基于Spring Security的企业级应用安全架构的研究与实现

作     者：李琼 

作者单位：北京交通大学 

学位级别：硕士

导师姓名：姚家奕

授予年度：2012年

学科分类：08[工学] 081201[工学-计算机系统结构] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

主      题：企业级应用 Spring Security 认证 授权 AOP RBAC 

摘      要：企业级应用是指那些为商业组织、大型企业而创建并部署的解决方案及应用。一个理想的企业级应用系统平台应当具备体系的合理性、灵活性,升级的便捷性和良好的安全性。安全性作为一个重要的关注点,渗透在整个企业应用系统开发生命周期的各个阶段中。对于一个成熟的企业级应用系统平台来说,相对于应用功能的实现,是否具备良好的安全性往往更为重要。 通过研究发现,目前企业应用的安全性方面普遍存在着业务逻辑和安全逻辑的紧耦合、缺乏对业务方法的保护、缺乏动态访问控制能力以及管理不方便等问题。本文围绕解决这些问题,做了如下的研究工作。 首先分析了造成业务逻辑和安全逻辑紧耦合的原因,即是系统的认证和授权横向需求与面向对象的纵向实现不匹配造成的。通过深入地研究面向方面的程序设计原理以及分析Spring在面向方面的程序设计的实现机制,实现横切关注点的分离,解决业务逻辑与安全逻辑紧耦合的问题,提高应用系统的开发效率。 其次对Spring Security安全框架进行了深入地剖析,Spring Security是一个基于Spring AOP技术的安全框架,它独立于系统的业务逻辑,为应用程序提供认证和授权的安全保护功能。Spring Security可以与大多数Web框架无缝集成,因此可以方便地搭建在基于J2EE的企业级系统框架之上,为系统提供认证、授权等方面的服务。本文对它的认证和授权策略进行了分析,着重探讨Spring Security对于Web资源的保护和对系统业务方法的保护方式。 再次对访问控制技术进行了探讨,在对传统访问控制技术的相关概念和优劣剖析的基础上,引出了基于角色的访问控制技术,将其与Spring Security安全框架相结合,有效地降低了管理的复杂度,解决了系统维护困难的问题,同时能灵活地支持企业安全策略的需求性变动。 最后通过一个企业级应用的具体实例,设计了一种具有权限的动态访问控制特色的企业级应用安全架构并加以实现,同时还提供了一个解决用户权限动态分配的前台操作界面。通过一系列的测试,对安全架构的访问控制能力进行了验证,证明其对企业级应用起到了良好的保护作用,达到了我们对安全架构灵活性高、操作性好、控制性强、耦合度低的要求。