1、互聯(lián)網(wǎng)技術的普及和發(fā)展，推動著企業(yè)級應用的構(gòu)建和更新進程。為了縮短企業(yè)級應用的設計和開發(fā)周期，降低其構(gòu)建成本，J2EE多層體系結(jié)構(gòu)的開發(fā)模式已經(jīng)成為開發(fā)企業(yè)級應用的首選方式?；诰哂虚_放性的網(wǎng)絡上的J2EE多層體系結(jié)構(gòu)雖然具有傳統(tǒng)C/S結(jié)構(gòu)所沒有的優(yōu)勢，但同時也面對一些新問題的挑戰(zhàn)。開放性的網(wǎng)絡導致多層體系結(jié)構(gòu)的企業(yè)級應用面臨來自各方面的安全威脅。如何保護信息不被非法獲取、盜用、篡改和破壞，已成為所有企業(yè)級應用研究者共同關心的重要課題。

2、 本文從企業(yè)級系統(tǒng)應用層安全的角度出發(fā)，深入研究J2EE多層體系結(jié)構(gòu)的安全策略模型。J2EE提供的安全策略簡化了系統(tǒng)的信息安全模型，能夠很方便地滿足基于J2EE的分布式應用系統(tǒng)的安全需求，但是在面對更加復雜的安全需求時，J2EE安全策略在驗證授權和角色管理中還存在不足之處：其在Web層的聲明式驗證機制無法為用戶提供更多驗證信息，可擴展性較差；在EJB層缺少業(yè)務邏輯層可供采用的驗證機制，而是借助于Web層的驗證機制，其耦合程度較高

3、有悖于業(yè)務邏輯分離于表現(xiàn)邏輯的原則；在角色管理方面，J2EE采用數(shù)據(jù)庫或者應用服務器來管理角色信息，其中，數(shù)據(jù)庫管理角色的方式增加了應用開發(fā)的復雜度，應用服務器管理角色降低了系統(tǒng)的可移植性，兩者都具有片面性。 針對以上不足，本文提出了改進的安全策略模型，在Web層設計可擴展的驗證模塊來代替原來聲明式安全采用的驗證機制；在EJB層設計驗證模塊用于對業(yè)務邏輯資源的訪問控制；在角色信息管理方面，使用目錄服務器存儲用戶角色，來降低系統(tǒng)開