电子平台J2EE的安全体系

最新推荐文章于 2020-07-01 21:03:58 发布
最新推荐文章于 2020-07-01 21:03:58 发布
阅读量93 收藏
点赞数
分类专栏: JAVA 文章标签: 网络应用 企业应用 Web 编程 F#

日期

 

 

 

<chsdate isrocdate="False" islunardate="False" day="1" month="8" year="2005" w:st="on"></chsdate>200581

 

 

 

作者

 

 

 

<rtx w:st="on"></rtx>gauss

 

 

 

类型

 

 

 

安全认证

 

 

 

内容

 

 

 

电子平台的安全模式设计

 

 

 

电子平台的安全模式设计

 

1.       前言

 

   由于电子平台的办公信息的敏感性以及网络的虚拟性和开放性,决定了电子平台系统需要有强有力的用户访问安全、网络安全、系统安全、应用程序安全、数据库和事务管理器安全来保证电子平台系统的安全。而系统采用J2EE框架正是满足以上需要,它不但将安全任务的一些内容转移给容器,且能够提供应用程序员完成安全任务的功能。

2.       方案的整体设计

 

在电子平台系统的安全体系中我们主要应用到了集中认证、系统密码加密、Web模块的角色配置和EJB模块的角色配置。下面就是系统的整个安全体系的设计示意图:

 

<shapetype id="_x0000_t75" stroked="f" filled="f" path="m@4@5l@4@11@9@11@9@5xe" o:preferrelative="t" o:spt="75" coordsize="21600,21600"></shapetype><stroke joinstyle="miter"></stroke> <formulas> </formulas> <f eqn="if lineDrawn pixelLineWidth 0"></f><f eqn="sum @0 1 0"></f><f eqn="sum 0 0 @1"></f><f eqn="prod @2 1 2"></f><f eqn="prod @3 21600 pixelWidth"></f><f eqn="prod @3 21600 pixelHeight"></f><f eqn="sum @0 0 1"></f><f eqn="prod @6 1 2"></f><f eqn="prod @7 21600 pixelWidth"></f><f eqn="sum @8 21600 0"></f><f eqn="prod @7 21600 pixelHeight"></f><f eqn="sum @10 21600 0"></f> <lock aspectratio="t" v:ext="edit"></lock><shape id="_x0000_i1025" style="WIDTH: 359.25pt; HEIGHT: 414pt" type="#_x0000_t75"></shape><imagedata o:title="绘图3" src="file:///C:\DOCUME~1\gauss\LOCALS~1\Temp\msohtml1\01\clip_image001.jpg"></imagedata><lock aspectratio="f" v:ext="edit"></lock>

 

电子平台安全体系示意图

 

2.1   集中认证:

 

集中认证就是采用CA机构的认证服务器和Web应用程序,对客户端数字证书的验证过程与普通的认证相同都是采用的Https传输信息。在验证完成以后CA机构的Web应用程序会根据配置文件转发到指定位置,这里我们可以设定电子平台系统的首页面,同时将认证的一些信息放到客户端的Cookie中,这样我们只需要在自己的电子平台系统的用户进行业务登入的时候调用CA机构提供的认证接口进行验证,这个过程是采用Http方式,速度上将会有很大的提高,同时保证的安全性,且对电子平台系统的影响较小,有利于系统的开发、集成和更新。为了更好的说明集中认证与普通认证的区别,我做了以下比较:如图

 

<shape id="_x0000_i1026" style="WIDTH: 363pt; HEIGHT: 161.25pt" type="#_x0000_t75"></shape><imagedata o:title="" src="file:///C:\DOCUME~1\gauss\LOCALS~1\Temp\msohtml1\01\clip_image003.png"></imagedata>

 

                           集中认证VS普通认证

 

            下面我们集中讨论集中认证在电子平台系统的应用,下面是电子平台系统应用集       中认证的一个网络流程示意图和集中认证的程序流程图

 

