Spring security在电子商务中的设计应用.docVIP

Spring security在电子商务中的设计应用 　　摘要：电子商务系统平台构建中，安全性是系统应用开发的灵魂，是产品生命各个周期各个阶段的关键指标，同时也是整个电子商务运用的重要节点。该文介绍了spring security的认证和权限控制，将spring security访问控制机制应用于电子商务中，从而给电子商务系统平台安全设计提供了强大的支持。 　　关键词 ： Spring security；电商；访问控制 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2016）14-0247-02 　　当今社会电子商务已经取得了飞速发展，这在很大程度上得益于计算机技术的发展。电子商务是基于信息网络平台按一定标准所进行的各类商务活动的总称。这种网络电商操作相比实体经营店，不仅降低了营业成本，更极大地方便了消费者直接通过互联网购买需要的商品，提高了交易效率。而在电子商务中，客户及商家最关注的问题莫过于安全性问题。如何设计安全可靠的电子商务交易平台，成为了电商系统构建需要解决的问题。本文阐述spring security安全构架在电商系统平台设计中的应用。 　　1 Springsecurity安全构架简介 　　1.1 Springsecurity安全构架概要 　　Spring是基于Java语言而开发出的一站式Web框架。Spring框架包含以下子框架：SpringMVC，Spring， SpringSecurity， SpringAOP 等。在数据库访问层，Spring可以整合Hibernate、iBatis等第三方框架，通过整合构成一个完整的Web程序框架。 　　在电子商务实践中，应用设计需要有一定的开源架构作支撑，实现数据库运行的最终目的。这个开源架构即Spring。现存系统架构大多是单层体系架构，Spring程序框架可以将其整合为一个有机结合的统一整体，使得架构中各个层面能相互协调运作，而且各层面间不相互冲突，把程序架构的能动性最大限度地发挥出来。Spring使用了AOP（面向方面编程）技术来实现安全控制。 Spring框架中，Spring Security子系统负责整个框架的安全。Spring Security实现安全控制的方法就是基于Spring AOP。 　　认证和权限控制是Spring Security要处理的两个主要领域。首先需要实现系统安全逻辑和业务逻辑在设计层面上的分离，要实现这个目标需要采用Spring Security提供的项目安全认证服务。在安全控制层面，现行的绝大部分身份认证模式都可以被Spring Security所识别，其根本原因在于这些身份认证模式采用的是第三方厂商运作，整个研究机构是采用统一标准，缺乏自身的特色和特点，不利用整个系统本身的运作安全。而Spring Security恰恰解决了这样一个难题，其支持的认证机制有以下几种形式： 　　同时，Spring Security也提供了一组深入的权限控制服务。该权限控制服务主要面向三个领域： Web 请求的权限控制，方法调用的权限控制和单个对象实例访问的权限控制。 　　1.2 Springsecurity安全构架构成 　　从整个框架运行看，Spring Security的安全框架包含了安全拦截器和安全控制管理组件。具体来说，安全控制管理组件又由认证管理器，访问决策管理器、运行身份管理器、调用后管理器四大部分组成。这一组成有着自己独特的运行方式和特点。Spring Security安全框架组成元素如下图所示： 　　访问系统中受保护资源的所有请求，都需要通过安全栏截器的拦截判断。因此，安全栏截器被视为Spring Security框架中资源访问必经的“大门”。 辨别用户身份的功能则由认证管理器提供，一般采取用户凭证辨别（即户名和密码）的方法来实现此功能。用户审核后的身份凭证需要与目标资源的配置属性进行比较，这一步通过访问决策管理器来实现。经过比较，如果用户有权访问目标资源，则执行授权。当目标资源的访问权限发生变化时，则需要通过运行身份管理器来确认当前用户的权限是否与之相适应。用户是否有权查看目标资源的返回结果则依靠调用后管理器来实现。 　　2 Springsecurity安全构架在电子商务平台系统中的设计 　　在电子商务交易中，业务安全性是至关重要的，而业务安全性的保障就是系统平台的安全架构，一个优秀的安全架构能有效保障业务交易的平稳安全，对商家和客户来说都是必不可少的。可以说，任何电子商务业务都离不开安全机制的保障，当今电子商务发展迅速，系统的参与者和范围都逐步扩大，相应的业务流程也变得复杂，平台对安全性的要求也越来越高。 　　在当前电子商务应用的安全性方面，以下几个问题是普遍存在的：