基于Spring Security的企業(yè)級(jí)應(yīng)用安全架構(gòu)的研究與實(shí)現(xiàn).pdf

1、企業(yè)級(jí)應(yīng)用是指那些為商業(yè)組織、大型企業(yè)而創(chuàng)建并部署的解決方案及應(yīng)用。一個(gè)理想的企業(yè)級(jí)應(yīng)用系統(tǒng)平臺(tái)應(yīng)當(dāng)具備體系的合理性、靈活性，升級(jí)的便捷性和良好的安全性。安全性作為一個(gè)重要的關(guān)注點(diǎn)，滲透在整個(gè)企業(yè)應(yīng)用系統(tǒng)開(kāi)發(fā)生命周期的各個(gè)階段中。對(duì)于一個(gè)成熟的企業(yè)級(jí)應(yīng)用系統(tǒng)平臺(tái)來(lái)說(shuō)，相對(duì)于應(yīng)用功能的實(shí)現(xiàn)，是否具備良好的安全性往往更為重要。
　　通過(guò)研究發(fā)現(xiàn)，目前企業(yè)應(yīng)用的安全性方面普遍存在著業(yè)務(wù)邏輯和安全邏輯的緊耦合、缺乏對(duì)業(yè)務(wù)方法的保護(hù)、缺乏動(dòng)

2、態(tài)訪問(wèn)控制能力以及管理不方便等問(wèn)題。本文圍繞解決這些問(wèn)題，做了如下的研究工作。
　　首先分析了造成業(yè)務(wù)邏輯和安全邏輯緊耦合的原因，即是系統(tǒng)的認(rèn)證和授權(quán)橫向需求與面向?qū)ο蟮目v向?qū)崿F(xiàn)不匹配造成的。通過(guò)深入地研究面向方面的程序設(shè)計(jì)原理以及分析Spring在面向方面的程序設(shè)計(jì)的實(shí)現(xiàn)機(jī)制，實(shí)現(xiàn)橫切關(guān)注點(diǎn)的分離，解決業(yè)務(wù)邏輯與安全邏輯緊耦合的問(wèn)題，提高應(yīng)用系統(tǒng)的開(kāi)發(fā)效率。
　　其次對(duì)Spring Security安全框架進(jìn)行了深入地剖析

3、，Spring Security是一個(gè)基于Spring AOP技術(shù)的安全框架，它獨(dú)立于系統(tǒng)的業(yè)務(wù)邏輯，為應(yīng)用程序提供認(rèn)證和授權(quán)的安全保護(hù)功能。spring Security可以與大多數(shù)Web框架無(wú)縫集成，因此可以方便地搭建在基于J2EE的企業(yè)級(jí)系統(tǒng)框架之上，為系統(tǒng)提供認(rèn)證、授權(quán)等方面的服務(wù)。本文對(duì)它的認(rèn)證和授權(quán)策略進(jìn)行了分析，著重探討Spring Security對(duì)于Web資源的保護(hù)和對(duì)系統(tǒng)業(yè)務(wù)方法的保護(hù)方式。
　　再次對(duì)訪問(wèn)控制

4、技術(shù)進(jìn)行了探討，在對(duì)傳統(tǒng)訪問(wèn)控制技術(shù)的相關(guān)概念和優(yōu)劣剖析的基礎(chǔ)上，引出了基于角色的訪問(wèn)控制技術(shù)，將其與Spring Security安全框架相結(jié)合，有效地降低了管理的復(fù)雜度，解決了系統(tǒng)維護(hù)困難的問(wèn)題，同時(shí)能靈活地支持企業(yè)安全策略的需求性變動(dòng)。
　　最后通過(guò)一個(gè)企業(yè)級(jí)應(yīng)用的具體實(shí)例，設(shè)計(jì)了一種具有權(quán)限的動(dòng)態(tài)訪問(wèn)控制特色的企業(yè)級(jí)應(yīng)用安全架構(gòu)并加以實(shí)現(xiàn)，同時(shí)還提供了一個(gè)解決用戶權(quán)限動(dòng)態(tài)分配的前臺(tái)操作界面。通過(guò)一系列的測(cè)試，對(duì)安全架構(gòu)的訪