| 中文摘要 | 第1-5页 |
| 英文摘要 | 第5-9页 |
| 绪论 | 第9-11页 |
| 第一章 Java安全基础 | 第11-23页 |
| ·、 Java回顾 | 第11-12页 |
| ·、 Java安全体系结构 | 第12-14页 |
| ·、 保护域 | 第12-13页 |
| ·、 Java类加载的安全机制 | 第13-14页 |
| ·、 Java的权限 | 第14页 |
| ·、 Java的安全策略 | 第14-16页 |
| ·、 Java的安全属性文件 | 第14-15页 |
| ·、 Java的安全策略文件 | 第15-16页 |
| ·、 Java的Principal和Subject | 第16-17页 |
| ·、 Java的认证和授权服务(JAAS) | 第17-19页 |
| ·、 JAAS类 | 第17页 |
| ·、 JAAS认证处理 | 第17-18页 |
| ·、 JAAS的授权 | 第18-19页 |
| ·、 Java加密-Java密码系统扩展(JCE) | 第19-20页 |
| ·、 JCE的体系结构 | 第19-20页 |
| ·、 Java安全套接字扩展(JSSE) | 第20-22页 |
| ·、 SSL基础 | 第20页 |
| ·、 库和证书的安装 | 第20-21页 |
| ·、 保护JAR文件 | 第21-22页 |
| ·、 小结 | 第22-23页 |
| 第二章 J2EE的体系结构与安全 | 第23-30页 |
| ·、 J2EE多层技术 | 第23页 |
| ·、 Web层组件:servlet和JSP | 第23-24页 |
| ·、 servlet | 第24页 |
| ·、 JSP | 第24页 |
| ·、 JSP的使用 | 第24页 |
| ·、 业务层组件:EJB | 第24-27页 |
| ·、 EJB容器提供的服务 | 第24-25页 |
| ·、 EJB的类型 | 第25页 |
| ·、 EJB的部署 | 第25-26页 |
| ·、 EJB的开发角色 | 第26页 |
| ·、 EJB的开发 | 第26-27页 |
| ·、 EJB安全体系结构 | 第27-28页 |
| ·、 Principal和角色 | 第27页 |
| ·、 声明性安全机制和程序化安全机制 | 第27页 |
| ·、 系统级安全性 | 第27-28页 |
| ·、 表现层的安全 | 第28页 |
| ·、 业务层的安全 | 第28-29页 |
| ·、 安全角色定义 | 第28页 |
| ·、 角色映射 | 第28页 |
| ·、 分配Principal到角色 | 第28-29页 |
| ·、 资源的安全 | 第29页 |
| ·、 小结 | 第29-30页 |
| 第三章 Java应用常用攻击手段及安全对策 | 第30-40页 |
| ·、 应用程序的安全性:过程 | 第30-31页 |
| ·、 系统级与应用级的安全 | 第30-31页 |
| ·、 应用级安全技术 | 第31页 |
| ·、 本地存储数据的危险性 | 第31-34页 |
| ·、 使用JCE加密 | 第31-32页 |
| ·、 使用消息摘要核查数据 | 第32-33页 |
| ·、 使用Java Logging API进行日志记录和审核 | 第33-34页 |
| ·、 使用JAAS进行系统认证 | 第34页 |
| ·、 基于principal访问的定制权限 | 第34页 |
| ·、 代码滥用的危险 | 第34-37页 |
| ·、 开发一个授权策略 | 第35页 |
| ·、 钥打包 | 第35-37页 |
| ·、 逆向工程的危险性 | 第37-38页 |
| ·、 模糊技术 | 第37-38页 |
| ·、 修改、编码或加密类文件 | 第38页 |
| ·、 嵌入串的危险性 | 第38-39页 |
| ·、 消除含有敏感信息的串字 | 第38-39页 |
| ·、 小结 | 第39-40页 |
| 第四章 Java远程方法调用(RMI)的安全应用 | 第40-45页 |
| ·、 Java RMI | 第40页 |
| ·、 选择性加密 | 第40-42页 |
| ·、 加密信道 | 第42页 |
| ·、 为每一个方法设置询问/响应 | 第42-43页 |
| ·、 远程加载类和JAR文件的危险 | 第43-44页 |
| ·、 小结 | 第44-45页 |
| 第五章 Java Web服务安全机制 | 第45-55页 |
| ·、 Web应用的危险性 | 第45-48页 |
| ·、 将多个URL映射到相同的servlet | 第46页 |
| ·、 使用HTTP POST代替HTTP GET | 第46-47页 |
| ·、 建立完善的应用级错误处理机制 | 第47-48页 |
| ·、 通过Servlet过滤器控制缓存 | 第48页 |
| ·、 Java中的Web服务 | 第48-54页 |
| ·、 Java Web服务技术 | 第49页 |
| ·、 Web服务开发包 | 第49-50页 |
| ·、 Web服务应用的弱点 | 第50-51页 |
| ·、 Web服务的工作流安全性 | 第51-53页 |
| ·、 Web服务安全的未来 | 第53-54页 |
| ·、 小结 | 第54-55页 |
| 第六章 业务层(EJB)的安全 | 第55-59页 |
| ·、 EJB应用的弱点及防范 | 第55-58页 |
| ·、 保护命名服务 | 第55-56页 |
| ·、 对于实体bean使用本地接口 | 第56页 |
| ·、 让容器完成认证并传输用户凭证信息 | 第56-57页 |
| ·、 使用声明性或者程序设计的安全验证角色 | 第57页 |
| ·、 使用消息驱动的bean时常见的缺陷 | 第57-58页 |
| ·、 小结 | 第58-59页 |
| 结束语 | 第59-60页 |
| 参考文献 | 第60-62页 |
| 致谢 | 第62页 |
