应用J2EE技术构建稳健的电子商务平台.docx
《应用J2EE技术构建稳健的电子商务平台.docx》由会员分享,可在线阅读,更多相关《应用J2EE技术构建稳健的电子商务平台.docx(10页珍藏版)》请在咨信网上搜索。
1、应用J2EE技术构建稳健的电子商务平台摘 要 本文简介了J2EE技术,重点讨论了J2EE架构的不同层面(包括Web层,EJB层,EIS层),给出了利用J2EE技术构建安全稳健的电子商务平台的方法,并且分析了J2EE在构建电子商务平台上的优势。关键字 J2EE;电子商务;安全1 引言 如何进行电子商务的应用开发,高效,安全地构造企业电子商务应用系统已经成为一个急需研究的课题。Sun 公司推出的J2EE技术恰好提供了这样一种机制,它与传统的互联网应用程序模型相比有着无可比拟的优势。2 J2EE简介 J2EE 是一整套技术的总称,包括建立企业应用系统的各个方面,使用J2EE技术能够快速建立可移植、多
2、用户、安全和标准的电子商务应用系统。在J2EE 平台,中间层商业逻辑是由EJB( Enterprise JavaBeans) 组件实现的,这些EJB 组件使电子商务开发者从烦琐的系统设计中解脱出来,将精力主要放在商业逻辑上,提高了应用的质量和加快了开发的速度,而让EJB Server 处理底层复杂的各种系统级任务,如事务处理、组件的生命周期、状态维持、并发控制、安全检测、资源共享等。需要这些服务的代价并不高,不用编程,只需通过对遵循J2EE规范开发的J2EE应用服务器(如Weblogic,WebSphere)进行一定的配置就行了1。图1是一个典型的基于J2EE的电子商务系统架构。图1 基于J2
3、EE的电子商务系统架构3 J2EE构建安全电子商务平台 下面就从J2EE架构的不同层面讨论它可以采用的安全措施: Web层安全设置Web层资源的访问 我们可以通过指定安全约束来保护Web层的资源。安全约束决定了谁被授权访问Web层的资源。安全约束可以用部署工具来定义。 如果一个未授权的用户试图访问受保护的Web资源,Web容器将对他进行认证。容器仅仅接受那些通过容器身份验证并且被授予了权限的用户提交的请求。 可以用应用程序部署工具,如deploytool设置安全约束,也可以直接在部署描述符security-constraint/security- constraint的标签中,编辑相关信息。要
4、定义一个安全约束,需要做如下事情:设定登录认证方式;添加一个安全约束;添加一个Web资源集;定义和添加授权的安全角色;确定约束的URL模式;确定约束的http方法(如get或post方法);指定数据在客户端和服务器之间传送的时候,使用怎样的保证机制(如NONE, CONFIDENTIAL等)。 认证用户 Web客户端通常通过http协议来请求Web服务器端的资源,这些Web资源通常包括html网页、jsp(java server page)文件、java servlet和其他一些二进制或多媒体文件。在企业环境中,企业的某些资源往往要求只允许某些人访问,有些资源甚至是机密的或安全敏感的。因此对企
5、业中各种Web资源进行访问控制是十分必要的。为了满足企业中的不同安全级别和客户化的需求,J2EE提供了三种基于Web客户端的验证方式: 1)HTTP基本验证(HTTP Basic Authentication) HTTP基本验证是HTTP协议所支持的验证机制。这种验证机制使用用户的用户名和密码作为验证信息。这种验证方法并不对用户密码进行加密,而只是对密码进行基本的base64的编码。而且目标Web服务器对用户来说也是没有验证过的。不能保证用户访问到的Web服务器就是用户希望访问的。可以采用一些安全措施来克服这个弱点。例如在传输层上应用SSL或者在网络层上使用IPSEC或VPN技术。 2)基于表
6、单的验证(Form-Based Authentication) 基于表单的验证使系统开发者可以自定义用户的登录页面和报错页面。用户在表单中填写用户名和密码,而后密码以明文形式在网路中传递。因此在使用基本HTTP的验证方式和基于表单的验证方法时,必须确定这两种方式的弱点对你的应用是可接受的。 3)基于客户端证书的验证(Client-Certificate Authentica tion) 基于客户端证书的验证方式要比上面两种方式更安全。它通过HTTPS(HTTP over SSL)来保证验证的安全性。安全套接层(Secure Sockets Layer)为验证过程提供了数据加密,服务器端认证,信
7、息真实性等方面的安全保证。在此验证方式中,客户端必须提供一个公钥证书,你可以把这个公钥证书看作是你的数字护照。公钥证书也称数字证书,它是被证书授权机构(CA)一个被信任的组织颁发的。这个数字证书必须符合公钥体系结构(PKI)的标准。如果你指定了这种验证方式,Web服务器将使用客户端提供的数字证书来验证用户的身份。 EJB层安全 当设计一个企业Bean的时候,应该想到有哪些用户会访问这个Bean。例如,一个Account Bean,可能被用户、银行出纳员和支行经理访问。每个这种用户类型都称为一个安全角色,一个抽象的逻辑分组,这是由集成应用的人员所定义的。当一个应用程序被部署时,这些角色将被映射成
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 应用 J2EE 技术 构建 稳健 电子商务平台
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【天****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【天****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。