J2EE企业级应用系统及其安全框架研究与实现
摘要
企业级应用是指那些为商业组织、大型企业而创建并部署的解决方案及应用。一个理想的企业级应用系统平台应该具备体系的合理性、灵活性,升级的便捷性和良好的安全性。
J2EE(Java 2 Platform Enterprise Edition)是一个基于JAVA2平台独立的、可移植的、多用户的、安全的企业级平台。J2EE本身是一个标准,而不是现成的产品,它克服了传统Client/Server模式的弊病,迎合Brower/Server架构的潮流,简化企业级应用的开发、管理和部署。伴随着J2EE的发展,时下也出现了许多基于J2EE体系的第三方框架。这些第三方框架一般都专注于某一具体功能面的实现,所以在开发企业级应用的时候,适当选择一些框架作为基础组件来负责事务、安全等功能,自己则只负责业务逻辑的设计开发是一种有效的开发方式。
Acegi是一个基于Spring AOP技术的安全框架,它独立于系统业务逻辑,可以灵活地为系统部署安全服务。Acegi可以与大多数Web框架无缝集成,因此它可以方便地搭建在基于J2EE的企业级系统框架之上,为系统提供认证授权等方面的服务。
基于以上,本文针对实际的企业级系统项目“ITBOSS”主要作了如下工作:
1、介绍J2EE体系架构及第三方框架Struts、Spring。
2、分析了基于角色访问控制(RBAC)的实现及其特性,扩展了RBAC模型使其支持数据权限的控制。
3、详细介绍了AOP机制,研究了基于Spring AOP的Acegi系统安全框架的搭建。
4、提出并实现了对Acegi安全框架进行面向数据库的移植,扩展其应用的通用性。
Enterprise applications refers to applications and solutions that deployed for commercial organizations and large enterprises. An ideal enterprise applications platform should be upgrading easily, reliable, safe, and have a flexibility architecture.
J2EE(Java 2 Platform Enterprise Edition)is an architecture that defined the standard for developing Platform independent, transplantable, multi-user and secure enterprise applications. It use B/S model instead of C/S model, simplifies the maintenance and deployment of enterprise applications. Along whit the development of J2EE, many open-source framekworks emerge which are focus on specific aspect in system, such as transaction, security etc. We can only concentrate on development of business logic.
Acegi is a framework based on Spring AOP technology, it works independently against business logic of the system and can provide security services deployed. Acegi can be intergrated with mass Web frameworks perfectly. So we can establish Acegi security syste in the enterprise system based J2EE and provide authentication service and authorization service.
The main work is as follows:
First, introduce the J2EE architecture and two open-source framework: Struts and Spring.
Secondly, having been research some available information access control strategies, especially RBAC. We improve the RBAC model so that it can be suitable for data permission access control.
Thirdly, we introduce the AOP in detail and the Acegi Security framework which is based Spring AOP.
Finally, we adopt the Acegi Security framework, and extend its functions, as a result we make the Acegi can work with its config build on a database.
J2EE(Java 2 Platform Enterprise Edition)是一个基于JAVA2平台独立的、可移植的、多用户的、安全的企业级平台。J2EE本身是一个标准,而不是现成的产品,它克服了传统Client/Server模式的弊病,迎合Brower/Server架构的潮流,简化企业级应用的开发、管理和部署。伴随着J2EE的发展,时下也出现了许多基于J2EE体系的第三方框架。这些第三方框架一般都专注于某一具体功能面的实现,所以在开发企业级应用的时候,适当选择一些框架作为基础组件来负责事务、安全等功能,自己则只负责业务逻辑的设计开发是一种有效的开发方式。
Acegi是一个基于Spring AOP技术的安全框架,它独立于系统业务逻辑,可以灵活地为系统部署安全服务。Acegi可以与大多数Web框架无缝集成,因此它可以方便地搭建在基于J2EE的企业级系统框架之上,为系统提供认证授权等方面的服务。
基于以上,本文针对实际的企业级系统项目“ITBOSS”主要作了如下工作:
1、介绍J2EE体系架构及第三方框架Struts、Spring。
2、分析了基于角色访问控制(RBAC)的实现及其特性,扩展了RBAC模型使其支持数据权限的控制。
3、详细介绍了AOP机制,研究了基于Spring AOP的Acegi系统安全框架的搭建。
4、提出并实现了对Acegi安全框架进行面向数据库的移植,扩展其应用的通用性。
Enterprise applications refers to applications and solutions that deployed for commercial organizations and large enterprises. An ideal enterprise applications platform should be upgrading easily, reliable, safe, and have a flexibility architecture.
