基于J2EE輕量級框架的安全Web架構(gòu)研究與應用.pdf

1、隨著國內(nèi)高校信息化建設(shè)的逐步推進，校園用戶對信息安全的需求越來越重視。由于多年來，使用J2EE體系結(jié)構(gòu)實施高校信息系統(tǒng)建設(shè)成為高校信息化建設(shè)的重要手段之一，因此J2EE本身提供的安全訪問控制技術(shù)越來越多地被廣大研究人員所重視。其中基于角色訪問控制(Role—Based Access Control，RBAC)技術(shù)為企業(yè)級應用的安全控制做出了不可替代的作用。但是，傳統(tǒng)J2EE架構(gòu)的安全訪問控制技術(shù)并不完美，在特定條件下，其存在的某些缺陷并

2、不能完美的體現(xiàn)出J2EE與RBAC技術(shù)結(jié)合的優(yōu)勢。因此，本文將研究工作的目標鎖定在為傳統(tǒng)J2EE減負，同時完善其安全訪問控制技術(shù)，建立一種輕量級的J2EE安全Web架構(gòu)。 本文首先研究了傳統(tǒng)J2EE的體系結(jié)構(gòu)優(yōu)缺點，指出其體系結(jié)構(gòu)的優(yōu)勢主要體現(xiàn)在EJB的出現(xiàn)使得組件程序的開發(fā)更加完善；其高可重用性、可移植性大大簡化了應用的開發(fā)。缺點則體現(xiàn)在：EJB(Enterprise Java Bean)的重量級使得對Web服務(wù)器的要求較高；

3、復雜的EJB API如果使用不當，可能導致應用系統(tǒng)的總體性能下降。 其次，研究了J2EE的安全機制，尤其是J2EE認證與授權(quán)的概念及JAAS(JavaAuthentication and Authorization Service)的工作機制及其優(yōu)缺點。指出良好的J2EE安全基礎(chǔ)設(shè)施在概念上為應用系統(tǒng)的安全訪問控制技術(shù)的實施提供了強有力的保證。而實際操作上，開發(fā)人員必須對J2EE安全訪問控制機制進行優(yōu)化。尤其是在J2EE架構(gòu)下優(yōu)

4、化傳統(tǒng)RBAC模型來部署實施可插拔、易擴展且屬于輕量級的安全Web架構(gòu)。 接著，本文在前面研究的基礎(chǔ)上提出重組Struts、Spring、Hibernate三種開源框架，以Sping的反轉(zhuǎn)控制與面向方面編程技術(shù)管理Struts的動作及Hibernate的數(shù)據(jù)庫操作，構(gòu)建一款滿足傳統(tǒng)J2EE框架理論、輕量級、易部署、可插拔、代碼利用率較高的J2EE框架。同時，為保證該輕量級框架對安全訪問控制技術(shù)的良好支持，提出以SpringAce

5、gi+JA—SIG CAS3.0構(gòu)建單點登陸統(tǒng)一身份認證及授權(quán)子系統(tǒng)。其中CAS3.0負責搭建以數(shù)據(jù)庫為數(shù)據(jù)源的單點登錄統(tǒng)一身份認證模塊；SpringAcegi用來實現(xiàn)可插拔的動態(tài)細粒度授權(quán)模塊；二者相互合作，使應用系統(tǒng)在入口級別便對用戶身份進行認證，使其以最小權(quán)限的原則獲取相應的資源訪問，保護系統(tǒng)的安全性。 最后，本文以開發(fā)高校政務(wù)公開評價系統(tǒng)為背景，對本文提出的研究成果即基于J2EE輕量級框架的安全Web架構(gòu)進行了具體實現(xiàn)及