專利名稱:兩層和三層混合模式的界面集成方法
技術領域:
本發(fā)明涉及計算機軟件行業(yè)用戶界面集成的領域�����,在保證安全性的前提下�����,提供了兩層和三層混合模式用戶界面集成的技術方法�����,并使用戶帳戶得到統(tǒng)一的管理。
背景技術:
由于歷史原因以及技術本身的特點不同����,很多企業(yè)往往存在兩層(C/S)和三層(B/S)的應用系統(tǒng),而這兩類應用系統(tǒng)往往采用獨立的權限控制�����,需要單獨打開應用程序��,分別登錄�����,兩者之間難以直接傳遞信息��。
目前的一些單點登錄技術�,基本上是提供了這樣的一個框架,通過這個框架����,系統(tǒng)能夠幫助用戶在多個系統(tǒng)分別自動登錄�,但幾個系統(tǒng)之間仍缺乏有機聯(lián)系。
發(fā)明內容
為解決兩層和三層環(huán)境下的界面集成問題��,本發(fā)明提供了一種從兩層系統(tǒng)的客戶端跳轉到三層系統(tǒng)的Web網頁的一種技術,這種技術的核心是解決了兩層和三層混合體系的統(tǒng)一身份認證和權限管理�。
本發(fā)明所采用的技術方案如下1、兩層系統(tǒng)的數(shù)據(jù)庫賬戶在三層系統(tǒng)中的授權機制��。
在兩層系統(tǒng)中��,有相當一部分應用系統(tǒng)的用戶帳戶直接采用了數(shù)據(jù)庫的賬號��;而在三層系統(tǒng)中��,數(shù)據(jù)庫帳戶一般只用于應用服務器到數(shù)據(jù)庫服務器的登錄����,賬號數(shù)量一般為一個或幾個,數(shù)量遠遠小于應用系統(tǒng)的用戶帳戶���。一般三層系統(tǒng)有著自己的權限管理機制���,而這些權限管理機制大體上都是通過用戶帳戶到用戶組(崗位或角色)最后到訪問權限這樣的過程進行控制。
為了做到在混合體系中用戶界面的集成��,勢必就要在內部機制上做到賬戶管理和授權管理的集成�。本方案是采用以下幾個環(huán)節(jié)的對應關系實現(xiàn)賬戶和權限的統(tǒng)一管理兩層環(huán)境的用戶帳戶(數(shù)據(jù)庫賬戶)——三層環(huán)境的用戶組(崗位或角色)——三層環(huán)境的訪問權限或者兩層環(huán)境的用戶帳戶(數(shù)據(jù)庫賬戶)——兩層環(huán)境的崗位(角色)——三層環(huán)境的用戶組(崗位或角色)——三層環(huán)境的訪問權限
2、兩層系統(tǒng)客戶端調用三層系統(tǒng)Web網頁時的身份認證機制。
兩層系統(tǒng)客戶端調用三層系統(tǒng)Web網頁時���,需要在Web服務器端進行客戶身份的認證���,而傳統(tǒng)方法可以通過瀏覽器利用Post或Get方法傳遞相關參數(shù)。但這會帶來兩個問題(1)將用戶帳戶和口令通過參數(shù)傳遞意味著兩層的客戶端必須保存用戶首次登錄時的密碼�����,在調用網頁時��,作為參數(shù)向服務器傳遞該密碼���。
(2)參數(shù)傳遞過程容易導致敏感信息的泄密���,Get方法傳遞的口令將在URL中顯示,而Post方法傳遞的參數(shù)也容易通過網絡的偵聽而被截取�。
本發(fā)明采用的方法是,避免在客戶端和服務器端之間傳遞敏感信息����,由應用服務器來驗證客戶端在數(shù)據(jù)庫服務器上的登錄情況。其步驟如下(1)客戶端通過瀏覽器向Web服務器傳遞所需要訪問的三層應用系統(tǒng)的網頁�����,傳遞的參數(shù)中包含與當前數(shù)據(jù)庫會話有關的參數(shù)���,如本次登錄的數(shù)據(jù)庫帳戶名���。
