随着Web信息技术的迅速发展及广泛应用,高校信息化建设有了很大的发展,J2EE平台支持简化的、基于组件开发模型,开发效率高、重用性好,并且具有良好的跨平台性和可移植性,成为实施高校信息化建设的重要方式之一。传统的J2EE架构的业务逻辑层解决方案EJB是一个重量级组件,EJB对Web服务器和服务器硬件要求都比较高,同时有一套严格而复杂的规范,业务移植困难,学习成本高,对于注重开发速率的中小型企业不适合。故而需要一种可快速开发、移植性好的轻量级架构。本文通过整合Struts、Spring和iBATIS框架,构建一个轻量级架构。另外,Web信息系统的安全问题也引起人们越来越多的关注,在信息系统的安全访问控制中,身份认证和访问控制起着核心作用。目前大多Web系统采用MD5算法加密用户口令的方式,MD5算法的单向性及不可逆性大大增强了认证层次的安全性,但是针对MD5算法的破解方法层出不穷,尤其是现在普遍应用的字典查询法,具有很高的命中率。本文通过对MD5算法加密用户口令的方法变换改进,防止被穷举攻破,进一步增强认证的安全性。访问控制方面,现在普遍采用基于角色访问控制技术(RBAC),RBAC通过在用户和权限之间引入角色的概念,使得授权管理简单、有效,但对于一些高安全性的应用,或者有时间性要求的业务需求,则不能满足。本文通过将RBAC模型和BLP模型相结合,引入可信主体和安全级别的概念,由可信主体为主客体定义安全级别,访问控制管理除了满足用户的角色权限要求,还需要满足安全级别限制,使得对高安全性要求的资源的访问更加细粒度、严格。另外,根据系统业务的具体需求,本文还对RBAC模型进行了扩展,引入了组织结构和时间约束的概念,支持授权传递和时间约束管理,以减轻管理员负荷并实现更细粒度、更全面的访问控制。最后,本文以高等教育招生计划管理系统为开发背景,对本文构建的轻量级安全Web架构进行具体的实现和应用。重点介绍了系统总体设计和数据库设计,系统管理模块、招生计划模块以及安全访问控制机制的设计与实现。