張紅祥

(泰州學(xué)院 ，江蘇 泰州 225300)

伴隨著高校發(fā)展與終身教育理念的深入人心，普通高校的成人教育得到了快速發(fā)展，教育教學(xué)方式也發(fā)生深刻的變化，[1]這對(duì)成人教育管理提出了更高的要求.權(quán)限控制是管理信息系統(tǒng)的必要組成部分.如何從成人教育管理的實(shí)際出發(fā)，實(shí)現(xiàn)簡(jiǎn)便、高效的權(quán)限控制是當(dāng)前開發(fā)成教管理系統(tǒng)的重點(diǎn).筆者在開發(fā)泰州學(xué)院成人教務(wù)管理系統(tǒng)過程中，面對(duì)系統(tǒng)權(quán)限控制，研究并設(shè)計(jì)實(shí)現(xiàn)了基于ASP.NET母板頁的權(quán)限控制管理.

1 成教管理系統(tǒng)

成人繼續(xù)學(xué)歷教育有四種主要形式，分別是成人高等教育(成人高考)、高等教育自學(xué)考試(自考)、網(wǎng)絡(luò)大學(xué)(網(wǎng)絡(luò)教育)和電大現(xiàn)代遠(yuǎn)程開放教育(電大).[2]部分學(xué)歷教育項(xiàng)目有相應(yīng)的信息管理系統(tǒng)，但系統(tǒng)間共性部分不能互訪且存在數(shù)據(jù)不一致等問題.

1.1 成教管理系統(tǒng)的實(shí)現(xiàn)方式

采購成熟產(chǎn)品.目前相應(yīng)教育管理系統(tǒng)的產(chǎn)品有很多，功能強(qiáng)大，全套系統(tǒng)的價(jià)格較高.但這類產(chǎn)品存在同質(zhì)化的問題，即不能適應(yīng)不同類型與層次高校的需求.往往此類產(chǎn)品實(shí)際部署后大多只使用了系統(tǒng)內(nèi)的部分功能，同時(shí)對(duì)學(xué)校原有系統(tǒng)的數(shù)據(jù)接口不太友好.通常采購此類成熟產(chǎn)品的學(xué)校會(huì)為了適應(yīng)系統(tǒng)而改變?cè)械囊恍I(yè)務(wù)流程和規(guī)范.

定制系統(tǒng).此類系統(tǒng)通常是由專業(yè)軟件公司為某一學(xué)校進(jìn)行量身訂做一套管理系統(tǒng)，系統(tǒng)的集成度較高，功能切合實(shí)際.但此類定制系統(tǒng)，如果要做到功能完善，往往價(jià)格高昂，且后期維護(hù)升級(jí)費(fèi)用也將是一筆不小的開銷.

自主、半自主開發(fā).此類系統(tǒng)在國內(nèi)較為常見，一般具有一定實(shí)力的高校通常會(huì)自主開發(fā)相應(yīng)的管理信息系統(tǒng)，即各職能部門或者院系獨(dú)立開發(fā)、或者購買軟件公司成熟的框架進(jìn)行開發(fā).自主開發(fā)有著較高的系統(tǒng)契合度，也能較好的適應(yīng)現(xiàn)實(shí)業(yè)務(wù)流程，同時(shí)后期的維護(hù)與功能升級(jí)也會(huì)有較高的響應(yīng).

泰州學(xué)院成教管理系統(tǒng)主要采用自主開發(fā)的方式，該系統(tǒng)將緊緊圍繞學(xué)校的成教培養(yǎng)目標(biāo)與辦學(xué)實(shí)際，規(guī)范現(xiàn)有的管理模式，提高各項(xiàng)工作的效率.

1.2 系統(tǒng)角色與權(quán)限需求

成教管理系統(tǒng)一般包括系統(tǒng)管理員、學(xué)籍管理員、考務(wù)管理員、教務(wù)管理員、財(cái)務(wù)人員、教師、班主任、部門領(lǐng)導(dǎo)等角色.成人教育通常會(huì)借助現(xiàn)代遠(yuǎn)程教育技術(shù)實(shí)現(xiàn)跨地域的教育教學(xué)實(shí)施，因而通常會(huì)有諸如分校、教學(xué)點(diǎn)、聯(lián)合辦學(xué)點(diǎn)等多種形式的校外站點(diǎn).系統(tǒng)主要角色可由圖1表示.

