摘 要

网络的全球化为人们提供了这么多方便，但是也存在很多安全问题。web应用系统中的两大安全领域是“身份认证”和“授权”，针对web系统的登录与访问进行研究和设计，可以有效增强系统的安全性能。

本文以web系统的安全登录和访问控制为基础，首先分析安全登录与访问控制研究现状，针对web系统的“身份认证”和“授权”领域，重点研究了国内外的身份认证和访问控制的相关技术，比较各种技术的特点。在安全技术的的实现上，选择身份认证技术来实现系统的安全登录，使用RBAC来实现系统的访问控制。

在安全web系统的设计上，本文在eclipse环境下搭建web工程，使用jsp编写用户登录、密码修改、细节展示等页面，应用服务器选用tomcat，将用户的身份信息和用户组的权限存储在mysql数据库中。采用Spring Security安全框架来实现系统的安全功能，其具有的认证功能保证用户的安全登录，Spring Security的授权机制可以为用户分配访问权限，防止用户的越权访问。同时通过增添会话管理功能和加密数据库存储的用户密码的方式，提高了web系统的安全强度。

关键词：安全登录、访问控制、Spring Security

Abstract

The globalization of the Internet facilitates people's lives, but there are also many security problems. The two security areas in the web application system are "identity authentication" and "authorization", and the research and design of web system login and access can improve the security performance of the system effectively.

Based on the secure login and access control of web system, this paper analyzes the status quo of security login and access control research. For the "identity authentication" and "authorization" fields of web system, this paper focuses on the relative technologies about identity authentication and access control at home and abroad, comparing the characteristics of various technologies. In the realization of security technology, I use the authentication technology to achieve the system security login and use RBAC to achieve the system access control.

In the design of the security web system, this article builds web projects in the eclipse environment, using JSP to write user login, password changes and details of the display page, using Tomcat as the application server, the user's identity information and storing user's identity information and user group permissions in the mysql database. Using the Spring Security security framework which have the authentication function to ensure the user's security login to achieve the system's security features, and Spring Security's authorization mechanism for users to assign access to prevent unauthorized access to the user. At the same time by adding session management functions and encrypting user’s password stored in database to improve the security of web systems.

Key words: secure login, access control, spring security

目录

第1章 绪论 1

1.1选题背景及意义 1

1.2 国内外研究现状 1

1.3 论文的主要工作 2

1.4论文的组织结构 2

第2章 安全登录技术和访问控制技术的研究 3

2.1 身份认证技术 3

2.1.1 静态身份认证 3

2.1.2 动态身份认证 4

2.1.3 身份认证技术的比较 4

2.2 访问控制技术 5

2.2.1 自主访问控制模型 5

2.2.2 强制访问控制模型 5

2.2.3 基于角色的访问控制模型 6

2.2.4 三种访问控制技术的比较 6

第3章 安全web系统的设计与实现 8

3.1 Spring Security框架 8

3.1.1 Spring Security框架认证机制 8

3.1.2 Spring Security框架授权机制 9

3..2 web系统设计 10

3.3 web系统的安全功能设计 10

3.4 web系统安全功能的实现 11

3.4.1 HTTP表单认证 11

3.4.2 Remember-Me功能 12

3.4.3 基于角色的访问控制 15

3.4.4 数据库密码加密 18

3.4.5 会话安全管理 19

3.5 系统测试及结果分析 23

第4章 总结 26

4.1 论文总结 26

4.2 展望 26

参考文献 27

致谢 28

第1章 绪论

1.1选题背景及意义

近年来，计算机网络发展十分迅猛，网络服务也非常丰富，网络已经覆盖了医疗、政府、企业、教育、金融等各个机构，改变了人们传统的思想观念和生产生活方式，推动了全球的信息化发展，信息产业成为了知识经济时代的一大标志。

互联网促进了世界的全球化，并且世界上各地的人们可以方便地获取需要的资源。但是随着网络的普及，由于计算机系统和网络应用还存在着一些漏洞。某些不法分子为了牟取个人利益，利用网络进行诈骗、传播病毒、窃取用户信息，给网民造成了很大的损失，同时也在一定程度上阻碍了网络的发展。层出不穷的冒名事件，使网络用户不再轻易信任对方，如何有效证实自己的身份并防止别人冒用自己的身份是必须解决的问题。另一方面，目前大多数企业在网络服务器上存储数据信息，供用户访问和使用资源。但是在资源使用的过程中，存在某些恶意用户非法访问和获取权限外的资源，这造成了严重的安全问题。如何限定用户的权限，禁止用户访问权限外的资源，从而保护应用资源，这也是企业需要处理的一个安全难题。