基于J2EE的Web应用开发中安全问题的研究.pdfVIP

维普资讯 第 29卷 第 2期 武汉理工大学学报(詈垩差) Vo1．29 No．2 2005年 4月 JournalofWuhanUniversityofTechnology Apr．2005 (TransportationScience＆Engineering) 基于J2EE的Web应用开发中安全问题的研究* 张志立h 张 鹏 齐德昱¨ (华南理工大学计算机科学与工程学院” 广州 510640)(许昌学院网络中心 许昌 461000) 摘要：研究 了基于J2EE分布式模型的Web应用系统的实现及该应用系统的安全问题．如身份认 证 、安全审计、EJB事务安全、EJB方法访问控制、数据库安全等．针对这些问题结合Java2核心AP1 与扩展API进行分析，提出了相应有效的解决方案． 关键词：J2EE；MVC；JAAS；JNDI；安全编程模式 中图法分类号 ：TP391、7 1 J2EE在Web开发应用中的实现 在编程时，根据Rose生成的UML视图来编写相 应的代码． 1．1 系统设计与实现 1．2 系统的构成 客户是一家大型的半导体生产企业，希望建 本系统服务器端选用 BeaWeblogicServer 立一个综合业务处理系统，能将企业生产 中的采 7．0作为J2EE中间件平台，选用Oracle8i作为 购、销售、发运、退货等业务全部统一到一个信息 RDBMS数据库服务器．客户端使用简单的IE浏 平台上，实现信息的共享，加快内部处理响应速 览器即可．在多层结构的应用中，BEAWebIogic 度．针对基于B／S结构的综合业务处理系统采用 Server7．0可以提供开发和利用服务器端业务逻 J2EE应用中的MVC架构．如图1所示，“JSP页 辑的基本框架，支持分布式编程模型，提供一定程 面”对应于 “V”，控制类和辅助类对应于 “C”，实体 度 的透明性．以下使用相关 的例子都是以We— blogicServer7．0和Oracle8i为例来进行说明的． 类和数据类对应于 “M”． 甲 甲 甲 甲 2 系统中的安全问题探讨 ： 请求 ： ： 数据 ： ． ． rI—]r———坌——蕉——_．一——rI ]I 一l： 分发 ： 业务处理 ： ： 2．1 J2EE体系中的JAAS—Java验证和授权 坌蕉 ： ：兰兰竺堡 ： ． ： ：数据处理： ： ： JAAS通过在应用程序和底层的验证和授权 机制之间加入一个抽象层，可以简化涉及到Java ：．丝堡堕 ： ：塾塑竺翌 I I I I I Security包的程序开发．抽象层独立于平 台的特 ●