概述
web系统,构建容易,但很容易出现漏洞,比如相同url地址、不同参数的访问就很难控制用户的越权访问。尤其在OA系统和电子商务系统等涉及信息保密性的系统里,使用通用的web架构就很容易出现用户修改参数获取不应该获取的信息的情况。然而,如果,我们能够将系统完全设计成流程引擎管理的系统,所有用户只能够查看到自己的流程所对应的表单信息,那么数据安全性就有了保障。在这样的系统设计下,我们需要关注的唯一点就是发起流程的.do方法的授权,以及.do方法中使用session中的用户id和用户机构id作为数据识别项,判定这个流程是属于哪些人的,从而确定哪些人有查看这个流程的表单数据的权限。即:
只有在待办列表中的流程,用户才有操作的权限;
只有在待办、已办列表中的流程,用户才有查看的权限;
待办列表和已办列表都使用session中的userId做为参数过滤。
而,公告类型的业务,只是把接收人设置为所有人,在公告业务归档阶段加入是否开放给新员工阅读的选项。
对于,待办和已办列表中留痕的记录,只需要判断表单数据内容是否属于当前用户的流程,如果是就可以查看。
这就解决了,数据显示权限判断的问题。而实现的开发复杂度也并不是特别高。
剩下的就是,用户、机构、角色、权限管理。其中,权限管理,只需指定发起某个流程的权限了。
对于管理员,可以定做与以上流程不同的功能页面,以显示和管理所有的数据内容。
最后
以上就是酷炫大白为你收集整理的使用流程引擎控制访问权限的可行性研究的全部内容,希望文章能够帮你解决使用流程引擎控制访问权限的可行性研究所遇到的程序开发问题。
如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。
本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
发表评论 取消回复