J2EE(Java 2 Platform Enterprise Edition)is an architecture that defined the standard for developing Platform independent, transplantable, multi-user and secure enterprise applications. It use B/S model instead of C/S model, simplifies the maintenance and deployment of enterprise applications. Along whit the development of J2EE, many open-source framekworks emerge which are focus on specific aspect in system, such as transaction, security etc. We can only concentrate on development of business logic.
Acegi is a framework based on Spring AOP technology, it works independently against business logic of the system and can provide security services deployed. Acegi can be intergrated with mass Web frameworks perfectly. So we can establish Acegi security syste in the enterprise system based J2EE and provide authentication service and authorization service.
The main work is as follows:
First, introduce the J2EE architecture and two open-source framework: Struts and Spring.
Secondly, having been research some available information access control strategies, especially RBAC. We improve the RBAC model so that it can be suitable for data permission access control.
Thirdly, we introduce the AOP in detail and the Acegi Security framework which is based Spring AOP.
Finally, we adopt the Acegi Security framework, and extend its functions, as a result we make the Acegi can work with its config build on a database.
引文
[1]Herbert Scchildt.Java2实用教程[M].清华大学出版社.2004.1
[2]魏楚元,李涛深.J2EE安全机制的分析与研究[J].计算机工程与设计.2005,26(6):1434-1437
[3]Ben Alex. Acegi Security Reference Documentationl. 0.3[EB/PDF]. 2006
[4]Ed Roman.精通EJB(第二版)[M].电子工业出版社.2002.10
[5]John Wiley. Beginning JavaServer Pages[M]. Wiley Publishing, Inc. 2004
[6]Subrahmanyam Allamaraju.J2EE编程指南[M].电子工业出版社.2002.3
[7]Deepak Alur, john Crupi, Dan Malks. Core J2EE Patterns: Best Practices and Design Strategies, Second Edition[M]. 2005.3
[8]Sun Microsystem.Java Platform, Enterprise Edition(J2SE)Specification, version1.4 final Release[EB/PDF]: Sun Microsystem,2003
[9]Derek C.Ashmore.The J2EE Architect's Handbook:How to be a Successful Technical Arechitect for J2EE Application[M].DVT Press,2004
[10]Paul Hammant,Aslak Hellsoy.Constructor Injection[EB/OL]. http://www.picocontainer.org/Constructor+Injection. 2004
[11]邓集波,洪帆.基于任务的访问控制模型[J].软件学报.2003,14(01)
[12]黎光伟.基于J2EE的机场软件及相关模块的设计与实现[D].电子科技大学硕士学位论文.2004:6-18
[13]Ravi S. Sandhu, Edward J. Coyne. et al. Role-based access control models [J].IEEE Computer, February 1996 29(2):38-47
[14]David F Ferraiolo, Ravi Sandhu. Proposed NIST Standard for Role-Based Access Control. ACM Transactions Information and System Security. 2001.3 (4): 224-274
[15]徐仁义,李益发.一个RBAC的改进模型[J].计算机工程与应用.2005,34:39-45
[16]林琳,詹永照,年铁.基于组织机构图的改进RBAC模型[J].江苏大学学报(自然科学版).2006,27(2):147-150
[17]黎小红.基于Spring框架应用的权限控制系统的研究和实现[J].计算机与信息技术.2006
[18]鞠成东,廖明宏.基于RBAC模型的角色权限及层次关系研究[J].哈尔滨理工大学学报.2005,10(4):95-99
[19]Acegi资源配置动态扩展实现[EB/OL].http://www.javaeye.com/article/17538.2006
[20]Craig Walls,Ryan Breicenbach.Spring in Action[M].人民邮电出版社.2006.4
[21Bruce Eckel.Thinking in Java[M].机械工业出版社.2002
[22]Rod Johnson, Juergen Hoeller. spring2.0-reference[EB/PDF]. 2006
[23]郑丹,贾卓生.基于Acegi的Web应用系统的认证和授权的实现[J].科技资讯.2006,26:104
[24]基于构件的办公自动化系统的研究及其安全子系统的实现[D].江西师范大学硕士学位论文.2006
[25]Elrad T, Filman RE. Aspect-Oriented Programming [J]. Communication of the ACM. 2001,44 (10):45-49
[26]罗时飞.精通Spring[M].电子工业出版社.2005.4
[27]陆蔚.浅析J2EE安全机制[J].电脑知识与技术.2005.21:45-46
[28]再论Acegi权限存储策略[EB/OL].http://www.javaeye.com/article/18635.2006
[29]李淑芳,蒋年德.基于Struts+ Spring物流信息交易平台的研究与实现[J].电脑知识与技术.2006.35:42-43
[30]Ted Husted. Struts in Action: Building Web Applications with the Leading Java Framework[M]. 机械工业出版社.2005.5
[31]任广进.基于Struts框架和Hibernate架构的大型财务公司MIS系统的设计与实现[J].科学技术与工程.2007.5(7):890-893
[32]董健康.基于JAAS的认证和授权机制研究[J].中国科技信息.2006.24:110-112
[33]罗新.基于Web/J2EE架构的销售管理系统的设计与实现[J].哈尔滨商业大学学报(自然科学版).2006.6:84-88
[34]侯强,钱志博.基于设计模式的J2EE平台B/S系统研究[J].微处理机.2006.6:36-38
[35]Ravi Sandhu, David Ferraiolo. The NIST Model for Role-based Access Control: Towards A Unified Standard. National Institute of Standard and Technology.
