J2EE应用服务器作为现今一种分布式计算平台,已成为基于Web的企业应用的核心部分,它帮助应用程序处理事务、安全等非业务逻辑,提供应用程序的运行环境.为了加强和完善企业对大量企业敏感数据和敏感业务逻辑的处理,必须确实的解决J2EE应用服务器平台的安全机制问题.除了在应用服务器中实现良好的安全体系,使应用服务器的安全服务拥有良好的可扩展性也是必须的,该文在对J2EE应用服务器的安全模型进行分析研究的基础上,设计和实现了可扩展的J2EE应用服务器的安全机制,包括认证功能,访问控制功能,审计功能和自定义安全的支持.同时,为了满足企业更高级的安全要求,该文设计和实现了多种高级安全认证机制,包括基于数字签名的安全认证机制和基于数字证书的安全认证机制.在J2EE应用服务器中提供安全服务,使得应用程序只需关心与业务相关的处理逻辑,并向应用服务器提供服务器所要求的安全信息,而相应的包括认证,访问控制等安全内容都无须应用程序考虑,从而简化了应用程序的开发,同时还提高了应用程序的可靠性.