92JSP技术的广西家校通信息系统的研究与设计

  • 格式:pdf
  • 大小:2.24 MB
  • 文档页数:62

第三章系统的分析与设计个人资讯:具有针对性,对不同角色,有丰富的个人资讯栏目,如教师有工作交流、教学辅导、课题研究、和家长专讯等。

包括个人资讯发送、浏览、回复和删除的功能。

修改用户密码:提供了各角色用户修改各自用户登录系统密码的功能。

而中心系统管理员拥有修改任何用户的密码和帐号权限。

广西家校通项目网络应用的拓朴结构(图3.3):图3.3家校通信息系统网络结构学生在校的各种信息,由学校信息员、老师(班主任)通过手机、电话或者互联网提供给“家校通”中心,中心通过无线传呼或互联网传递给家长。

学生在家的各种信息,则由家长通过手机、电话或者互联网提供给“家校通”中心,中心通过无线传呼或互联网传递给老师。

网络以“家校通”中心为核心,用户增加时,并不需要增加设备,只需用任一台电脑连上互联网,或者用电话拨打呼叫中心留言即可。

§3.4数据结构分析与设计本系统采用的DBMS(数据库管理系统)是MicrosoftSOLServer2000,位于B/S结构第叫章系统的实现校通数据库中以外,还发送至联通、移动、电信相应服务器平台数据库即可,由第三方负责信息采编和发送至手机和咨讯机(广泰电脑公司提供,专用于广西家校通用户接收信息),同样用户从固定电话、手机和语音信箱(留言)可以发送信息。

用户发布信息的两种渠道(比如学校发信息到家长,如图4.4):图4.4用户发布信息的两种渠道第。

一种:通过广西家校通网站发布信息(如上图标号1所示);第二种:拨打968999(全区按市话收费),通过呼叫中心发布信息(如上图标号2所示)。

教学秘书由家校通网站中心人员担任,负责接听用户来电和咨询。

广西家校通信息系统可以使用价格便宜的“小神通”系列咨讯机作为接收信息的终端。

小神通12万汉字的储存容量为家校通用户提供了很好的实时信息交互条件。

4.3.2用户功能模块的实现鉴于本系统角色和功能模块太多,先介绍用户登录流程,而后根据对数据库操作(浏览、删除、增添和更新)方式,将系统用户功能的实现分类举例说明(其它均类似)。

一、用户登录实现流程本系统为方便用户,用户可以输入用户帐号,也可以输入已注册的手机号码来登录系统。

用户登录表单界面如下图4.5:图4.5用户登录表单界面第四章系统的实现圈4.7教师查看信息界面教师收信息流程(如图:4.8)教师合法登录系统l进入教师工作主页i点击教师信箱下子菜单收信息,资源权限认证关闭确定删除提示窗口fl根据作用于会话的finn类实例对象读取用户的执行删除操作相应信息,再用信息逻辑编号关联来按时间顺必序读取用户接收的各条信息所需字段/\迥t/…M…\分页显示每条信息的标题、发送者等字段,同时捆V绑每条信息逻辑编号到相应标题链接上(界蕊4.7)0JrI点击标题列下的链接,获取信息逻辑编号,根据选择要删除的信息这个编号在主表上查出信息内容显示(界面4.9)条目l・I点击删除图4.8教师收信息流程信息数据主表:ID(物理ID),信息逻辑编号、采集时间、发布日期、信息类别、栏目代码、标题、关键字、摘要、正文、访问属性、发布者组编号、发布者编号、要求回复标志、删除标志、备注信息数据子表:ID,信息逻辑编号、接收者编号、浏览日期、删除标志、已回复标志、备注图4.9教师查看单条信息内容界面说明:在教师收信息的流程图4.8中的权限控制和分页显示控制将在后续章节洋细阐述。

信息逻辑编号在信息主表中是唯一的,在予表中的信息逻辑编号与它关联,系统支持用户信息群发,但发送信息时在信息主表只有一条记录,而子表中有多条记录(接收者有多个)或一条记录(发到一个用户或信息回复时),教师接收信息时是根椐教师用,一的个人信息(登录后已置于作用于本次会话的一个firm类实例对象中),以及信息逻辑编号的关联来读取信息主表和子表相应字段的。

主表的删除标志和子表的删除标志是不一样的,主表的删除标志是针对用户已发送信息的删除操作,而用户接收信息功能处理的删除是将信息子表的删除标志景l,删除后针对当前用户来说,此条信息不再可读。

删除功能支持一条、部分、全部删除,当直接在图4.7选择信息条目最前面复选框时,点击删除时出现确认删除提示窗口,确认后删除的是当页所选的信息条目;如选择全选复选框时,点击删除同样出现确认删除提示窗口,确认后删除的是当页所有的信息条目。

三、数据增添功能就以上教师在收信息过程,用户接收信息时可以针对发送信息者要求回复(接收者通过在图4.7出现后的感叹号得知)举例,可以方便实现回复功能。

接收者浏览该信息后可直接在图4.9点击回复按钮来操作。

教师回复信息是实现单条信息发送功能,属于系统数据增添功能,是针对有回复要求的信息,同样是对信息主表和信息子表操作的,除了这两个表,还要发送到其它第三方合作平台的,使用户能够用手机、咨讯机等及时接收到信息,所以发送信息还要发送到另外一个发送任务表,这个表的数据由c/s部分处理(审核,并发送至第三方信息平台),在对这三个表同时增添数据时必须使用事务处理来保证数据一致性。

