证券市场信息管理系统的认证与授权改造-.doc

目录 第一章 绪论 1 1.1 研究背景与意义 1 1.1.1 证券市场信息管理系统的认证与授权问题 1 1.1.2 Web应用安全中的认证与授权 6 1.1.3 本论文的意义 8 1.2 Java认证与授权的历史与现状 9 1.2.1 Java认证与授权的历史 9 1.2.2 Java认证与授权的现状 9 1.3 本文主要研究内容与组织结构 12 1.3.1 本文主要研究内容 12 1.3.2 本文的组织结构 12 第二章 Java开源认证与授权框架比较 13 2.1 比较对象说明 13 2.1.1 使用最广泛的Spring Security（Acegi） 13 2.1.2 最早出现的jGuard 15 2.1.3 后起之秀Apache Shiro(JSecurity) 17 2.1.4 最具创新性的Seam Security 20 2.2 实例分析比较 22 2.2.1 Spring Security（Acegi）实例 22 2.2.2 jGuard实例 27 2.2.3 Apache Shiro(JSecurity)实例 35 2.2.4 Seam Security实例 39 2.3 认证机制比较 44 2.3.1 概述 44 2.3.2 表单认证 46 2.3.3 HTTP基本认证 46 2.3.4 HTTP摘要认证 47 2.3.5 客户证书认证 48 2.3.6 Remember-Me认证 50 2.3.7 数据库认证 50 2.4 授权方案比较 53 2.4.1 概述 53 2.4.2 基于角色的访问控制 54 2.4.3 基于访问控制表的访问控制 54 2.4.4 基于规则的访问控制 55 2.5 访问控制实现比较 56 2.5.1 表示层中的访问控制 56 2.5.2 业务层中的访问控制 58 2.5.3 领域对象的访问控制 60 2.6 附加功能比较 61 2.6.1 验证码 61 2.6.2 登录重定向 62 2.6.3 加密服务 63 2.6.4 安全异常处理 64 2.6.5 缓存 64 2.7 开发运行维护比较 64 2.7.1 开发效率 64 2.7.2 运行环境 65 2.7.3 代码库和配置文件 65 2.8 小结 65 第三章 Java开源Web框架比较 67 3.1 比较对象说明 67 3.2 比较维度说明 67 3.3 比较结果 68 3.3.1 Ajax支持 68 3.3.2 书签能力 68 3.3.3 验证 69 3.3.4 可测试性 69 3.3.5 提交和重定向 70 3.3.6 国际化 70 3.3.7 页面修饰 70 3.3.8 开发工具 71 3.3.9 一站式集成 71 3.4 小结 72 第四章 认证与授权框架的选定及改造方案的设计 73 4.1 认证与授权框架的选定 73 4.1.1 技术原因 73 4.1.2 非技术原因 76 4.2 Seam Security的主要组件 77 4.2.1 核心组件Identity 77 4.2.2 用户和角色管理组件IdentityManager 77 4.2.3 许可管理组件PermissionManager 78 4.3 改造方案设计 79 4.3.1 改造需求整理 79 4.3.2 后台认证设计 80 4.3.3 WebService认证设计 83 4.3.4 授权设计 86 4.4 小结 89 第五章 方案实施难点及实施效果 90 5.1 方案实施难点 90 5.1.1 在Tomcat中使用Seam框架 90 5.1.2 许可管理组件PermissionManager的使用 91 5.2 方案实施效果 92 5.2.1 认证接口安全性增加 92 5.2.2 用户不能再非法提高权限 94 5.2.3 用户不能再跨权限范围操作 96 5.2.4 RESTful WebService、SOAP WebService增加安全控制 97 5.2.5 增加认证与授权的细节 98 5.3 小结 99 第六章 结论与展望 100 6.1 结论 100 6.2 展望 100 参考文献 101 绪论 研究背景与意义 证券市场信息管理系统的认证与授权问题 系统介绍 本文所指证券市场信息管理系统是一个可以编辑、发布、转换、管理各类证券市场信息的Web系统，主要用来为作者所在公司的证券投资分析软件提供市场信息服务。该系统是一个小型系统，从需求、设计、实现、测试，到部署、维护，作者一个人大概担负了70%的工作。图1-1是证券市场信息管理系统的总体架构示意图。 在图1-1中可以看到市场信息的来源有两个：一个是通过专业金融财经数据库导入，一个是通过系统后台编辑输入。由于证券投资分析软件客户端和证券市场信息管理系统，从平台、编程语言和组件模型上看都是不同