[36]Web安全架构的分析与实现[D].北京邮电大学硕士学位论文.2006
[37]李玉章,罗军.基于RBAC的XML访问控制研究[J].计算机工程与设 计.2007.1:53-58
[38]徐国永,刘强.资源整合中访问控制的研究与实现[J].计算机工程与设计.2007.1:32-35
[39]杨宗凯,李琴.T-RBAC模型在ERP系统中的研究与实现[J].计算机技术与发展.2007.1(17):9-11
[40]金怡,蔡勉.基于通用访问框架的安全操作系统设计[J].计算机安全.2007.1:29-32
[41]李志英,黄强.RBAC模型研究、改进与实现[J].计算机应用.2006.12(26):2945-2947
[42]丁霞,徐开勇.基于WEB和RBAC的授权管理子系统设计与实现[J].微计算机信息.2006.12(22):144-147
[43]周小为,何斌.基于角色的授权与访问控制的研究[J].计算机与信息技术.2006.12:86-88
[44]CHEN Jian-gang, WANG Ru-chuan. The extended RBAC model based on grid computing [J]. The Journal of China Universities of Posts and Telecommunications. 2006.3 (13): 93-97
[45]杨柳,危韧勇.一种扩展型基于角色权限管理模型(E-RBAC)的研究[J].计算机工程与科学.2006.9(28):126-128
[46]陈刚,陈长琴.基于角色和部门的两级访问控制模型[J].武汉科技大学学报.2006.4(29):398-400
[47]MUDAR Sarem. Centralized Role-Based Access Control for Federated Multi-Domain Environments [J]. Wuhan University Journal of Natural Sciences. 2006.6 (11): 1688-1692
[48]HONG Fan, XING Guang-lin. A Family of RBAC-Based Workflow Authorization Models [J]. Wuhan University Journal of Natural Sciences. 2005.1 (10): 324-328
[49]HAN Lan-sheng, Asiedu Baffour Kojo. Least Privileges and Role's Inheritance of RBAC[J]. Wuhan University Journal of Natural Sciences. 2006.1(11): 185-187
[50]GAO Fuxiang, YAO Lan. Access and Control System Based on Dynamic Web [J]. Wuhan University Journal of Natural Sciences. 2006.5 (11): 1233-1237
[51]许谦,雷咏梅.面向代理机制的角色访问控制[J].计算机工程.2007.2(33):145-147
[52]乔得吉,唐虹.WSRBAC在管理信息系统中的应用[J].信息安全与通信保密.2007.1:157-160
[53]王磊,史浩山.RBAC在电力监控网络资源管理系统中的应用[J].科学技术与工程.2007.5(7):698-701
[54]方勇,邓远林.基于规则的RBAC在Web信息系统中的实现[J].四川大学学报(自然科学版).2006.6(43):1274-1278
[55]薛宏智,王俊.基于LDAP的企业访问控制系统设计与实现[J].计算机与信息技术.2006.Z1:89-91
[56]李庆华,王小兵.Web服务基于代理和角色的访问控制模型研究[J].计算机工程与科学.2006.12(28):22-23
[57]曲洪桥,郑雪峰.用AOP的横切机制解决面向对象设计中的耦合问题[J].微计算机信息.2006.18:285-287
[58]梁琳,许向众.Spring框架与AOP思想的研究与应用[J].计算机与信息技术.2006.4:24-26
[59]陈景燕,阳国贵.AOP下的权限控制实现[J].计算机与信息技术.2006.6:48-50
[60]解析Acegi Security System for Spring[EB/OL]. http://tag.csdn.net/Article/d97f70d0-a188-4094-9c69-7c806e52c632.html. 2006
[61]王永峰.基于Spring的安全框架Acegi在Web系统中的应用[J].铁路计算机应用.2006.12(15):34-36
[62]袁梅冷.在基于Spring框架的应用中使用Acegi实现安全控制[J].电脑知识与技术.2006.8:82-83
[2]魏楚元,李涛深.J2EE安全机制的分析与研究[J].计算机工程与设计.2005,26(6):1434-1437
[3]Ben Alex. Acegi Security Reference Documentationl. 0.3[EB/PDF]. 2006
[4]Ed Roman.精通EJB(第二版)[M].电子工业出版社.2002.10
[5]John Wiley. Beginning JavaServer Pages[M]. Wiley Publishing, Inc. 2004
