预览加载中,请您耐心等待几秒...
1/8
2/8
3/8
4/8
5/8
6/8
7/8
8/8

在线预览结束,喜欢就下载吧,查找使用更方便

如果您无法下载资料,请参考说明:

1、部分资料下载需要金币,请确保您的账户上有足够的金币

2、已购买过的文档,再次下载不重复扣费

3、资料包下载后请先用软件解压,在使用对应软件打开

应用J2EE技术构建稳健的电子商务平台摘要本文简介了J2EE技术,重点讨论了J2EE架构的不同层面(包括Web层,EJB层,EIS层),给出了利用J2EE技术构建安全稳健的电子商务平台的方法,并且分析了J2EE在构建电子商务平台上的优势。关键字J2EE;电子商务;安全1引言如何进行电子商务的应用开发,高效,安全地构造企业电子商务应用系统已经成为一个急需研究的课题。Sun公司推出的J2EE技术恰好提供了这样一种机制,它与传统的互联网应用程序模型相比有着无可比拟的优势。2J2EE简介J2EE是一整套技术的总称,包括建立企业应用系统的各个方面,使用J2EE技术能够快速建立可移植、多用户、安全和标准的电子商务应用系统。在J2EE平台,中间层商业逻辑是由EJB(EnterpriseJavaBeans)组件实现的,这些EJB组件使电子商务开发者从烦琐的系统设计中解脱出来,将精力主要放在商业逻辑上,提高了应用的质量和加快了开发的速度,而让EJBServer处理底层复杂的各种系统级任务,如事务处理、组件的生命周期、状态维持、并发控制、安全检测、资源共享等。需要这些服务的代价并不高,不用编程,只需通过对遵循J2EE规范开发的J2EE应用服务器(如Weblogic,WebSphere)进行一定的配置就行了[1]。图1是一个典型的基于J2EE的电子商务系统架构。图1基于J2EE的电子商务系统架构3J2EE构建安全电子商务平台下面就从J2EE架构的不同层面讨论它可以采用的安全措施:Web层安全设置Web层资源的访问我们可以通过指定安全约束来保护Web层的资源。安全约束决定了谁被授权访问Web层的资源。安全约束可以用部署工具来定义。如果一个未授权的用户试图访问受保护的Web资源,Web容器将对他进行认证。容器仅仅接受那些通过容器身份验证并且被授予了权限的用户提交的请求。可以用应用程序部署工具,如deploytool设置安全约束,也可以直接在部署描述符security-constraint/security-constraint的标签中,编辑相关信息。要定义一个安全约束,需要做如下事情:①设定登录认证方式;②添加一个安全约束;③添加一个Web资源集;④定义和添加授权的安全角色;⑤确定约束的URL模式;⑥确定约束的http方法(如get或post方法);⑦指定数据在客户端和服务器之间传送的时候,使用怎样的保证机制(如NONE,CONFIDENTIAL等)。认证用户Web客户端通常通过http协议来请求Web服务器端的资源,这些Web资源通常包括html网页、jsp(javaserverpage)文件、javaservlet和其他一些二进制或多媒体文件。在企业环境中,企业的某些资源往往要求只允许某些人访问,有些资源甚至是机密的或安全敏感的。因此对企业中各种Web资源进行访问控制是十分必要的。为了满足企业中的不同安全级别和客户化的需求,J2EE提供了三种基于Web客户端的验证方式:1)HTTP基本验证(HTTPBasicAuthentication)HTTP基本验证是HTTP协议所支持的验证机制。这种验证机制使用用户的用户名和密码作为验证信息。这种验证方法并不对用户密码进行加密,而只是对密码进行基本的base64的编码。而且目标Web服务器对用户来说也是没有验证过的。不能保证用户访问到的Web服务器就是用户希望访问的。可以采用一些安全措施来克服这个弱点。例如在传输层上应用SSL或者在网络层上使用IPSEC或VPN技术。2)基于表单的验证(Form-BasedAuthentication)基于表单的验证使系统开发者可以自定义用户的登录页面和报错页面。用户在表单中填写用户名和密码,而后密码以明文形式在网路中传递。因此在使用基本HTTP的验证方式和基于表单的验证方法时,必须确定这两种方式的弱点对你的应用是可接受的。3)基于客户端证书的验证(Client-CertificateAuthentication)基于客户端证书的验证方式要比上面两种方式更安全。它通过HTTPS(HTTPoverSSL)来保证验证的安全性。安全套接层(SecureSocketsLayer)为验证过程提供了数据加密,服务器端认证,信息真实性等方面的安全保证。在此验证方式中,客户端必须提供一个公钥证书,你可以把这个公钥证书看作是你的数字护照。公钥证书也称数字证书,它是被证书授权机构(CA)——一个被信任的组织颁发的。这个数字证书必须符合公钥体系结构(PKI)的标准。如果你指定了这种验证方式,Web服务器将使用客户端提供的数字证书来验证用户的身份。EJB层安全当设计一个企业Bean的时候,应该想到有哪些用户会访问这个Bean。例如,一个AccountBean,可能被用户、银行出纳员和支行经理访问。每