论文部分内容阅读
随着信息技术的迅速发展,基于J2EE架构的Web系统广泛应用于企业、机构等各领域中,尤其是在安全性要求非常高的电子商务等系统中的大量应用,使得人们对Web应用系统的安全性越来越关注,网络安全日益成为我们迫切需要解决的问题。本文以网上文件管理系统作为项目背景,针对J2EE Web应用的安全性,提出了一种应用Unix认证方式与JAAS技术以增强Web系统安全性的解决方案。文章首先介绍基于口令的Unix认证方式,通过利用SHA-1哈希算法,以口令加盐(Salt)的方式进行计算口令的消息摘要,并将之存入数据库中,在系统口令认证时只比较口令的杂凑值而不比较口令值本身,该口令认证方式可以增加攻击者对受保护数据发起强力字典攻击时所花费的工作量,从而增强基于表单身份验证的口令安全性,故系统的安全性更高;接着引入Java安全体系并深入分析了JAAS技术,介绍Java安全体系结构,着重讲解了JAAS认证与授权服务中的核心类,包括Subject主体、JAAS认证与授权相关的类,并详细阐述了JAAS认证与授权的基本工作流程。在系统的设计与实现方面,本文通过基于JAAS安全机制的分析与探讨基础上,深入学习与研究MVC设计模式和Struts框架,设计出一个应用JAAS安全机制并基于Struts框架的网上文件管理系统。通过Struts框架开发基于MVC设计模式的Web应用,体现了J2EE应用的分层设计思想,能有效地实现业务逻辑与显示逻辑的分离,提高代码的可重用性和灵活性,从而可以提高系统的可维护性和可扩展性,并实现了基于J2EE平台的Web应用的快速开发。本系统主要实现对网上登录用户的管理和文件资源操作的管理,在系统实现的各功能模块均遵循MVC架构进行组件设计,并且在Struts框架中实现各组件的协调工作。本系统利用JAAS安全机制提供的动态、可插拔的模型实现用户身份的安全认证,从而使应用程序具有更加灵活的、可伸缩的安全机制,通过在JAAS身份验证过程中结合Unix认证方式,从而有效地增强系统的安全性;同时通过充分利用Struts强大的组件功能,大大地提高了Web应用的开发效率,初步实现建立一套安全、高效且易于扩展与维护的基于J2EE平台的Web系统设计目标。