Shiro框架在Web系统安全性上的改进与应用

doi:10.19678/j.issn.1000-3428.0048417

计算机工程 ›› 2018, Vol. 44 ›› Issue (11): 135-139. doi: 10.19678/j.issn.1000-3428.0048417

Shiro框架在Web系统安全性上的改进与应用

易文康,程骅,程耕国

武汉科技大学信息科学与工程学院,武汉 430081

收稿日期:2017-08-21 出版日期:2018-11-15 发布日期:2018-11-15
作者简介:易文康(1991—),男,硕士研究生,主研方向为Web系统安全;程骅,副教授;程耕国,教授
基金资助:
国家自然科学基金(61304129);湖北省教育厅科学技术研究项目(q20121107);武汉科技大学基金(2012x2009)

Improvement and Application of Shiro Framework in Web System Security

YI Wenkang,CHENG Hua,CHENG Gengguo

Institute of Information Science and Engineering,Wuhan University of Science and Technology,Wuhan 430081,China

Received:2017-08-21 Online:2018-11-15 Published:2018-11-15

摘要/Abstract

摘要：

针对Web系统中普通用户越权访问未授权的系统资源以及未授权用户非法访问系统资源带来的信息安全问题,分析越权访问的发生原理,利用基于角色的访问控制技术和Shiro框架的授权机制,同时结合文本设计权限访问控制算法,实现对系统各模块不同权限灵活、安全的管理。分析结果表明,该算法能有效阻止越权访问,提高系统安全性。

关键词: 授权, 越权访问控制, 信息安全, 角色, 权限

Abstract:

For information security issues that the normal users unauthorized access to unauthorized system resources and unauthorized users access to system resources illegally in Web system,this paper analyzes the principle of the Broken Access Control(BAC),uses the access control technology based on the role and authorization mechanism of the Shiro framework,and proposes an authority access control algorithm,which realizes flexible and safe management to different modules in the system.Analysis result shows that this algorithm can effectively prevent the BAC and improve security of the system.

Key words: authorization, Broken Access Control(BAC), information safety, role, authority

中图分类号:

TP311

易文康,程骅,程耕国. Shiro框架在Web系统安全性上的改进与应用[J]. 计算机工程, 2018, 44(11): 135-139.

YI Wenkang,CHENG Hua,CHENG Gengguo. Improvement and Application of Shiro Framework in Web System Security[J]. Computer Engineering, 2018, 44(11): 135-139.

http://www.ecice06.com/CN/Y2018/V44/I11/135

参考文献

［1］雷敏,刘晓明,张鸿,等.面向Web信息系统安全威胁和风险评估分析［J］.北京邮电大学学报,2016,39(增刊):87-93.
［2］HUANG H C,ZHANG Z K,CHENG H W,et al.Web application security:threats,countermeasures,and pitfalls［J］.Computer,2017,50(6):81-85.
［3］ZHANG Y S,WU M F,WU L,et al.Attribute-based access control security model in service-oriented computing［J］.Lecture Notes in Electrical Engineering,2014,163:1473-1479.
［4］庞希愚,王成,仝春玲.基于角色-功能的Web应用系统访问控制方法［J］.计算机工程,2014,40(5):144-148.
［5］徐孝成.基于Shiro的Web应用安全框架的设计与实现［J］.电脑知识与技术,2015(16):93-95.
［6］杨静,季新生,刘彩霞.基于角色访问控制的HSS数据库越权访问防护［J］.电子技术应用,2011,37(4):145-148.
［7］高秀慧,高建华.基于J2EE框架的Web应用可靠性研究［J］.计算机工程与设计,2013,34(4):1270-1275.
［8］LI X,XUE Y.A survey on server-side approaches to securing Web applications［J］.ACM Computing Surveys,2014,46(4):1-29.
［9］XU Z.Performance optimization of Web database application program based on JDBC［M］//ANGRISANI L,ARTEAGA M,PANIGRAHI B K,et al.Lecture Notes in Electrical Engineering.Berlin,Germany:Springer,2014.
［10］王丹,赵文兵,丁治明.Web应用常见注入式安全漏洞检测关键技术综述［J］.北京工业大学学报,2016,42(12):1822-1832.
［11］贺正求,张叶琳,许俊奎,等.Web服务访问控制策略研究［J］.计算机应用,2015,35(8):2184-2188.
［12］李怀明,王慧佳,符林.基于组织的Web服务访问控制模型［J］.计算机工程,2014,40(11):65-70.
［13］宋成明.基于Shiro的某高校科研信息管理系统的设计与实现［J］.智能计算机与应用,2017,7(4):62-63.
［14］SCHAEFER C,HO C,HARROP R.Introducing Spring AOP［M］.［S.l.］:Apress,2014:147-197.
［15］薛峰,梁锋,徐书勋,等.基于Spring MVC框架的Web研究与应用［J］.合肥工业大学学报(自然科学版),2012,35(3):337-340.