<shape id="_x0000_i1027" style="WIDTH: 363pt; HEIGHT: 322.5pt" type="#_x0000_t75"></shape><imagedata o:title="liu2" src="file:///C:\DOCUME~1\gauss\LOCALS~1\Temp\msohtml1\01\clip_image005.jpg"></imagedata>

 

                                                        电子平台应用集中认证的流程图

 

       系统应用集中认证登陆注册的程序流程:

 

<shape id="_x0000_i1028" style="WIDTH: 193.5pt; HEIGHT: 446.25pt" type="#_x0000_t75"></shape><imagedata o:title="liu" src="file:///C:\DOCUME~1\gauss\LOCALS~1\Temp\msohtml1\01\clip_image007.jpg"></imagedata>

 

  上面提到的一些关于集中认证的一些概念可以参考《关于CA的一些基本概念》和《公钥基础设施PKI技术》。具体服务证书和CA认证机构auth.war包怎么部署以及如何应用参考《集中认证在电子平台中应用》文档。关于调用CA机构提供的验证接口在LoginAction/RegAcion内进行。具体如何实施在下面的“系统开发过程中注意的事项”中会具体讨论。

 

2.2       J2EE安全体系:

 

       电子平台采用采用先进的、流行的MVC()层技术体系架构,分别为:ViewControllerModel,如下图所示:

 

<shape id="_x0000_i1029" style="WIDTH: 384pt; HEIGHT: 247.5pt" type="#_x0000_t75"></shape><imagedata o:title="绘图4" src="file:///C:\DOCUME~1\gauss\LOCALS~1\Temp\msohtml1\01\clip_image009.jpg"></imagedata><lock aspectratio="f" v:ext="edit"></lock>

 

       这样将业务逻辑层与视图分开不但有利于开发而且保证了数据的安全性,下面主要谈一下J2EE应用程序的安全性。

 

J2EE应用程序安全使用基于角色的安全机制,在开发期间,我们应当通过为特定的安全角色分配安全资源和方法来确定应用程序的安全策略。在应用程序装配期间,安全角色被影射为真实的用户和组。这种两段式安全管理方法给予应用程序很大的灵活性和可移植性,在运行时,J2EE容器负责强迫执行访问控制安全的资源和方法。J2EE容器支持两类安全

 

       ·说明性的安全性:

 

           ·可编程的安全性:

 

      说明性的安全性,根据名称可以看出说明性安全主要是将安全策略在部署的描述文件中定义,可编程的安全性要求程序员通过编码来保证J2EE的安全性。而不需编码实现,它主要借助J2EE的容器根据定义对安全策略。可编程的安全性,我们在本系统中采用说明性的安全性。两者之间都有各自的优缺点:

 

名称

 

 

 

优点

 

 

 

缺点

 

 

 

说明性的安全性

 

 

 

不需要编码,减轻了程序员的编码工作量;更改角色方便。

 

 

 

灵活性差;部署的时候比较麻烦

 

 

 

可编程的安全性

 

 

 

灵活性好,能够根据业务的需要定制安全;部署方便

 

 

 

需要编码实现,增加了程序员的工作量;更改角色不方便,需要修改代码

 

 

 

  在电子平台项目中我们是尽量采用说明性的安全性,若在说明性的安全性无法满足业务                   需求的情况下采用可编程的安全性。下面我们分为Web模块和EJB模块来讨论:

 

2.21Web模块:

 

Web模块里面用的角色现拟如下:

 

大众用户               everyone

 

企业用户               enterprise

 

质检用户               organ

 

市监督局               city_ surveillance

 

省监督局               province_ surveillance

 

国家监督局            country_ surveillance

 

平台管理员            plat _manager

 

具体到开发部署的时候可以根据需要变通的进行更改和增删。

 

A)定义验证方法:

 

        验证机制定义客户如何被Web应用程序验证。在应用任何验证约束之前,用户需要使用一个已经设置的机制来通过验证过程。Servlet规范定义了4种验证用户的机制。基础验证、摘要验证、客户证书验证、基于表单的验证。电子平台系统主要采用了客户端证书验证和基于表单的验证。其中关于证书的验证采用的集中认证的模式。

