基于Spring Security的企業(yè)級應(yīng)用安全架構(gòu)的研究與實現(xiàn).pdf

1、企業(yè)級應(yīng)用是指那些為商業(yè)組織、大型企業(yè)而創(chuàng)建并部署的解決方案及應(yīng)用。一個理想的企業(yè)級應(yīng)用系統(tǒng)平臺應(yīng)當(dāng)具備體系的合理性、靈活性，升級的便捷性和良好的安全性。安全性作為一個重要的關(guān)注點，滲透在整個企業(yè)應(yīng)用系統(tǒng)開發(fā)生命周期的各個階段中。對于一個成熟的企業(yè)級應(yīng)用系統(tǒng)平臺來說，相對于應(yīng)用功能的實現(xiàn)，是否具備良好的安全性往往更為重要。
　　通過研究發(fā)現(xiàn)，目前企業(yè)應(yīng)用的安全性方面普遍存在著業(yè)務(wù)邏輯和安全邏輯的緊耦合、缺乏對業(yè)務(wù)方法的保護(hù)、缺乏動

2、態(tài)訪問控制能力以及管理不方便等問題。本文圍繞解決這些問題，做了如下的研究工作。
　　首先分析了造成業(yè)務(wù)邏輯和安全邏輯緊耦合的原因，即是系統(tǒng)的認(rèn)證和授權(quán)橫向需求與面向?qū)ο蟮目v向?qū)崿F(xiàn)不匹配造成的。通過深入地研究面向方面的程序設(shè)計原理以及分析Spring在面向方面的程序設(shè)計的實現(xiàn)機(jī)制，實現(xiàn)橫切關(guān)注點的分離，解決業(yè)務(wù)邏輯與安全邏輯緊耦合的問題，提高應(yīng)用系統(tǒng)的開發(fā)效率。
　　其次對Spring Security安全框架進(jìn)行了深入地剖析

3、，Spring Security是一個基于Spring AOP技術(shù)的安全框架，它獨立于系統(tǒng)的業(yè)務(wù)邏輯，為應(yīng)用程序提供認(rèn)證和授權(quán)的安全保護(hù)功能。spring Security可以與大多數(shù)Web框架無縫集成，因此可以方便地搭建在基于J2EE的企業(yè)級系統(tǒng)框架之上，為系統(tǒng)提供認(rèn)證、授權(quán)等方面的服務(wù)。本文對它的認(rèn)證和授權(quán)策略進(jìn)行了分析，著重探討Spring Security對于Web資源的保護(hù)和對系統(tǒng)業(yè)務(wù)方法的保護(hù)方式。
　　再次對訪問控制

4、技術(shù)進(jìn)行了探討，在對傳統(tǒng)訪問控制技術(shù)的相關(guān)概念和優(yōu)劣剖析的基礎(chǔ)上，引出了基于角色的訪問控制技術(shù)，將其與Spring Security安全框架相結(jié)合，有效地降低了管理的復(fù)雜度，解決了系統(tǒng)維護(hù)困難的問題，同時能靈活地支持企業(yè)安全策略的需求性變動。
　　最后通過一個企業(yè)級應(yīng)用的具體實例，設(shè)計了一種具有權(quán)限的動態(tài)訪問控制特色的企業(yè)級應(yīng)用安全架構(gòu)并加以實現(xiàn)，同時還提供了一個解決用戶權(quán)限動態(tài)分配的前臺操作界面。通過一系列的測試，對安全架構(gòu)的訪