EJB容器中安全機制的研究與實現(xiàn).pdf

1、SunMicrosystems公司順應Internet和網(wǎng)絡技術(shù)的不斷發(fā)展的需求，提出了J2EE并成為標準。Java語言走進企業(yè)級應用領(lǐng)域的同時，人們也對安全技術(shù)提出了新的要求。一些國際大型軟件公司生產(chǎn)出符合J2EE標準的應用服務器產(chǎn)品。這些產(chǎn)品提供了完整的同時也是龐大的、復雜的安全架構(gòu)。然而這個安全架構(gòu)對于應用服務器的核心部件EJB容器來說，卻存在過于復雜、安全信息有泄漏風險、過分依賴Web層等缺點。 針對這些缺點，本文設計一

2、種新型解決方案，即在EJB容器內(nèi)部實現(xiàn)必要的安全機制，并保留良好的可擴展性?；谶@種思想，深入研究目前流行的新型安全技術(shù)——Java認證和授權(quán)服務(JavaAuthenticationandAuthorizationService)，和主要的認證和授權(quán)模型。本文中授權(quán)和訪問控制是等同的。決定采用JAAS作為實現(xiàn)安全機制的主要技術(shù)，把基于口令和基于證書的認證模型作為主要認證模型，基于角色的訪問控制模型(RBAC)作為訪問控制的模型。

3、 EJB容器中安全機制主要包括兩個功能模塊：身份認證器和訪問控制器。認證和訪問控制也是一個安全系統(tǒng)的兩個必要功能。身份認證器在JAAS框架的基礎(chǔ)上設計和實現(xiàn)，實現(xiàn)了基于口令的認證模塊，可以擴展證書認證模塊。我們還根據(jù)需要修改和擴展了一些主要類。 訪問控制器實現(xiàn)了基于角色的訪問控制模型。不同于主流應用服務器中使用的聲明性訪問控制，我們在訪問控制器中同時實現(xiàn)了Java中的聲明性和編程性訪問控制。 對比目前主流的應用服務器的