[6]Subrahmanyam Allamaraju.J2EE编程指南[M].电子工业出版社.2002.3
[7]Deepak Alur, john Crupi, Dan Malks. Core J2EE Patterns: Best Practices and Design Strategies, Second Edition[M]. 2005.3
[8]Sun Microsystem.Java Platform, Enterprise Edition(J2SE)Specification, version1.4 final Release[EB/PDF]: Sun Microsystem,2003
[9]Derek C.Ashmore.The J2EE Architect's Handbook:How to be a Successful Technical Arechitect for J2EE Application[M].DVT Press,2004
[10]Paul Hammant,Aslak Hellsoy.Constructor Injection[EB/OL]. http://www.picocontainer.org/Constructor+Injection. 2004
[11]邓集波,洪帆.基于任务的访问控制模型[J].软件学报.2003,14(01)
[12]黎光伟.基于J2EE的机场软件及相关模块的设计与实现[D].电子科技大学硕士学位论文.2004:6-18
[13]Ravi S. Sandhu, Edward J. Coyne. et al. Role-based access control models [J].IEEE Computer, February 1996 29(2):38-47
[14]David F Ferraiolo, Ravi Sandhu. Proposed NIST Standard for Role-Based Access Control. ACM Transactions Information and System Security. 2001.3 (4): 224-274
[15]徐仁义,李益发.一个RBAC的改进模型[J].计算机工程与应用.2005,34:39-45
[16]林琳,詹永照,年铁.基于组织机构图的改进RBAC模型[J].江苏大学学报(自然科学版).2006,27(2):147-150
[17]黎小红.基于Spring框架应用的权限控制系统的研究和实现[J].计算机与信息技术.2006
[18]鞠成东,廖明宏.基于RBAC模型的角色权限及层次关系研究[J].哈尔滨理工大学学报.2005,10(4):95-99
[19]Acegi资源配置动态扩展实现[EB/OL].http://www.javaeye.com/article/17538.2006
[20]Craig Walls,Ryan Breicenbach.Spring in Action[M].人民邮电出版社.2006.4
[21Bruce Eckel.Thinking in Java[M].机械工业出版社.2002
[22]Rod Johnson, Juergen Hoeller. spring2.0-reference[EB/PDF]. 2006
[23]郑丹,贾卓生.基于Acegi的Web应用系统的认证和授权的实现[J].科技资讯.2006,26:104
[24]基于构件的办公自动化系统的研究及其安全子系统的实现[D].江西师范大学硕士学位论文.2006
[25]Elrad T, Filman RE. Aspect-Oriented Programming [J]. Communication of the ACM. 2001,44 (10):45-49
[26]罗时飞.精通Spring[M].电子工业出版社.2005.4
[27]陆蔚.浅析J2EE安全机制[J].电脑知识与技术.2005.21:45-46
[28]再论Acegi权限存储策略[EB/OL].http://www.javaeye.com/article/18635.2006
[29]李淑芳,蒋年德.基于Struts+ Spring物流信息交易平台的研究与实现[J].电脑知识与技术.2006.35:42-43
[30]Ted Husted. Struts in Action: Building Web Applications with the Leading Java Framework[M]. 机械工业出版社.2005.5
[31]任广进.基于Struts框架和Hibernate架构的大型财务公司MIS系统的设计与实现[J].科学技术与工程.2007.5(7):890-893
[32]董健康.基于JAAS的认证和授权机制研究[J].中国科技信息.2006.24:110-112
[33]罗新.基于Web/J2EE架构的销售管理系统的设计与实现[J].哈尔滨商业大学学报(自然科学版).2006.6:84-88
[34]侯强,钱志博.基于设计模式的J2EE平台B/S系统研究[J].微处理机.2006.6:36-38
[35]Ravi Sandhu, David Ferraiolo. The NIST Model for Role-based Access Control: Towards A Unified Standard. National Institute of Standard and Technology.
