造价师/评估师培训:010-82146681

联盟会员/机构评定:010-82146682

业务合作咨询:010-82586972

E-mail:bscea@bscea.org

 

技术文章

IFPUG FPA方法使用指导之iTip # 3 –登陆

点击:时间:2019-01-23

背景

  下面描述的四个示例涵盖了包含安全组件所需的登录过程(有时称为登录):确定谁可以登录到应用程序,确定用户可以执行的操作(通常称为角色),并跟踪用户何时访问应用程序。

 

示例1

  应用程序包含用于验证用户名和密码的登录功能。 示例屏幕如下所示。 用户输入用户名和密码,然后单击“登录”按钮。 应用程序根据有效的用户文件验证输入的详细信息,并允许用户访问应用程序或向用户提供详细信息不正确的消息。

 

31.jpg

  登录的主要目的是向用户呈现用户名和密码验证的成功或失败。

  登录功能符合EQ的规则。 它有4个DET:用户名,密码,单击“登录”按钮的操作和消息。对于登录,计算单个低复杂度EQ。

  有效用户文件计为包含2个DET(用户名和密码)的低复杂度ILF。

 

示例2

  在此示例中,登录功能已扩展为包括确定用户可以执行的功能。 使用与上一示例中所示相同的登录屏幕。 如示例1中所示,用户输入用户名和密码并单击“登录”按钮。 应用程序根据有效用户文件验证输入的详细信息,并允许用户访问应用程序或向用户提供详细信息不正确的消息。 还有一项要求是,作为登录的一部分,根据存储在用户文件中的用户角色,为用户提供对应用程序功能的适当访问权限。

  登录主要目的是向用户呈现用户名和密码验证的成功或失败。它从“有效用户”ILF中读取一个附加属性,该属性包含“standard”或“admin”的值。此值用于更改应用程序的行为以限制对特定功能的访问。 没有更新ILF。

  登录功能符合EO的规则(即,改变应用程序的行为),并具有4个DET:用户名,密码,单击登录按钮的操作和消息。

  有效用户ILF被计为具有3个DET(用户名,密码和用户角色)的一个低复杂度ILF。

 

示例3

  在此示例中,扩展了示例1中描述的登录功能(与示例2不同)以跟踪用户登录日期(提供审计跟踪)。 使用与第一个示例中所示相同的登录屏幕。 如示例1中所述,用户输入用户名和密码并单击“登录”按钮。 应用程序根据有效用户文件验证输入的详细信息,并允许用户访问应用程序或向用户提供详细信息不正确的消息。 还有一项要求是,作为登录的一部分,将值(最后一个登录日期)写入有效用户ILF。

  登录事务的主要目的仍然是向用户呈现用户详细信息验证的成功或失败。 由于该过程现在包括维护ILF,因此它符合EO的规则,并且具有4个DET:用户名,密码,单击登录按钮的操作以及消息。

  如果用户可识别,则记录登录日期的附加属性将被计为有效用户ILF中的附加DET。 额外的DET使ILF保持不变,因为其复杂度较低。

 

示例4

  在此示例中,扩展了示例2中描述的登录功能,以说明用户独立维护的基于角色的权限(访问权限)。如前所述,用户输入用户名和密码并单击“登录”按钮。 应用程序根据“有效用户”文件验证输入的详细信息,并向用户提供详细信息不正确的消息,或者通过引用其他文件来确定为该用户角色启用的权限来完成处理。 屏幕显示先前的登录时间戳以及确认登录成功的消息。 还有一项要求是,作为登录的一部分,将值(最后一个登录日期)写入有效用户ILF。

  登录事务的主要目的仍然是向用户呈现用户详细信息验证的成功或失败。 在处理事务期间,它从“有效用户”ILF中读取其他属性,这些属性包含先前的登录时间戳和用户角色。 用户角色用于读取“基于角色的权限”ILF,以确定允许用户执行哪些功能(访问权限)。 已分配角色的基于角色的权限用于更改应用程序的行为以限制对特定功能的访问。

  由于该过程现在包括更改应用程序的行为和维护ILF,因此它符合EO的规则,并且具有五个DET:用户名,密码,单击登录按钮的操作,消息和先前的登录时间戳。 

 

注:目前行业中的一些常见计数实践和功能点组织的技术文章未必完全一致,在实际计数过程中,还需要根据用户需求灵活应用。(本文版权归北京软件造价评估技术创新联盟所有,转载需标明出处)

相关新闻
 
关闭

入会申请/机构评定:010-82146682


培训报名/续证补考:010-82146681

返回顶部