基于Spring Security的企業(yè)級應用安全架構的研究與實現(xiàn).pdf

1、企業(yè)級應用是指那些為商業(yè)組織、大型企業(yè)而創(chuàng)建并部署的解決方案及應用。一個理想的企業(yè)級應用系統(tǒng)平臺應當具備體系的合理性、靈活性，升級的便捷性和良好的安全性。安全性作為一個重要的關注點，滲透在整個企業(yè)應用系統(tǒng)開發(fā)生命周期的各個階段中。對于一個成熟的企業(yè)級應用系統(tǒng)平臺來說，相對于應用功能的實現(xiàn)，是否具備良好的安全性往往更為重要。
　　通過研究發(fā)現(xiàn)，目前企業(yè)應用的安全性方面普遍存在著業(yè)務邏輯和安全邏輯的緊耦合、缺乏對業(yè)務方法的保護、缺乏動

2、態(tài)訪問控制能力以及管理不方便等問題。本文圍繞解決這些問題，做了如下的研究工作。
　　首先分析了造成業(yè)務邏輯和安全邏輯緊耦合的原因，即是系統(tǒng)的認證和授權橫向需求與面向?qū)ο蟮目v向?qū)崿F(xiàn)不匹配造成的。通過深入地研究面向方面的程序設計原理以及分析Spring在面向方面的程序設計的實現(xiàn)機制，實現(xiàn)橫切關注點的分離，解決業(yè)務邏輯與安全邏輯緊耦合的問題，提高應用系統(tǒng)的開發(fā)效率。
　　其次對Spring Security安全框架進行了深入地剖析

3、，Spring Security是一個基于Spring AOP技術的安全框架，它獨立于系統(tǒng)的業(yè)務邏輯，為應用程序提供認證和授權的安全保護功能。spring Security可以與大多數(shù)Web框架無縫集成，因此可以方便地搭建在基于J2EE的企業(yè)級系統(tǒng)框架之上，為系統(tǒng)提供認證、授權等方面的服務。本文對它的認證和授權策略進行了分析，著重探討Spring Security對于Web資源的保護和對系統(tǒng)業(yè)務方法的保護方式。
　　再次對訪問控制

4、技術進行了探討，在對傳統(tǒng)訪問控制技術的相關概念和優(yōu)劣剖析的基礎上，引出了基于角色的訪問控制技術，將其與Spring Security安全框架相結合，有效地降低了管理的復雜度，解決了系統(tǒng)維護困難的問題，同時能靈活地支持企業(yè)安全策略的需求性變動。
　　最后通過一個企業(yè)級應用的具體實例，設計了一種具有權限的動態(tài)訪問控制特色的企業(yè)級應用安全架構并加以實現(xiàn)，同時還提供了一個解決用戶權限動態(tài)分配的前臺操作界面。通過一系列的測試，對安全架構的訪