关于web应用程序安全的思考(四)－－－－一种全新的权限管控思想

核心提示：继续我的安全模块设计之前﹐再对以系统功能作为权限管控的方法进而实现系统安全的完全脱耦方案进行说明， 我以一个实际的小型订单管理系统为例来实现这种权限设计方案﹐也欢迎大家能提出自己的权限设计方案来对比﹕某某公司在线订单管理系统的用户需求说明书﹕1.要求系统实现﹕下单﹐订单维护(包括修改和删除订单)﹐订单审核﹐收款﹐发货﹐

继续我的安全模块设计之前﹐再对以系统功能作为权限管控的方法进而实现系统安全的完全脱耦方案进行说明。

我以一个实际的小型订单管理系统为例来实现这种权限设计方案﹐也欢迎大家能提出自己的权限设计方案来对比﹕

某某公司在线订单管理系统的用户需求说明书﹕

1.　　　要求系统实现﹕下单﹐订单维护(包括修改和删除订单)﹐订单审核﹐收款﹐发货﹐各种单据的查询和报表功能。

2.　　　只有注册用户才可以下单

3.　　　用户可以修改和删除他自己的未审核订单

4.　　　管理员可以删除未审核的所有订单

5.　　　销售经理进行订单审核﹐但只可审核其所在区域的订单﹐管理员可以审核所有区域的订单

6.　　　财务部门可以进行订单收款确认动作

7.　　　仓库管理者在订单审核并且财务部门收款后发货

8.　　　注册用户可以打印他自己下的订单。

9.　　　销售经理可以打印其所在区域的订单﹐管理员可以打印所有区域的订单

10.管理员,财务部门可以打印收款报表

11.管理员,仓库管理者可以打印出库报表

对于这个系统﹐在需求分析后提取的系统功能有﹕

1﹕下单

2﹕订单维护(修改和删除自己的订单)

3﹕管理员订单删除

4﹕订单审核

5﹕收款

6﹕发货

7﹕用户订单报表

8﹕审核者订单报表

9﹕收款报表

10﹕出库报表

系统设计﹕

1:下单﹕用户登录-->用户挑选商品-->预览商品列表-->下单提交

2:订单维护﹕用户登录-->按用户ID抓取他的所有订单-->用户修改或删除未审核未收款的订单

3:管理员订单删除﹕用户登录-->抓取所有的未审核未收款的订单-->删除用户所选订单