一种新的基于MVC模式的WEB应用安全框架的设计与实现

摘要

随着计算机网络与分布式计算技术的日趋成熟，基于MVC模式的J2EE多层Web框架逐渐成为一种开发分布式企业级应用的主流架构。目前的J2EE的主流架构已从C/S（Client/Server）模式的转向了B/S（Browser/Server）的模式，或者基于Web Service的模式。我们称建立在B/S，Web Service模式下的应用为Web应用。当今网络化的时代，出现了各种各样的Web应用，包括电子商务、电子政务、电子金融、企业信息、流程管理等等与我们的生活密切相关的应用，都在网络中出现了电子化的版本。与现实生活中一样，网络也需要解决个人隐私信息的安全性问题。Web应用的安全性问题无论在理论上还是工程上都是热点问题。Web应用的模式灵活多样，安全需求也层出不穷，这些特点使得在工程中开发人员对于如何满足应用的安全需求，怎样实现常常需要耗费许多的精力。并且常常每开发一个新的应用都需要再次从头开始考虑安全性问题，这在提倡软件重用，建立企业软件产品线的概念的趋势下显得格格不入。在这种情况下，各种通用性的安全框架不断出现，但其中大多数都没有考虑到可伸缩，可扩展，可重用性等开发人员迫切的需求。而层次化、模块化开发思想的流行，更需要有一种能够以较小的代价整合进Web应用的安全框架的出现。 本文深入研究了基于RBAC（Role Based Access control）的访问控制模型，提出了一个通用型的WEB应用安全框架的总体设计，并提供了用以支撑设计概念的关键技术：安全框架的灵活组装与RBAC模型的实现方案。该实现方案具有轻量级、可伸缩、可扩展的特点。各类资源应以客体的形式分配给角色，用户通过其对应的角色和访问控制策略来确定拥有哪些权限以访问特定的资源。本文的特点在于设计方案配合实际的应用逻辑来说明，体现了理论与实际的结合的理念。

目录

文摘

英文文摘

声明

第一章 绪论

1.1背景

1.2 WEB应用的安全现状

1.2.1传统WEB应用的安全隐患

1.2.2实现WEB应用安全的基本需求分析

1.2.3新型WEB应用对安全的需求

1.3 WEB应用安全框架在工程中的应用需求分析

1.4论文结构

第二章 基础知识

2.1身份认证技术及访问控制技术简述

2.1.1身份认证技术

2.1.2访问控制技术

2.1.3基于角色的访问控制

2.2 MVC模式相关理论简述

2.2.1 MVC的理论基础—设计模式

2.2.2 MVC模式基本理论

2.2.3 MVC特点与应用

2.2.4 Struts框架概述

第三章 安全框架设计思想

3.1 RBAC模型的实现

3.1.1NISTRBAC的四个模型

3.1.2核心RBAC的实现

3.1.3等级式RBAC的实现

3.1.4权限冲突解决策略

3.2功能模块分析

3.3身份认证框架设计

3.4访问控制框架设计

3.5安全框架功能扩展分析

3.6本章小结

第四章 安全框架各功能模块详细设计

4.1数据库设计

4.2身份认证模块设计

4.2.1用户上下文设计

4.2.2登出

4.2.3 Filter认证

4.3访问控制模块设计

4.3.1授权管理器设计

4.3.2访问控制器设计

4.3.3表决器设计

4.3.4冲突处理器设计

4.4本章小结

第五章 框架应用分析

5.1.安全框架数据存储

5.2.记住密码功能的实现

5.3.效果分析

5.4.本章小结

第六章 总结

6.1.论文小结

6.2.有待继续进行的工作

参考文献

致谢

攻读学位期间发表的学术论文