目前基于Web应用的ERP系统已经成为主流,在构建系统时,安全问题是每个架构师必须考虑的问题。Web应用的安全性主要有两个组成部分:验证和授权。不同的用户对不同的资源拥有不同的访问权限,如何对众多的用户进行验证和授权是成功构建系统的一个关键。基于Web应用的ERP系统中,由于系统的开放性,为了防止用户的误操作或恶意越权行为,必须对登录系统的用户进行验证和授权。因为在Web应用中,所有的资源都是在浏览器中以URL的形式呈现给用户。用户在登录系统时有可能饶过登录页面而直接进入一个他没有权限访问的页面;或者在登录系统后无意或有意的在浏览器地址栏中输入他没权访问的地址;另外随着企业的发展和业务的需要或者由于用户需求的变化,必将引进新的验证授权机制,系统管理员必须保证在不影响已有安全机制的前提下,加入新的安全机制,最大程度地利用现有资源和遗留系统。本文正是针对上述问题,研究了在J2EE平台下利用Web容器内在的安全机制和JAAS框架如何对用户进行验证和授权。具体研究了J2EE Web容器提供的三种验证机制:基本的、基于表单的、交互式身份验证,并分析了他们的优缺点;详细介绍了如何通过部署描述符对Web资源进行保护和限制;通过深入研究JAAS框架提供的验证和授权机制,描述了JAAS验证和授权的详细流程。在某油田公司的ERP系统中,公司要求登录系统的用户为数据库中的真实用户,以便记录用户的操作日志。实际开发时,选用了BES作为应用服务器,利用它提供的LoginModule与J2EE Web容器内在的安全机制,采用基于表单的验证方式并协同Oracle的数据库验证,实现了对ERP系统内部用户的验证和授权。把用户能访问到的资源控制到了页面级,避免了用户通过浏览器的地址栏进行越权访问。将开发阶段需要考虑的安全问题转移到部署阶段,实现了应用逻辑与安全逻辑的彻底分离。结果表明,使用JAAS框架提供的LoginModule可以提高整个系统的开发效率,降低开发成本。而Web容器提供的验证与授权可以很好的和数据库安全域相结合。对大中型企业实施ERP、网上电子商务、办公自动化和构建企业信息化系统的安全模块时,有很强的借鉴意义。