[36]Web安全架构的分析与实现[D].北京邮电大学硕士学位论文.2006
[37]李玉章,罗军.基于RBAC的XML访问控制研究[J].计算机工程与设 计.2007.1:53-58
[38]徐国永,刘强.资源整合中访问控制的研究与实现[J].计算机工程与设计.2007.1:32-35
[39]杨宗凯,李琴.T-RBAC模型在ERP系统中的研究与实现[J].计算机技术与发展.2007.1(17):9-11
[40]金怡,蔡勉.基于通用访问框架的安全操作系统设计[J].计算机安全.2007.1:29-32
[41]李志英,黄强.RBAC模型研究、改进与实现[J].计算机应用.2006.12(26):2945-2947
[42]丁霞,徐开勇.基于WEB和RBAC的授权管理子系统设计与实现[J].微计算机信息.2006.12(22):144-147
[43]周小为,何斌.基于角色的授权与访问控制的研究[J].计算机与信息技术.2006.12:86-88
[44]CHEN Jian-gang, WANG Ru-chuan. The extended RBAC model based on grid computing [J]. The Journal of China Universities of Posts and Telecommunications. 2006.3 (13): 93-97
[45]杨柳,危韧勇.一种扩展型基于角色权限管理模型(E-RBAC)的研究[J].计算机工程与科学.2006.9(28):126-128
[46]陈刚,陈长琴.基于角色和部门的两级访问控制模型[J].武汉科技大学学报.2006.4(29):398-400
[47]MUDAR Sarem. Centralized Role-Based Access Control for Federated Multi-Domain Environments [J]. Wuhan University Journal of Natural Sciences. 2006.6 (11): 1688-1692
[48]HONG Fan, XING Guang-lin. A Family of RBAC-Based Workflow Authorization Models [J]. Wuhan University Journal of Natural Sciences. 2005.1 (10): 324-328
[49]HAN Lan-sheng, Asiedu Baffour Kojo. Least Privileges and Role's Inheritance of RBAC[J]. Wuhan University Journal of Natural Sciences. 2006.1(11): 185-187
[50]GAO Fuxiang, YAO Lan. Access and Control System Based on Dynamic Web [J]. Wuhan University Journal of Natural Sciences. 2006.5 (11): 1233-1237
[51]许谦,雷咏梅.面向代理机制的角色访问控制[J].计算机工程.2007.2(33):145-147
[52]乔得吉,唐虹.WSRBAC在管理信息系统中的应用[J].信息安全与通信保密.2007.1:157-160
[53]王磊,史浩山.RBAC在电力监控网络资源管理系统中的应用[J].科学技术与工程.2007.5(7):698-701
[54]方勇,邓远林.基于规则的RBAC在Web信息系统中的实现[J].四川大学学报(自然科学版).2006.6(43):1274-1278
[55]薛宏智,王俊.基于LDAP的企业访问控制系统设计与实现[J].计算机与信息技术.2006.Z1:89-91
[56]李庆华,王小兵.Web服务基于代理和角色的访问控制模型研究[J].计算机工程与科学.2006.12(28):22-23
[57]曲洪桥,郑雪峰.用AOP的横切机制解决面向对象设计中的耦合问题[J].微计算机信息.2006.18:285-287
[58]梁琳,许向众.Spring框架与AOP思想的研究与应用[J].计算机与信息技术.2006.4:24-26
[59]陈景燕,阳国贵.AOP下的权限控制实现[J].计算机与信息技术.2006.6:48-50
[60]解析Acegi Security System for Spring[EB/OL]. http://tag.csdn.net/Article/d97f70d0-a188-4094-9c69-7c806e52c632.html. 2006
[61]王永峰.基于Spring的安全框架Acegi在Web系统中的应用[J].铁路计算机应用.2006.12(15):34-36
[62]袁梅冷.在基于Spring框架的应用中使用Acegi实现安全控制[J].电脑知识与技术.2006.8:82-83