J2EE安全策略中驗(yàn)證機(jī)制的改進(jìn)與實(shí)現(xiàn).pdf

1、互聯(lián)網(wǎng)技術(shù)的普及和發(fā)展，推動(dòng)著企業(yè)級(jí)應(yīng)用的構(gòu)建和更新進(jìn)程。為了縮短企業(yè)級(jí)應(yīng)用的設(shè)計(jì)和開發(fā)周期，降低其構(gòu)建成本，J2EE多層體系結(jié)構(gòu)的開發(fā)模式已經(jīng)成為開發(fā)企業(yè)級(jí)應(yīng)用的首選方式。基于具有開放性的網(wǎng)絡(luò)上的J2EE多層體系結(jié)構(gòu)雖然具有傳統(tǒng)C/S結(jié)構(gòu)所沒有的優(yōu)勢(shì)，但同時(shí)也面對(duì)一些新問題的挑戰(zhàn)。開放性的網(wǎng)絡(luò)導(dǎo)致多層體系結(jié)構(gòu)的企業(yè)級(jí)應(yīng)用面臨來自各方面的安全威脅。如何保護(hù)信息不被非法獲取、盜用、篡改和破壞，已成為所有企業(yè)級(jí)應(yīng)用研究者共同關(guān)心的重要課題。

2、 本文從企業(yè)級(jí)系統(tǒng)應(yīng)用層安全的角度出發(fā)，深入研究J2EE多層體系結(jié)構(gòu)的安全策略模型。J2EE提供的安全策略簡(jiǎn)化了系統(tǒng)的信息安全模型，能夠很方便地滿足基于J2EE的分布式應(yīng)用系統(tǒng)的安全需求，但是在面對(duì)更加復(fù)雜的安全需求時(shí)，J2EE安全策略在驗(yàn)證授權(quán)和角色管理中還存在不足之處：其在Web層的聲明式驗(yàn)證機(jī)制無法為用戶提供更多驗(yàn)證信息，可擴(kuò)展性較差；在EJB層缺少業(yè)務(wù)邏輯層可供采用的驗(yàn)證機(jī)制，而是借助于Web層的驗(yàn)證機(jī)制，其耦合程度較高

3、有悖于業(yè)務(wù)邏輯分離于表現(xiàn)邏輯的原則；在角色管理方面，J2EE采用數(shù)據(jù)庫或者應(yīng)用服務(wù)器來管理角色信息，其中，數(shù)據(jù)庫管理角色的方式增加了應(yīng)用開發(fā)的復(fù)雜度，應(yīng)用服務(wù)器管理角色降低了系統(tǒng)的可移植性，兩者都具有片面性。 針對(duì)以上不足，本文提出了改進(jìn)的安全策略模型，在Web層設(shè)計(jì)可擴(kuò)展的驗(yàn)證模塊來代替原來聲明式安全采用的驗(yàn)證機(jī)制；在EJB層設(shè)計(jì)驗(yàn)證模塊用于對(duì)業(yè)務(wù)邏輯資源的訪問控制；在角色信息管理方面，使用目錄服務(wù)器存儲(chǔ)用戶角色，來降低系統(tǒng)開