- Khi ta gắn một ClaimPermissionAttributevới một phương thức sẽ khiến
.Net Framework gọi phương thức CreatePermission để lấy về một
- Trước khi thực thi phương thức, .Net Framework gọi phương thức Demand để kiểm tra quyền truy cập, nếu người dùng hiện tại không có
Chương 3. ỨNG DỤNG
Để minh hoạ việc ứng dụng ExtensibilityRBAC framework trong thực tế.Chúng tôi thử nghiệm với ứng dụng chia sẻ tệp số liệu trong ngân hàng.
3.1 Bài toán chia sẻ tệp
Hằng ngày, các bộ phận của mỗi chi nhánh trong ngân hàng cần làm các báo cáo tài chính liên quan đến công việc của mình. Số liệu để làm báo cáo được trích xuất từ hệ thống core banking. Do các nhân viên không được phép lấy số liệu trực tiếp từ hệ thống core banking, vì thế ngân hàng có một tool trích xuất số liệu từ hệ thống core và lưu vào các thư mục tương ứng của từng chi nhánh. Chỉ có các nhân viên của chi nhánh mới có quyền xem số liệu của chi nhánh mình.Vì thế, ngân hàng cần một hệ thống quản lý, lưu trữ, chia sẻtệp (số liệu được trích xuất từ hệ thống core-banking). Các tệp số liệu của tất cả các chi nhánh sẽ được quản lý, lưu trữ tập trung.Tuy nhiên, các báo cáo cáo cần đảm bảo tính riêng tư theo nguyên tắc:
- Các nhân viên của chi nhánh này không thể xem báo cáo của chi nhánh
khác
- Mỗi chi nhánh có nhiều tệp số liệu liên quan tới các loại báo cáo tài
chính khác nhau. Ví dụ, các tệp số liệu liên quan đến tài khoản tiền gửi, sổ tiết kiệm thì chỉ có giao dịch viên mới có quyền xem. Tuy nhiên, người quản lý (manager) của mỗi chi nhánh được quyền xem tất cả các tệp số liệu của chi nhánh mình để làm báo cáo tổng hợp.
- Quản trị viên hệ thống là người phân bổ các tệp số liệu vào các thư
mục tương ứng của mỗi chi nhánh. Đây là đối tượng có vai trò cao nhất trong hệ thống. Chỉ có quản trị viên hệ thống mới có quyền upload tệp số liệu, chỉnh sửa thư mục, quản lý tài khoản người dùng.
Ngoài chức năng chính là chia sẻ tệp, ứng dụng chia sẻ file còn bao gồm chức năng quản lý người dùng, chức năng này cho phép quản trị viên có thể thêm mới, cập nhật và xóa người dùng.
3.2 Phân tích, thiết kế hệ thống
3.2.1 Hiện trạng hệ thống
Hệ thống chia sẻ tệp tin hiện tại sử dụng CSDL để lưu trữ tổ chức thư mục, tệp tin và thông tin người dùng (bao gồm cả thông tin về vai trò, chi nhánh làm việc). Việc đảm bảo an ninh trong ứng dụng được cài đặt bằng chương trình, hay nói cách khác người ta phải chèn đoạn chương trình kiểm tra quyền truy cập tài nguyên vào mỗi phương thức. Đoạn chương trình kiểm tra quyền truy cập này truy vấn CSDL để lấy thông tin về vai trò người dùng, chi nhánh làm việc kết hợp với thông tin về hành động truy xuất tài nguyên hiện tại để ra quyết định từ chối hay cho phép truy xuất đến tài nguyên. Như vậy quy tắc kiểm tra quyền truy cập được thực hiện bằng chương trình, điều này dẫn đến:
- Khi cần thay đổi quy tắc kiểm soát truy cập, chẳng hạn thêm điều kiện
số năm công tác thì cần sửa lại chương trình và biên dịch lại.
- Ứng dụng phải tự cài đặt các quy tắc kiểm soát truy cập bằng chương
trình, điều này có thể dẫn đến sai sót. Những sai sót trong khi cài đặt các quy tắc kiểm soát truy cập này có thể bị lợi dụng bởi những người dùng trái phép.
3.2.2 Phân tích hoạt động hệ thống
3.2.2.1 Tác nhân của hệ thống
Các tác nhân hệ thống bao gồm:
- Quản trị (Admin)
- Quản lý chi nhánh (Manager)
- Giao dịch viên (Teller)
- Tín dụng viên (AO)
3.2.2.2 Biểu đồ use case