随着电子商务应用的需求和Internet上企业级应用的迅速发展，Web应用服务器成为研究热点，它为开发、部署、运行、集成、维护和管理中间层应用服务提供了一个通用运行环境，使应用开发人员能将精力集中于目标系统的业务逻辑，从而简化了应用系统的开发和维护。由于安全性问题在开放的网络环境中越来越突出，因此安全服务成为应用服务器必须支持的基本功能，在应用服务器中占有重要地位。本文研究J2EE应用服务器的安全服务框架。 首先，我们建立了安全参考模型。J2EE规范只定义了相关的安全需求和目标，但具体实现依赖于实现者，为了对J2EE应用服务器的安全服务具体实现提供指导，我们借鉴CORBA安全参考模型，并且结合J2EE应用服务器的特点，建立了安全参考模型。 其次，根据安全参考模型，我们采用分层的结构对安全服务进行了实现。通过JAAS这种PAM框架和基于Rights的访问控制模型等，我们提供了一个灵活的、可配置的和可扩展的安全服务框架，以便能够集成多种安全机制和策略。此外，由于安全服务的贯穿特性，通过使用AOP思想对安全服务进行封装，避免了安全相关代码的散布和交织，同时也提高了代码的复用率。 最后，我们将安全服务集成到中科院软件所自主开发的基于J2EE规范的Web应用服务器——OnceAS中，为实现EJB容器、Web容器以及JCA等的安全需求提供了具体支持。