 

B)定义安全角色:

 

        Web部署描述文件web.xml中,所用在Web模块中使用的安全角色和一个可选的描述文字都必须被命名。一个角色时一个占位符,在应用程序的部署期间占位符最后被映射为真实的用户和用户组。

 

C)定义安全约束:

 

        Web模块中可以定义多个安全约束。安全约束声明了应用程序的内容是如何被保护的。对于一个给定的安全约束,我们定义2个特征:

 

·Web资源集合:一个Web资源集合是一组URL模式和该模式代表的资源中的HTTP方法。一个安全约束可以有多个Web资源集合。

 

·授权约束:一个授权约束定义了在安全约束下授权哪些角色存取Web资源集合。

 

D)为单个的servlet/jsp定义安全角色引用(可选):

 

        这部分内容可以根据需要,将一些比较特殊而且安全级别比较高的页面定义安全角色引用。

 

E)口令加密:

 

      

gauss2008
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
J2EE开发技术概述
醉卧考场君莫笑
09-20 1447
Servlet:实际上就是按照Servlet规范编写的一个java类,与传统的命令行启动的Java应用程序不同,Servlet位于Web服务器内部,并由Web服务器加载并调用。* * JSP把静态内容和动态内容的分离,实现了内容和表示的分离。JavaBean 是一种JAVA语言写成的可重用组件,一种特殊的Java类,就是有默认构造方法,只有get,set的方法的java类的对象。JSP,Servlet是最早的Java EE规范之一, 同属表现层,都属于“动态网页技术”
j2ee 电子商城.。 jsp
11-23
在信息技术领域,J2EE(Java 2 Platform, Enterprise Edition)是一个用于构建企业级应用程序的平台,尤其适合开发分布式、多层架构的电子商务系统,如电子商城。本篇文章将深入探讨基于J2EE技术栈的电子商城系统...
J2EE安全体系(二)
gauss2008的专栏
06-18 172
日期 2005年8月1日 作者 gauss ...
J2EE体系架构——J2EE
热门推荐
try to do
03-13 1万+
https://blog.csdn.net/dandanzmc/article/details/27355565 J2EE体系架构 J2EE是Java2平台企业版(Java 2 Platform,Enterprise Edition),它的核心是一组技术规范与指南,提供基于组件的方式来设计、开发、组装和部署企业应用J2EE使用多层分布式的应用模型。 J2EE分层 客户层,运行在客户计算机...
J2EE平台的优点
dahaidao的专栏
08-23 1万+
1.简化结构J2EE平台支持简化的、基于组件开发模型,由于J2EE基于Java编程语言和J2SE平台,它提供了编写一次,随处运行的可移植性,遵循J2EE标准的所有服务器都支持该模型。EJB组件使编写应用程序更为简单。尽管EJB体系结构复杂,但应用程序开发人员一般都必再编写访问系统服务的代码,EJB容器会实现系统级的服务,例如,事务、安全性等。另外,J2EE还支持异构环境。基于J2EE
J2ee Web系统安全性的考虑
Concentrating on Architectures
10-25 3596
  Web系统安全性的考虑有以下几个方面:1.       登陆验证码。利用一个servlet随机产生一个验证码,由于验证码是机器随机产生的,因此暴力破解程序无法预料到具体是什么,所以可以防止暴力破解。2.       登陆身份验证。系统的每个功能都必须经过身份验证后才能访问,没有认证的请求会被过滤掉,这是最基本的安全要求:1,       所有功能都通过Struts的Acti
j2ee安全介绍--转