(2)Web服務器收到客戶端的訪問請求后,根據(jù)所傳遞的參數(shù)(如數(shù)據(jù)庫賬戶名)�、客戶端的地址(IP地址或者計算機名稱),在數(shù)據(jù)庫中查詢與當前數(shù)據(jù)庫會話有關的表或視圖�����,從而驗證這一數(shù)據(jù)庫會話的合法性�����。
(3)如果上述驗證通過�����,則在Session對象(指客戶端和Web服務器之間的會話)相應變量中填入用戶身份的相關信息���。
(4)根據(jù)這一用戶帳號和第1項所描述的授權機制���,就可以提供對用戶請求頁面的訪問權限控制�����。
通過這一方法�����,可以避免非授權用戶通過指定的URL對相關Web頁面的非授權訪問��。針對兩層客戶端所調用的某一個Web網頁�����,在其他客戶機上調用或者在同一客戶機上但兩層客戶端未登錄期間訪問均是無效的����。由于參數(shù)傳遞時不包含用戶口令等敏感信息�,因此,對Post方法的網絡偵聽也是無效的����。
為了進一步提高系統(tǒng)的安全性,可以增加兩層客戶端調用Web網頁時所傳遞的參數(shù)項����,如數(shù)據(jù)庫會話的創(chuàng)建時間�����、會話的ID號等;還可以將相關的參數(shù)用某種方法進行加密后傳遞�����。
本發(fā)明的有益效果是����,在保證安全性的前提下,將兩層應用系統(tǒng)的客戶端和三層應用系統(tǒng)的客戶端在用戶界面上有機集成����,并使混合環(huán)境的用戶賬戶得到統(tǒng)一的管理。這種集成��,使企業(yè)的多個信息系統(tǒng)在用戶界面上看來變成一個系統(tǒng)����,大大提高了操作的便捷性。
權利要求
1.一種兩層和三層混合體系下用戶界面的集成方法�����,其特征是在保證安全性的前提下,兩層系統(tǒng)的客戶端直接引用三層系統(tǒng)的Web網頁����。
2.根據(jù)權利要求1所述的方法,當兩層應用的客戶端引用Web網頁時��,所帶的參數(shù)為這一客戶端和數(shù)據(jù)庫之間會話的相關參數(shù)�����,但不包含口令����、對口令加密之后的密文這些敏感信息;用戶身份由Web服務器根據(jù)客戶端的地址和上述參數(shù)在數(shù)據(jù)庫會話中進行驗證�。
3.根據(jù)權利要求1所述的方法,權限控制通過兩層應用的數(shù)據(jù)庫用戶帳戶和三層應用的角色�����、權限之間的對應關系來確定���。
4.權力要求2的方法���,為進一步提高系統(tǒng)的安全性�,參數(shù)傳遞時可以采用某種方法進行加密����。
全文摘要
一種兩層和三層混合體系中用戶界面集成的方法,該方法在保證安全性的前提下����,由兩層應用客戶端直接調用三層應用的Web網頁�����。調用參數(shù)不包含用戶口令等敏感信息�,應用服務器通過驗證客戶端在數(shù)據(jù)庫中的會話來驗證用戶的合法性;系統(tǒng)通過兩層應用的數(shù)據(jù)庫賬戶和三層應用的角色�����、權限的對應關系實現(xiàn)混合體系中用戶身份和權限的統(tǒng)一管理���。
文檔編號G06F12/14GK1601491SQ0314334
公開日2005年3月30日 申請日期2003年9月26日 優(yōu)先權日2003年9月26日
發(fā)明者任捷, 王偉峰, 陶暉, 蔣鴻城 申請人:紹興電力局