圖1 泰州學(xué)院成教管理系統(tǒng)角色劃分

從圖1可知，該系統(tǒng)基本為成教院與教學(xué)點(diǎn)的兩層組織結(jié)構(gòu)，后期還將擴(kuò)充成三層，即加入以學(xué)生服務(wù)為中心的學(xué)生服務(wù)層.這三層主體結(jié)構(gòu)是成人教管系統(tǒng)的角色劃分依據(jù).

1.3 角色功能劃分

根據(jù)以上對(duì)成教管理系統(tǒng)角色劃分，可以得到該系統(tǒng)的主要功能，如圖2所示.

圖2 泰州學(xué)院成教管理系統(tǒng)功能劃分

1.4 系統(tǒng)開發(fā)模式

B/S模式由于其跨平臺(tái)特性使得系統(tǒng)部署和維護(hù)變得非常方便.JavaScript的客戶端技術(shù)的廣泛深入應(yīng)用也使得瀏覽器能夠分擔(dān)服務(wù)器的部分任務(wù)，部分頁面UI呈現(xiàn)、客戶端交互等計(jì)算交由瀏覽器來完成.另一方面HTML5標(biāo)準(zhǔn)得到迅速推廣，各大主流瀏覽器支持或正在支持新的HTML5標(biāo)準(zhǔn).Jquery、AJAX等JavaScript框架技術(shù)使得瀏覽器前端開發(fā)變得非常便捷與高效.所以，泰州學(xué)院成教管理系統(tǒng)將采用B/S模式進(jìn)行開發(fā).

2 系統(tǒng)權(quán)限控制

2.1 權(quán)限控制方法

WEB管理系統(tǒng)權(quán)限控制主要有以下三種方式.

強(qiáng)制訪問控制(Mandatory Access Control)它是系統(tǒng)強(qiáng)制主體服從事先制定訪問的控制策略.它預(yù)先定義了用戶級(jí)別、信息級(jí)別并通過比較這兩者的級(jí)別來進(jìn)行合法性的驗(yàn)證.

自主訪問控制(Discretionary Access Control)它是在確認(rèn)主體身份及所屬組的基礎(chǔ)上，對(duì)訪問者進(jìn)行限定的一種控制策略.訪問控制策略保存在一個(gè)矩陣中，矩陣的每個(gè)元素表示一個(gè)主體對(duì)一個(gè)客體的訪問控制.[3]

基于角色的訪問控制(Role-Base Access Control, RBAC).RBAC是目前應(yīng)用較為普遍的一種訪問控制方法.它主要由用戶、角色和權(quán)限三個(gè)實(shí)體構(gòu)成.角色跟用戶之間、權(quán)限跟角色之間都是多對(duì)多的關(guān)系，用戶跟權(quán)限之間沒有直接的關(guān)系.角色根據(jù)不同的需求設(shè)定，賦予角色不同權(quán)限，用戶通過關(guān)聯(lián)不同的角色而擁有不同的權(quán)限.角色如果有新的功能加入，用戶相應(yīng)的就被賦予新的權(quán)限.[4]

由于目前基于B/S模式的管理系統(tǒng)規(guī)模不斷擴(kuò)大，同時(shí)需求定義隨著時(shí)間的推移也會(huì)不斷變化，因此采用基于角色的權(quán)限控制模式會(huì)有較好的適應(yīng)性.泰州學(xué)院成教管理系統(tǒng)主要采用此種模式.

2.2 權(quán)限控制設(shè)計(jì)

在泰州學(xué)院成教管理系統(tǒng)的權(quán)限設(shè)計(jì)部分，主要考慮到三層主體(成教院、教學(xué)點(diǎn)、學(xué)生)對(duì)系統(tǒng)的需求，將系統(tǒng)功能依據(jù)各層主體進(jìn)行橫向劃分，而對(duì)于系統(tǒng)中的處理對(duì)象根據(jù)需求進(jìn)行縱向劃分.

