尽管Web应用框架已经出现了较长的时间,但它在安全性方面还存在许多缺陷,其中适合业务型的Web框架更是很少被人提及,原因在于业务型系统的繁琐和业务过程的变化。针对于这一研究问题,本文开展了针对业务型项目的安全应用框架研究,在已有的Web框架研究基础上,针对于现有Web应用框架在业务型系统方面存在的通用性差、安全性低的缺点,改进并实现了一种适用于业务型系统的安全框架。首先,对已有Web框架进行研究,主要是对SSH集成框架的改进,总结了SSH框架的改进步骤和各类配置文件的代码优化,从实际开发的角度对SSH框架的搭建过程进行了详细阐述,增加了一层接口层以及其他拦截代码,因此改进后的基础架构不仅代码的重用性高,而且保证了基础架构的运行轻便。其次,针对于业务型系统的业务复杂性,引进了一种基于对话的工作流模型,并且借助了一种工作流的解决方案——基于Web的工作流系统,最后形成了一种基于状态时序的工作流模型,就是先将一般业务处理的基本要素抽象出来,再由事先设置好的时序去控制业务的每一个过程,最终保证工作流的执行。接着,运用即时消息推送机制来实现数据的时效性,IM(Instant Messaging)机制不仅能够保证各类数据以“消息”的形式进行传递,而且还是工作流模型实现的关键技术,优化后的IM机制可以嵌套在整个框架内,既解决了消息本身可以承载业务过程的问题,还控制着消息的新增或推送的时序,增强了架构的兼容性。然后,利用RBAC(Role-Based Access Control)模型改进出了一种更加实用的访问控制模型,来提高整个框架的灵敏性和通用性。最后,还对实现的业务型Web安全框架进行了通用性和性能方面的测试,结果证明,本文提出的一种通用业务型的Web安全框架运行稳定,性能高效,同时对业务型系统具备通用性。