07-01 101
一.简介 现在越来越多的企业应用构建在j2ee平台上,这得益于j2ee企业应用的开发提供了良好的框架和服务的支持.j2ee企业应用提供了多方面的服务(Security、Transaction、Naming等).本文将介绍j2ee提供的安全服务.作者首先介绍j2ee中的安全概念和j2ee安全体系架构.然后结合具体的实例向读者展示如何在自己的程序中应用j2ee提供的安全特性。本文所介...
j2ee体系结构_J2EE连接器体系结构简介
cusi77914的博客
07-01 803
入门 本教程是关于什么的? 本教程概述了Java™2企业版(J2EE)连接器体系结构(JCA)。 本教程首先对JCA进行了高级介绍,包括其在J2EE体系结构中的位置,它如何工作以集成企业级系统以及体系结构的基本元素。 在以下各节中,您将通过分步说明和示例来更详细地探讨每个元素。 本课程以示例应用程序结尾,将帮助您了解与JCA兼容且已启用的系统的所有部分如何协同工作。 我应该学习本教...
J2EE电子商务平台
11-30
本项目“J2EE电子商务平台”旨在模仿淘宝网这样的大型在线购物网站,利用Struts、Hibernate和Spring这三大核心框架,提供了一个全面的功能体系,包括开设店铺、购买商品、留言交流以及商品浏览等服务。 首先,...
基于J2EE技术架构电子商务交易平台.docx
07-12
本文根据 J2EE 体系结构规划了一个 BtoC 模式的电子商务交易平台,要求该平台符合 J2EE 架构的企业级 Web 应用开发框架,以利于提高开发效率,同时保证系统的稳定性、安全性、易维护性。 一、J2EE 分层结构 J2EE ...
软件体系结构作业设计-面向电子政务的数据交换平台.doc
12-06
《面向电子政务的数据交换平台——软件体系结构设计》 电子政务是政府利用现代信息技术,将公共服务、行政管理和信息交流转移到互联网上的重要手段,旨在提升行政效率和服务质量。在这个过程中,数据交换平台扮演着...
基础电子中的J2EE应用技术的探讨和研究
10-20
 J2EE是一种利用Java 2平台来简化企业解决方案的开发、部署和管理相关的复杂问题的体系结构。J2EE技术的基础就是核心Java平台或Java 2平台的标准版,J2EE不仅巩固了标准版中的许多优点,例如“编写一次、随处运行”...
基于ssm和vue的 校园短期闲置资源置换平台源码 校园短期闲置资源置换平台代码(高分毕设项目源码)
08-23
1. 校园短期闲置资源置换平台代码说明:经导师指导并认可通过的98分毕设项目代码。 2.适用对象:本代码学习资料适用于计算机、电子信息工程、数学等专业正在做毕设的学生,需要项目实战练习的学习者,也适用于课程设计、期末大作业。 3.技术栈:前端是vue,后端是ssm,项目代码都经过严格调试,代码没有任何bug! 4. 作者介绍:大厂码农,java领域创作者,阿里云开发社区乘风者计划专家博主,专注于大学生项目实战开发,文章底部有博主联系方式,更多优质系统、项目定制请私信。 5. 最新计算机软件毕业设计选题大全: https://blog.csdn.net/weixin_45630258/article/details/135901374
4S店客户管理小程序-毕业设计,基于微信小程序+SSM+MySql开发,源码+数据库+论文答辩+毕业论文+视频演示
08-23