关于利用JDBCAPI进行事务处理在后续章节阐述。

如图4.9点击回复后,出现页面如图4.10。

30教师回复信息流程如下图4.11图4.10教师回复信息界面教师进入如图4.9页面,点击回复按钮获取该条信息逻辑编号,查出信息的相应字段信息显示界面如图4.10填写标题、正文、关键字和摘要相应文本,点击发送磊泵_磊jK标题空。

提示,确认卜.二<标题空?N正文空?、二>里一错误提示,确计算主表信息逻辑编号最大值加1。

作为当前发送的这条信息的信息逻辑编号,将相应字段值用事务插入三个表中Y/\N提示成功f+—<插入成功?>——-f事务回滚,提示失败四、数据修改功能图4.11教师回复信息流程第四章系统的实现以家校通用户修改自己密码为例,来说明数据修改功能,处理流程如图4.13,它是对用户表Jxt—Users表来操作的。

用户修改密码界面如下图4.12:图4.12用户修改密码界面家校通用户表:IO(物理ID)、用户编号、姓名、性别、帐号、密码、开户日期、截止日期、单位、身份证号、手机号码、电话、私有权限、昵称图413用户修改密码流程32第五章系统的安全技术限。

系统中用户组权限分配如下图5.2图5.2角色权限分配选择用户角色、角色菜单、和角色操作权限后,按确定后系统将资源权限信息写入菜单栏目信息表中相应栏目编号对应记录的信息访问权限字段,分配好角色的权限后,创建的用户就可根据角色关联信息获取信息服务的访问权限。

菜单栏目信息表Ob-N咖es:ID(主键,Int)、栏目编号(XxLid,Char,是唯一的)、栏目名称(XxLm,Char)、链接文件名(FileName,Char)、信息访问权限(XxLimit,Char)栏目编号字段用于区分信息类别,其中第1、2位字符用于区分组号,第3、4位表示主菜单项为第几个,第5、6位表示子菜单的次序(00表示第一级),栏目名称就是显示的菜单名;链接文件名为点击相应菜单请求的JSp或Servlet文件名;例如纪录:“l,060100,学生信息,null,null”表示“学生信息”是家长组(06表示家长角色)工作页面左框第一个、第一级主菜单项;纪录“2,060101,作业情况,parent/zhouye,jsp,01”表示该菜单是家长工作主页界面(如图5.3)第一个主菜单项的第一个子菜单(属第二级)作业情况。

点击该菜单。

链接到该记录所关联的服务器目录下parent子目录下“zhouye.jsp”为文件名的网页,后返回HTML结果到右框架(设定为工作主框架)。

●用户权限控制的实现我们在系统应用的RBAC安全模型上,根据实际情况,实现了四级权限控制机制,有效地控制了各角色用户对服务器资源的访问权限。

第一级权限控制:用户登录权限认证(判断是否合法用户)。

登录后根椐用户分配的角色进行访问,读取由中心系统管理员已分配的角色编号、用户个人信息(角色信息、用户编号等)存于作用于会话的firm类实例(JavaBeans对象)中。

用户通过身份认证后,系统根据用户登录的角色,进入相应的角色的工作主页面,这些页面均为框架型页面,如图5.3(家长组主工作面),左边框架为二级树型菜单,以右边框架为用户工作主操作框架,用于菜单项链接页面和功能操作页面的显示。

从菜单栏目信息表中动态读取权限菜单信息(栏目名称)显示在左框架中。

基于安全考虑,用户角色权限信息如何绑定是要涉及到第二级权限控制的,在下面说明。

第五章系统的安全技术图5.3家长园地工作主页界面第二级权限控制:对服务器资源访问的权限认证。

防止非法用户以及合法用户了解服务器目录,直接通过客户端URL(统一资源定位)地址栏输入访问不应访问的功能网页,执行非法功能操作,在服务器端对功能模块进行访问控制,是必要的。

利用应用程序服务器TOMCAT内置的用户角色管理和基于表单认证机制可以达到这一目的。

但是,TOMCAT的用户一角色配置文件tomcat—users.xml设爱复杂,系统移植不好(不同的应用程序服务器如Resin、JRun,设置不一样)。

采取具体措施是分为两步:1、利用用户登录的角色编号信息(如教师为005)保存在作用于会话的firm类实例对象(JavaBeans组件),在进入相应角色功能模块处理时,从这个对象中取出用户角色信息与功能模块预设置可访问的角色信息(例如针对教师可访问的功能模块,设簧为005)比较,相符则继续,不相符则给出提示信息,而后关闭当前网页。

2、通过用户登录角色信息的确认后,对资源访问权限信息的获取要做进一步安全考虑。

如果将权限信息直接绑定到对应的功能菜单链接后面的,而后用JSP内置Request对象的getParameter0函数来获取,那么当用户点击链接后时,权限信息会出现在浏览器的状态栏中,用户了解到权限信息后,登录后可通过URL地址定位(直接输入请求URL地址信息),修改权限信息来获取非法的对该功能网页的操作权限。

具体措施如下:(1)先将对应的栏目编号绑定到链接文件名的后面。

如:parent/zhouye.jsp?xxlid=060101(2)点击功能子菜单后,先进行角色确认,然后获得链接请求的文件名(包含服务器。