摘  要  本文简介了J2EE技巧，重点探讨了J2EE架构的不同层面(包含Web层，EJB层，EIS层)，给出了应用J2EE技术构建安全持重的电子商务平台的方式，并且剖析了J2EE在构建电子商务平台上的优势。     要害字  J2EE；电子商务；保险   1  引言     如何进行电子商务的运用开发，高效，安全地结构企业电子商务应用系统已经成为一个急需研讨的课题。Sun 公司推出的J2EE技术刚好供给了这样一种机制，它与传统的互联网应用程序模型比拟有着无可比较的上风。 2  J2EE简介     J2EE 是一整套技术的总称，包括建破企业应用系统的各个方面，应用J2EE技术可能疾速树立可移植、多用户、安全跟尺度的电子商务利用系统。在J2EE 平台，旁边层商业逻辑是由EJB( Enterprise JavaBeans) 组件实现的，这些EJB 组件使电子商务开发者从繁缛的系统设计中摆脱出来，将精神重要放在贸易逻辑上，进步了应用的品质和加快了开发的速度，而让EJB Server 处置底层庞杂的各种系统级义务，如事务处理、组件的性命周期、状况保持、并发把持、平安检测、资源共享等。须要这些服务的代价并不高代发外链，不必编程，只要通过对遵守J2EE标准开发的J2EE应用服务器(如Weblogic，WebSphere)进行必定的配置就行了[1]。 图1[3]是一个典范的基于J2EE的电子商务体系架构。

图1  基于J2EE的电子商务系统架构 3  J2EE构建安全电子商务平台     下面就从J2EE架构的不同层面讨论它可以采取的安全办法： 3.1  Web层安全    3.1.1 设置Web层资源的访问     咱们可以通过指定安全约束来维护Web层的资源。安全约束决议了谁被受权访问Web层的资源。安全约束可以用部署工具来定义。     假如一个未授权的用户试图访问受掩护的Web资源，Web容器将对他进行认证。容器仅仅接受那些通过容器身份验证并且被授予了权限的用户提交的要求。     能够用应用程序部署工具，如deploytool设置安全约束，也可以直接在部署描写符<security-constraint></security- constraint>的标签中，编纂相干信息。要定义一个安全约束，需要做如下事件：①设定登录认证方法；②添加一个安全束缚；③增添一个Web资源集；④定义和增加授权的安全角色；⑤确定约束的URL模式；⑥肯定约束的http方法(如get或post办法)；⑦指定数据在客户端和服务器之间传递的时候，使用怎么的保证机制(如NONE外链， CONFIDENTIAL等)。 3.1.2  认证用户     Web客户端通常通过http协议来恳求Web服务器真个资源，这些Web资源通常包括html网页、jsp(java server page)文件、java servlet和其余一些二进制或多媒体文件。在企业环境中www.diylianjie.com，企业的某些资源往往请求只容许某些人访问，有些资源甚至是秘密的或安全敏感的。因此对企业中各种Web资源进行访问节制是非常必要的。为了满意企业中的不同安全级别和客户化的需要，J2EE提供了三种基于Web客户端的验证方式：     1)HTTP基础验证(HTTP Basic Authentication)     HTTP基本验证是HTTP协定所支撑的验证机制。这种验证机制使用用户的用户名和密码作为验证信息。这种验证方法并错误用户密码进行加密，而只是对密码进行基本的base64的编码。而且目的Web服务器对用户来说也是不验证过的。不能保障用户访问到的Web服务器就是用户盼望访问的。可以采用一些安全措施来战胜这个弱点。例如在传输层上应用SSL或者在网络层上使用IPSEC或VPN技术。     2)基于表单的验证(Form-Based Authentication)     基于表单的验证使系统开发者可以自定义用户的登录页面和报错页面。用户在表单中填写用户名和密码，而后密码以明文情势在网路中传递。因而在使用根本HTTP的验证方式和基于表单的验证方法时，必需断定这两种方式的弱点对你的应用是可接收的。     3)基于客户端证书的验证(Client-Certificate Authentica tion)     基于客户端证书的验证方式要比上面两种方式更安全。它通过HTTPS(HTTP over SSL)来保证验证的安全性。安全套接层(Secure Sockets Layer)为验证进程提供了数据加密，服务器端认证，信息实在性等方面的安全保证。在此验证方式中，客户端必须提供一个公钥证书，你可以把这个公钥证书看作是你的数字护照。公钥证书也称数字证书，它是被证书授权机构(CA)——一个被信赖的组织颁发的。这个数字证书必须合乎X.509公钥系统构造(PKI)的标准。如果你指定了这种验证方式，Web服务器将使用客户端提供的数字证书来验证用户的身份。 3.2  EJB层安全[3]     当设计一个企业Bean的时候，应当想到有哪些用户会访问这个Bean。例如，一个Account Bean，可能被用户、银行出纳员和支行经理拜访。每个这种用户类型都称为一个安全角色，一个形象的逻辑分组，这是由集成应用的职员所定义的。当一个应用程序被安排时，这些角色将被映射成运行环境中的相应的安全身份。图2很好的展示了J2EE用户、组和角色之间的关联。

图2  
“利用J2EE技巧构建持重的电子商务平台”版权归作者所有，转载请著名出处。