橫向劃分.整個(gè)系統(tǒng)的主要功能被劃分成：首頁、招生、繳費(fèi)、學(xué)籍、教學(xué)、考務(wù)、系統(tǒng)以及其它共8個(gè)一級(jí)菜單.相應(yīng)的每個(gè)一級(jí)菜單下是最多可存在31項(xiàng)的二級(jí)菜單.這樣系統(tǒng)的主要功能將最多被橫向劃分成248個(gè)入口.系統(tǒng)的一級(jí)菜單劃分如圖3所示.

圖3 系統(tǒng)一級(jí)菜單劃分

考慮到便捷性，這里的菜單權(quán)限采用二進(jìn)制的方式表達(dá).每個(gè)一級(jí)菜單項(xiàng)所包含的二級(jí)菜單的訪問權(quán)限被表示成一個(gè)32位的整形數(shù)，有效位的最高位1被用做分隔符.構(gòu)成類似于10010101，11101100111……的用逗號(hào)隔開的8個(gè)整型數(shù).

縱向劃分.對(duì)于教學(xué)點(diǎn)、教師、學(xué)生的操作對(duì)象權(quán)限范圍控制主要采用縱向劃分的方法，相應(yīng)對(duì)象的權(quán)限范圍被表述成特定字符串，一般由對(duì)象ID列表和通配符構(gòu)成.比如對(duì)于商學(xué)院這一教學(xué)學(xué)院的函授?？瓶紕?wù)管理員角色，將被相應(yīng)的教學(xué)點(diǎn)代碼、學(xué)生類別代碼、學(xué)生層次代碼加以限制，使得該角色只能訪問權(quán)限字符串指定的一個(gè)或多個(gè)對(duì)象.

特殊權(quán)限指定.以上兩種權(quán)限劃分方式的好處是有良好的適應(yīng)性.但對(duì)于某些特殊的權(quán)限需求，或者后期因業(yè)務(wù)需求變化導(dǎo)致的某些特別權(quán)限需求，那么預(yù)先設(shè)定的劃分將不能完全滿足需要.比如在繳費(fèi)功能中，需要臨時(shí)增加最終繳費(fèi)確認(rèn)審核，這部分的權(quán)限控制將通過擴(kuò)充自定義控件來實(shí)現(xiàn).在系統(tǒng)中應(yīng)盡力避免使用特殊權(quán)限指定，過多的權(quán)限硬編碼會(huì)導(dǎo)致系統(tǒng)結(jié)構(gòu)變得僵硬，難以適應(yīng)新的需求.

3 基于ASP.NET母板頁的系統(tǒng)權(quán)限控制實(shí)現(xiàn)

(1)母板頁.母板頁是微軟ASP.NET2.0引入的一個(gè)特性，它使得我們能夠借助母板頁，讓所關(guān)聯(lián)的頁面繼承一致的外觀與行為.它類似一個(gè)小型框架，包含一個(gè)或多個(gè)預(yù)留給頁面的編輯區(qū)域，而所有應(yīng)用該母板的頁面將自動(dòng)擁有母板公共部分的UI與行為.本系統(tǒng)中，將由母板頁結(jié)合客戶端腳本，負(fù)責(zé)實(shí)現(xiàn)統(tǒng)一的頂欄logo、用戶信息、功能菜單、權(quán)限控制、公用服務(wù)等功能.

(2)功能菜單構(gòu)造.系統(tǒng)的功能菜單構(gòu)造主要利用Jquery框架來實(shí)現(xiàn)，并放置到外部Common.js文件中.在母板頁中已經(jīng)預(yù)先定義了兩個(gè)布局DIV標(biāo)簽，一級(jí)菜單對(duì)應(yīng)ID為“daohang”，二級(jí)菜單對(duì)應(yīng)ID為“l(fā)eft”.這樣母板每次頁面加載時(shí)將由客戶端腳本加載頁面的菜單.主要客戶端腳本如下：

$("#daohang").append("