基于MVC模式的AOP安全框架的研究與實現.pdf

1、隨著計算機網絡與分布式計算技術的日趨成熟，基于MVC模式的J2EE多層Web框架逐漸成為一種開發(fā)分布式企業(yè)級應用的主流架構。保證Web應用安全，防止入侵者的主動與被動攻擊一直是學術界致力于研究與解決的熱點。在這一背景下，Sun在J2SE1.4后推出了JAAS(Java認證與授權服務)，規(guī)定了新的安全標準并提供了一個可插拔的和富有彈性的框架。采用JAAS能夠有效驗證用戶的身份并保護訪問資源，使J2EE多層應用的安全性得到顯著提高。

2、 采用JAAS框架的目的在于有效加強J2EE多層應用的訪問控制?；贛VC模式的訪問控制在一定程度參考了RBAC模型思想。各類資源應以客體的形式分配給角色，用戶通過其對應的角色和訪問控制策略來確定擁有哪些權限以訪問特定的資源。雖然上述做法簡化了權限管理，但若使用傳統(tǒng)面向對象思想實現則存在一定缺陷，表現為每個核心關注點均需實現廣泛分布的JAAS授權等橫切關注點，從而造成代碼糾纏和代碼分散等問題。本文力圖通過面向方面編程思想(AOP)解決上

3、述問題，改進基于MVC模式的J2EE應用訪問控制，提出了基于MVC模式的AOP安全框架MBASF。 本文根據課題的設計思想展開MBASF各模塊的設計與實現工作。主要包括：口令加鹽MD5摘要認證與口令/X.509證書堆疊式認證：基于關系數據庫和XML策略文件的授權；會話信息管理；Ajax實現審計日志瀏覽查詢；監(jiān)測系統(tǒng)性能；Hibernate對象/關系映射的持久化管理等。通過AOP技術建模各類橫切關注點，使得系統(tǒng)在重用性、靈活性與可