[1]	杨红菊, 靳新宇. 一个实体关系与事件抽取的通用模型[J]. 计算机工程, 2023, 49(2): 143-149.
[2]	张亮, 刘百祥. 区块链与秘密分享融合技术综述[J]. 计算机工程, 2022, 48(8): 1-11.
[3]	王兵, 李辉灵, 牛新征. 基于综合选举的DPoS共识算法[J]. 计算机工程, 2022, 48(6): 50-56.
[4]	陈儒玉, 戴欢, 高玉建, 付保川, 陈洁. 基于区块链的电子学位证照数据保护共享方法[J]. 计算机工程, 2022, 48(4): 50-60,80.
[5]	王静宇, 周雪娟. 一种支持属性撤销的密文策略属性基加密方案[J]. 计算机工程, 2021, 47(7): 95-100.
[6]	马佳佳, 张志强, 曹素珍, 窦凤鸽, 丁晓晖, 王彩芬. 基于雾节点的分布式属性基加密方案[J]. 计算机工程, 2021, 47(6): 38-43.
[7]	徐攸, 王晓萍, 熊贇. 基于角色的网络表征学习方法[J]. 计算机工程, 2021, 47(5): 52-57.
[8]	张建国, 胡晓辉. 基于以太坊的改进物联网设备访问控制机制研究[J]. 计算机工程, 2021, 47(4): 32-39,47.
[9]	夏高, 何成万. 一种基于异或运算的(k,n)门限秘密共享算法[J]. 计算机工程, 2021, 47(10): 111-115,124.
[10]	勾志杭, 刘剑锋, 胡金龙, 冯雪林, 王宗伟. 基于单一切面的循环平稳检测方法[J]. 计算机工程, 2021, 47(1): 196-202.
[11]	赵梁, 李磊, 李向丽. 基于双序列函数的重放攻击防御方案[J]. 计算机工程, 2020, 46(9): 143-148.
[12]	张宏升, 邹宁. 基于随机多子帧辅助调度的LTE非授权接入方案[J]. 计算机工程, 2020, 46(6): 149-154.
[13]	周能, 张敏情, 林文兵. 基于秘密共享的可分离密文域可逆信息隐藏算法[J]. 计算机工程, 2020, 46(10): 112-119.
[14]	张琦, 李嘉伟, 林喜军, 曲海鹏. 支持灵活授权的基于身份的加密相等性测试方案[J]. 计算机工程, 2019, 45(7): 176-180.
[15]	许硕, 唐作其, 王鑫. 基于D-AHP与灰色理论的信息安全风险评估[J]. 计算机工程, 2019, 45(7): 194-202.

选择文件类型/文献管理软件名称

选择包含的内容

Shiro框架在Web系统安全性上的改进与应用

Improvement and Application of Shiro Framework in Web System Security

PDF

可视化

被引次数

摘要/Abstract

引用本文

使用本文

参考文献

相关文章 15

编辑推荐

Metrics

本文评价

模态框（Modal）标题

选择文件类型/文献管理软件名称

选择包含的内容

Shiro框架在Web系统安全性上的改进与应用

Improvement and Application of Shiro Framework in Web System Security

PDF

可视化

被引次数

摘要/Abstract

引用本文

使用本文

参考文献

相关文章 15

编辑推荐

Metrics

本文评价