基于J2EE輕量級框架的安全Web架構(gòu)研究與應(yīng)用.pdf

1、隨著國內(nèi)高校信息化建設(shè)的逐步推進(jìn)，校園用戶對信息安全的需求越來越重視。由于多年來，使用J2EE體系結(jié)構(gòu)實(shí)施高校信息系統(tǒng)建設(shè)成為高校信息化建設(shè)的重要手段之一，因此J2EE本身提供的安全訪問控制技術(shù)越來越多地被廣大研究人員所重視。其中基于角色訪問控制(Role—Based Access Control，RBAC)技術(shù)為企業(yè)級應(yīng)用的安全控制做出了不可替代的作用。但是，傳統(tǒng)J2EE架構(gòu)的安全訪問控制技術(shù)并不完美，在特定條件下，其存在的某些缺陷并

2、不能完美的體現(xiàn)出J2EE與RBAC技術(shù)結(jié)合的優(yōu)勢。因此，本文將研究工作的目標(biāo)鎖定在為傳統(tǒng)J2EE減負(fù)，同時(shí)完善其安全訪問控制技術(shù)，建立一種輕量級的J2EE安全Web架構(gòu)。 本文首先研究了傳統(tǒng)J2EE的體系結(jié)構(gòu)優(yōu)缺點(diǎn)，指出其體系結(jié)構(gòu)的優(yōu)勢主要體現(xiàn)在EJB的出現(xiàn)使得組件程序的開發(fā)更加完善；其高可重用性、可移植性大大簡化了應(yīng)用的開發(fā)。缺點(diǎn)則體現(xiàn)在：EJB(Enterprise Java Bean)的重量級使得對Web服務(wù)器的要求較高；

3、復(fù)雜的EJB API如果使用不當(dāng)，可能導(dǎo)致應(yīng)用系統(tǒng)的總體性能下降。 其次，研究了J2EE的安全機(jī)制，尤其是J2EE認(rèn)證與授權(quán)的概念及JAAS(JavaAuthentication and Authorization Service)的工作機(jī)制及其優(yōu)缺點(diǎn)。指出良好的J2EE安全基礎(chǔ)設(shè)施在概念上為應(yīng)用系統(tǒng)的安全訪問控制技術(shù)的實(shí)施提供了強(qiáng)有力的保證。而實(shí)際操作上，開發(fā)人員必須對J2EE安全訪問控制機(jī)制進(jìn)行優(yōu)化。尤其是在J2EE架構(gòu)下優(yōu)

4、化傳統(tǒng)RBAC模型來部署實(shí)施可插拔、易擴(kuò)展且屬于輕量級的安全Web架構(gòu)。 接著，本文在前面研究的基礎(chǔ)上提出重組Struts、Spring、Hibernate三種開源框架，以Sping的反轉(zhuǎn)控制與面向方面編程技術(shù)管理Struts的動(dòng)作及Hibernate的數(shù)據(jù)庫操作，構(gòu)建一款滿足傳統(tǒng)J2EE框架理論、輕量級、易部署、可插拔、代碼利用率較高的J2EE框架。同時(shí)，為保證該輕量級框架對安全訪問控制技術(shù)的良好支持，提出以SpringAce

5、gi+JA—SIG CAS3.0構(gòu)建單點(diǎn)登陸統(tǒng)一身份認(rèn)證及授權(quán)子系統(tǒng)。其中CAS3.0負(fù)責(zé)搭建以數(shù)據(jù)庫為數(shù)據(jù)源的單點(diǎn)登錄統(tǒng)一身份認(rèn)證模塊；SpringAcegi用來實(shí)現(xiàn)可插拔的動(dòng)態(tài)細(xì)粒度授權(quán)模塊；二者相互合作，使應(yīng)用系統(tǒng)在入口級別便對用戶身份進(jìn)行認(rèn)證，使其以最小權(quán)限的原則獲取相應(yīng)的資源訪問，保護(hù)系統(tǒng)的安全性。 最后，本文以開發(fā)高校政務(wù)公開評價(jià)系統(tǒng)為背景，對本文提出的研究成果即基于J2EE輕量級框架的安全Web架構(gòu)進(jìn)行了具體實(shí)現(xiàn)及