Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «тюменский государственный университет» институт математики и компьютерных наук кафедра информационной безопасности

Скачать 0.87 Mb.

Название	Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «тюменский государственный университет» институт математики и компьютерных наук кафедра информационной безопасности
страница	6/11
Тип	Документы

rykovodstvo.ru > Руководство ремонт > Документы

1 2 3 4 5 6 7 8 9 10 11

Проектирование базы данных

На основании требуемого функционала была спроектирована следующая структура базы данных. (см. Приложение 2 Error: Reference source not found)

Подключение к базе данных под управлением Microsoft SQL Server 2008 R2 осуществляется из-под выделенного логина под общие действия на портале. Разграничение прав доступа делается только на стороне клиента, в связи с тем, что через Apache нет возможности произвести Windows аутентификацию на сервере базы данных и поэтому нет возможности применить технологию доступа на уровне строк в зависимости от подключенного к серверу базы данных пользователя. Поэтому был предпринят рад мер:

Права на базу данных, выделенные для логина жестко ограничиваются требованиям, необходимым для исполнения функций пользователей на портале.
Логин и пароль хранятся в конфигурационных файлах приложения.
Доступ на уровне строк реализован в приложении.

Список действий, возможных под логином подключения к базе данных:

Создание, изменение, удаление таких объектов, как: новости, объявления, изображения, мероприятия, сообщения, диалоги, информационные страницы и добавление записей в вспомогательные таблицы, связанные с перечисленными.
Присвоение ролей пользователям.
Изменение следующих полей пользователя: пароль, соль, ссылка для восстановления пароля, время запроса на восстановление, контрольный вопрос, ответ на вопрос, количество подключений, время и ip-адрес текущего и последнего подключения, последняя активность в приложении.

Внесение основных данных о пользователе или изменение делается вручную через другой логин к серверу базы данных. Первоначальная загрузка списка пользователей осуществлялась через выгрузку из кадровой базы данных в excel файл и занесением информации в созданную базу данных. Выгрузка состояла из следующих полей:

фамилия;
имя;
отчество;
подразделение;
логин в домене;
адрес корпоративной почты;
рабочее местоположение;
рабочий номер телефона;
табельный номер.

Идентификация и аутентификация пользователей

Вход на корпоративный портал происходит для сотрудника незаметно, если он использует браузер Internet Explorer, или совершил дополнительные настройки для других браузеров, в другом случае ему придется ввести логин и пароль своей учетной записи в домене. Аутентификация реализована через протокол Kerberos. Описание настройки Kerberos-аутентификации приводится в пункте 3.1. Настройка сервера.

В приложении, перед каждым действием проверяется установлен ли текущий пользователь. Если в сессии ничего нет, то идентификация происходит на основе значения учетной записи пользователя, аутентифицировавшегося на веб-сервере, в базе данных находится соответствующий пользователь и записывается значение в сессию.

def set_current_user

unless current_user

user = User.find_or_create_by_username(request.env['REMOTE_USER'])

sign_in(user)

end

end

Разграничение прав доступа

Разграничение прав в приложении реализован с помощью библиотеки авторизации для Ruby on Rails, которая ограничивает права пользователя на ресурсы. Библиотека называется cancan.

Для назначения прав доступа пользователей на ресурсы создаются роли, которые назначаются потом пользователям, и специальная модель, называемая ability, в ней указывается на какие ресурсы, какие права (manage, create, read, update, destroy) имеет роль. Можно настроить и уникальные права для пользователей, например, только пользователь, создавший запись, сможет ее удалить.

Роли назначаются пользователям либо вручную, либо через администраторский интерфейс.

Пример модели разграничения прав, представлен в (см.

)где:

Обычный пользователь имеет доступ только на чтение ко всем объектам системы, но не имеет доступа к администраторской части.
Администратор может управлять всем и имеет доступ к администраторской части приложения.
Пользователь, имеющий роль newsmaker может управлять полностью моделью новостей, т.е. создавать, изменять, удалять записи. Может создавать изображения, то есть загружать их, удалять созданные им же изображения.
Роли adsmaker, pagemaker, eventmaker, documentmaker, gallerymaker могут управлять моделями объявлений, информационных страниц, мероприятий, библиотекой и галереей соответственно.

Проверка прав доступа текущего пользователя на объект происходит перед отмеченными действиями контроллера.

authorize_resource – обозначение этой функции в начале кода контроллера означает, что будет вызываться проверка на соответствие прав доступа текущего пользователя к объекту в каждом методе контроллера.

1 2 3 4 5 6 7 8 9 10 11

Похожие:

	Федеральное государственное бюджетное образовательное учреждение... Разработка распределенной системы автоматизированного обнаружения уязвимостей в программном обеспечении		Федеральное государственное бюджетное образовательное учреждение... Базовая модель угроз безопасности персональных данных и Методика определения актуальных угроз 29
	Федеральное государственное бюджетное образовательное учреждение... ...		Федеральное государственное бюджетное образовательное учреждение... В данной работе описан процесс разработки и реализации проекта аттестации автоматизированной системы
	Федеральное государственное бюджетное образовательное учреждение... Все больше информации различного рода становится общедоступной, но информация – это не всегда благо и некоторые данные могут также...		Федеральное государственное бюджетное образовательное учреждение... Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования
	Федеральное государственное бюджетное образовательное учреждение... Дисциплина «Сети и Интернет-технологии» относится к вариативной части Профессионального цикла ( В. 17)		Федеральное государственное бюджетное образовательное учреждение... Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования
	«Тюменский государственный университет» Список профессорско-преподавательского... Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования		«донской государственный технический университет» (дгту) Кафедра «Иностранные языки» Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования
	Федеральное государственное бюджетное образовательное учреждение... Министерство образования и науки российской федерации федеральное государственное бюджетное образовательное учреждение высшего профессионального...		Федеральное государственное бюджетное образовательное учреждение... Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования
	Федеральное государственное бюджетное образовательное учреждение... Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования		Федеральное государственное бюджетное образовательное учреждение... Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования
	Учебное пособие под редакцией проф. С. Н. Гаражи Ставрополь 2017... Федеральное государственное бюджетное образовательное учреждение высшего образования «ставропольский государственный медицинский...		Кафедра физического воспитания Федеральное государственное бюджетное образовательное учреждение высшего образования «Новгородский государственный университет имени...

Руководство, инструкция по применению

rykovodstvo.ru

Проектирование базы данных

Идентификация и аутентификация пользователей

Разграничение прав доступа

Похожие: