng)的客戶端和三層應(yīng)用系統(tǒng)的客戶端在用戶界面上有機(jī)集成��,并使混合環(huán)境的用戶賬戶得到統(tǒng)一的管理�。這種集成���,使企業(yè)的多個(gè)信息系統(tǒng)在用戶界面上看來(lái)變成一個(gè)系統(tǒng)�����,大大提高了操作的便捷性�����。
權(quán)利要求
1.一種兩層和三層混合體系下用戶界面的集成方法�����,其特征是在保證安全性的前提下�,兩層系統(tǒng)的客戶端直接引用三層系統(tǒng)的Web網(wǎng)頁(yè)。
2.根據(jù)權(quán)利要求1所述的方法�,當(dāng)兩層應(yīng)用的客戶端引用Web網(wǎng)頁(yè)時(shí),所帶的參數(shù)為這一客戶端和數(shù)據(jù)庫(kù)之間會(huì)話的相關(guān)參數(shù)����,但不包含口令、對(duì)口令加密之后的密文這些敏感信息����;用戶身份由Web服務(wù)器根據(jù)客戶端的地址和上述參數(shù)在數(shù)據(jù)庫(kù)會(huì)話中進(jìn)行驗(yàn)證�����。
3.根據(jù)權(quán)利要求1所述的方法��,權(quán)限控制通過(guò)兩層應(yīng)用的數(shù)據(jù)庫(kù)用戶帳戶和三層應(yīng)用的角色���、權(quán)限之間的對(duì)應(yīng)關(guān)系來(lái)確定����。
4.權(quán)力要求2的方法��,為進(jìn)一步提高系統(tǒng)的安全性��,參數(shù)傳遞時(shí)可以采用某種方法進(jìn)行加密。
全文摘要
一種兩層和三層混合體系中用戶界面集成的方法����,該方法在保證安全性的前提下,由兩層應(yīng)用客戶端直接調(diào)用三層應(yīng)用的Web網(wǎng)頁(yè)�����。調(diào)用參數(shù)不包含用戶口令等敏感信息����,應(yīng)用服務(wù)器通過(guò)驗(yàn)證客戶端在數(shù)據(jù)庫(kù)中的會(huì)話來(lái)驗(yàn)證用戶的合法性;系統(tǒng)通過(guò)兩層應(yīng)用的數(shù)據(jù)庫(kù)賬戶和三層應(yīng)用的角色�����、權(quán)限的對(duì)應(yīng)關(guān)系實(shí)現(xiàn)混合體系中用戶身份和權(quán)限的統(tǒng)一管理��。
文檔編號(hào)G06F12/14GK1601491SQ0314334
公開(kāi)日2005年3月30日 申請(qǐng)日期2003年9月26日 優(yōu)先權(quán)日2003年9月26日
發(fā)明者任捷, 王偉峰, 陶暉, 蔣鴻城 申請(qǐng)人:紹興電力局