4S店客户管理小程序-毕业设计,基于微信小程序+SSM+MySql开发,源码+数据库+论文答辩+毕业论文+视频演示 社会的发展和科学技术的进步,互联网技术越来越受欢迎。手机也逐渐受到广大人民群众的喜爱,也逐渐进入了每个用户的使用。手机具有便利性,速度快,效率高,成本低等优点。 因此,构建符合自己要求的操作系统是非常有意义的。 本文从管理员、用户的功能要求出发,4S店客户管理系统中的功能模块主要是实现管理员服务端;首页、个人中心、用户管理、门店管理、车展管理、汽车品牌管理、新闻头条管理、预约试驾管理、我的收藏管理、系统管理,用户客户端:首页、车展、新闻头条、我的。门店客户端:首页、车展、新闻头条、我的经过认真细致的研究,精心准备和规划,最后测试成功,系统可以正常使用。分析功能调整与4S店客户管理系统实现的实际需求相结合,讨论了微信开发者技术与后台结合java语言和MySQL数据库开发4S店客户管理系统的使用。 关键字:4S店客户管理系统小程序 微信开发者 Java技术 MySQL数据库 软件的功能: 1、开发实现4S店客户管理系统的整个系统程序; 2、管理员服务端;首页、个人中心、用户管理、门店管理、车展管理、汽车品牌管理、新闻头条管理、预约试驾管理、我的收藏管理、系统管理等。 3、用户客户端:首页、车展、新闻头条、我的 4、门店客户端:首页、车展、新闻头条、我的等相应操作; 5、基础数据管理:实现系统基本信息的添加、修改及删除等操作,并且根据需求进行交流信息的查看及回复相应操作。
Java项目:基于SSM框架+mysql个性化美食推荐系统含源码和毕业论文
最新发布
08-23
一、项目简介 本项目是一套基于SSM框架+mysql个性化美食推荐系统含源码和毕业论文 包含:项目源码、数据库脚本等,该项目附带全部源码可作为毕设使用。 项目都经过严格调试,eclipse或者idea 确保可以运行! 该系统功能完善、界面美观、操作简单、功能齐全、管理便捷,具有很高的实际应用价值 二、技术实现 jdk版本:1.8 及以上 ide工具:IDEA或者eclipse 数据库: mysql5.5及以上 后端:spring+springmvc+mybatis+maven+mysql 前端:jsp,css,js 三、系统功能 1、系统角色主要包括:管理员、用户 2、系统功能 主要功能包括: 用户登录 用户注册 首页 个人中心 修改密码 管理员信息 用户管理 美食信息管理 美食信息留言管理 美食信息收藏管理 美食订单管理 博主推荐管理 店址管理 口味管理 轮播图管理 前台主要功能包括: 用户登录 用户注册 首页 个性美食展示 热门美食推荐 美食详情 点我收藏 立即预订 个人中心 美食收藏 美食订单 余额充值 发表留言 博主推荐 跳转到后台等功能
weixin237基于微信小程序的医院挂号预约系统ssm.zip
08-23
现代经济快节奏发展以及不断完善升级的信息化技术,让传统数据信息的管理升级为软件存储,归纳,集中处理数据信息的管理方式。本微信小程序医院挂号预约系统就是在这样的大环境下诞生,其可以帮助管理者在短时间内处理完毕庞大的数据信息,使用这种软件工具可以帮助管理人员提高事务处理效率,达到事半功倍的效果。此微信小程序医院挂号预约系统利用当下成熟完善的SSM框架,使用跨平台的可开发大型商业网站的Java语言,以及最受欢迎的RDBMS应用软件之一的MySQL数据库进行程序开发。微信小程序医院挂号预约系统有管理员,用户两个角色。管理员功能有个人中心,用户管理,医生信息管理,医院信息管理,科室信息管理,预约信息管理,预约取消管理,留言板,系统管理。微信小程序用户可以注册登录,查看医院信息,查看医生信息,查看公告资讯,在科室信息里面进行预约,也可以取消预约。微信小程序医院挂号预约系统的开发根据操作人员需要设计的界面简洁美观,在功能模块布局上跟同类型网站保持一致,程序在实现基本要求功能时,也为数据信息面临的安全问题提供了一些实用的解决方案。可以说该程序在帮助管理者高效率地处理工作事务的同时,也实现了数据信息的整体化,规范化与自动化。
J2EE技术体系 PHP体系
06-19
J2EE(Java 2 Enterprise Edition)是一种企业级软件开发平台,由Sun Microsystems(现已被Oracle收购)开发...3. J2EE的性能和安全性相对较高,但开发成本也更高;PHP则开发效率高,但可能在扩展性和性能上略逊一筹。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值