伴随着网络技术的迅猛发展,基于网络的企业级应用系统的开发与应用日益普及。随着系统规模的日益扩大,系统的数据安全越来越受到企业的重视。为此,人们设计了各种各样的权限管理模型,以确保只有被授权的用户才能访问某此敏感的数据和信息。Spring是一个强大而灵活的轻量级Web框架,能和其他一些开源框架进行无缝的结合。但现有的Spring框架本身没有提供安全相关的解决方案。同样来自于Open Source社区的Acegi安全框架为实现基于Spring框架的WEB应用的安全控制提供了个很好的解决方案。普通企业级应用系统中,权限不是很复杂,角色仅有几种,仅仅把权限信息在XML配置文件中配置一下,Acegi安全框架就会根据角色分配权限。然而,在大规模企业级应用系统中,权限有几十种甚至上百种,而且需求是经常发生变化的。所以,在配置文件中配置是满足不了实际应用需求的。由于Acegi本身对权限表的设计非常简单,无法适用复杂的权限需求。因此本人改进了Acegi安全框架。本文主要是研究改进Acegi安全框架机制并加入到构建的轻量级的架构中,主要工作有以下几点:(1)改进Acegi安全框架,改进后的框架能满足权限复杂多变的企业应用的需求。多个系统可以采用同一套用户认证与授权机制完成访问控制。(2)重用性。使得改进后的Acegi安全框架具有通用性。(3)可扩展性。企业级用户可以根据自己的需求来扩展改进后的Acegi框架。适应未来企业级安全框架的一个发展方向。(4)以Spring为业务核心,向上整合Struts,向下整合Hibernate。同时加入改进后的Acegi安全框架。构建轻量级架构。(5)详细分析了“在线航空订票系统”的具体业务和功能需求,利用扩展与整合后的带有安全控制机制的轻量级架构进行系统开发,设计开发一个具有五层体系结构、松耦合的、易于移植和可扩展的“在线航空订票系统”。