基于MVC模式的AOP安全框架的研究與實(shí)現(xiàn).pdf

1、隨著計(jì)算機(jī)網(wǎng)絡(luò)與分布式計(jì)算技術(shù)的日趨成熟，基于MVC模式的J2EE多層Web框架逐漸成為一種開(kāi)發(fā)分布式企業(yè)級(jí)應(yīng)用的主流架構(gòu)。保證Web應(yīng)用安全，防止入侵者的主動(dòng)與被動(dòng)攻擊一直是學(xué)術(shù)界致力于研究與解決的熱點(diǎn)。在這一背景下，Sun在J2SE1.4后推出了JAAS(Java認(rèn)證與授權(quán)服務(wù))，規(guī)定了新的安全標(biāo)準(zhǔn)并提供了一個(gè)可插拔的和富有彈性的框架。采用JAAS能夠有效驗(yàn)證用戶的身份并保護(hù)訪問(wèn)資源，使J2EE多層應(yīng)用的安全性得到顯著提高。

2、 采用JAAS框架的目的在于有效加強(qiáng)J2EE多層應(yīng)用的訪問(wèn)控制?；贛VC模式的訪問(wèn)控制在一定程度參考了RBAC模型思想。各類資源應(yīng)以客體的形式分配給角色，用戶通過(guò)其對(duì)應(yīng)的角色和訪問(wèn)控制策略來(lái)確定擁有哪些權(quán)限以訪問(wèn)特定的資源。雖然上述做法簡(jiǎn)化了權(quán)限管理，但若使用傳統(tǒng)面向?qū)ο笏枷雽?shí)現(xiàn)則存在一定缺陷，表現(xiàn)為每個(gè)核心關(guān)注點(diǎn)均需實(shí)現(xiàn)廣泛分布的JAAS授權(quán)等橫切關(guān)注點(diǎn)，從而造成代碼糾纏和代碼分散等問(wèn)題。本文力圖通過(guò)面向方面編程思想(AOP)解決上

3、述問(wèn)題，改進(jìn)基于MVC模式的J2EE應(yīng)用訪問(wèn)控制，提出了基于MVC模式的AOP安全框架MBASF。 本文根據(jù)課題的設(shè)計(jì)思想展開(kāi)MBASF各模塊的設(shè)計(jì)與實(shí)現(xiàn)工作。主要包括：口令加鹽MD5摘要認(rèn)證與口令/X.509證書(shū)堆疊式認(rèn)證：基于關(guān)系數(shù)據(jù)庫(kù)和XML策略文件的授權(quán)；會(huì)話信息管理；Ajax實(shí)現(xiàn)審計(jì)日志瀏覽查詢；監(jiān)測(cè)系統(tǒng)性能；Hibernate對(duì)象/關(guān)系映射的持久化管理等。通過(guò)AOP技術(shù)建模各類橫切關(guān)注點(diǎn)，使得系統(tǒng)在重用性、靈活性與可