1、目前基于Web應(yīng)用的ERP系統(tǒng)已經(jīng)成為主流，在構(gòu)建系統(tǒng)時(shí)，安全問題是每個(gè)架構(gòu)師必須考慮的問題。Web應(yīng)用的安全性主要有兩個(gè)組成部分：驗(yàn)證和授權(quán)。不同的用戶對不同的資源擁有不同的訪問權(quán)限，如何對眾多的用戶進(jìn)行驗(yàn)證和授權(quán)是成功構(gòu)建系統(tǒng)的一個(gè)關(guān)鍵。 基于Web應(yīng)用的ERP系統(tǒng)中，由于系統(tǒng)的開放性，為了防止用戶的誤操作或惡意越權(quán)行為，必須對登錄系統(tǒng)的用戶進(jìn)行驗(yàn)證和授權(quán)。因?yàn)樵赪eb應(yīng)用中，所有的資源都是在瀏覽器中以URL的形式呈現(xiàn)給用戶

2、。用戶在登錄系統(tǒng)時(shí)有可能饒過登錄頁面而直接進(jìn)入一個(gè)他沒有權(quán)限訪問的頁面；或者在登錄系統(tǒng)后無意或有意的在瀏覽器地址欄中輸入他沒權(quán)訪問的地址；另外隨著企業(yè)的發(fā)展和業(yè)務(wù)的需要或者由于用戶需求的變化，必將引進(jìn)新的驗(yàn)證授權(quán)機(jī)制，系統(tǒng)管理員必須保證在不影響已有安全機(jī)制的前提下，加入新的安全機(jī)制，最大程度地利用現(xiàn)有資源和遺留系統(tǒng)。 本文正是針對上述問題，研究了在J2EE平臺下利用Web容器內(nèi)在的安全機(jī)制和JAAS框架如何對用戶進(jìn)行驗(yàn)證和授權(quán)。

3、具體研究了J2EE Web容器提供的三種驗(yàn)證機(jī)制：基本的、基于表單的、交互式身份驗(yàn)證，并分析了他們的優(yōu)缺點(diǎn)；詳細(xì)介紹了如何通過部署描述符對Web資源進(jìn)行保護(hù)和限制；通過深入研究JAAS框架提供的驗(yàn)證和授權(quán)機(jī)制，描述了JAAS驗(yàn)證和授權(quán)的詳細(xì)流程。 在某油田公司的ERP系統(tǒng)中，公司要求登錄系統(tǒng)的用戶為數(shù)據(jù)庫中的真實(shí)用戶，以便記錄用戶的操作日志。實(shí)際開發(fā)時(shí)，選用了BES作為應(yīng)用服務(wù)器，利用它提供的Login Module與J2EE

4、Web容器內(nèi)在的安全機(jī)制，采用基于表單的驗(yàn)證方式并協(xié)同Oracle的數(shù)據(jù)庫驗(yàn)證，實(shí)現(xiàn)了對ERP系統(tǒng)內(nèi)部用戶的驗(yàn)證和授權(quán)。把用戶能訪問到的資源控制到了頁面級，避免了用戶通過瀏覽器的地址欄進(jìn)行越權(quán)訪問。將開發(fā)階段需要考慮的安全問題轉(zhuǎn)移到部署階段，實(shí)現(xiàn)了應(yīng)用邏輯與安全邏輯的徹底分離。結(jié)果表明，使用JAAS框架提供的Login Module可以提高整個(gè)系統(tǒng)的開發(fā)效率，降低開發(fā)成本。而Web容器提供的驗(yàn)證與授權(quán)可以很好的和數(shù)據(jù)庫安全域相結(jié)合。對大