电子商务系统对安全问题有较高的要求,传统的访问控制方法DAC(Discretionary
Access Control,自主访问控制模型)、MAC(Mandatory Access
Control,强制访问控制模型)难以满足复杂的企业环境需求。因此,NIST(National Institute of Standards and
Technology,美国国家标准化和技术委员会)于90年代初提出了基于角色的访问控制方法,实现了用户与访问权限的逻辑分离,更符合企业的用户、组织、数据和应用特征。ASP.NET是微软为了抗衡JSP而推出的新一代ASP(Active
Server
Pages)脚本语言,它借鉴了JSP的优点,同时它又具有自身的一些新特点。
本文将首先介绍ASP.NET的基本情况和RBAC(Role
Based Access
Control)的基本思想,在此基础上,给出电子商务系统中实现用户权限控制的一种具体方法。
为了使用户能够根据需要方便地定义控件,ASP.NET引入了
Web 窗体用户控件的概念。实际上,只要将.aspx稍作修改即可转换为 Web 用户控件,扩展名为
.ascx,.ascx和.aspx文件一样也有一个存放逻辑的代码隐藏类文件,扩展名为.ascx.vb或.ascx.cs,只是它不能作为独立 Web
窗体页来运行,只有当被包含在
.aspx文件中时,用户控件才能工作。