Java學習筆記_身份驗證機制

2019-11-18 14:39:08

字體：大中小

來源：轉載

供稿：網友

　　身份驗證機制（authentication）：確定一個用戶具有自己聲稱的那個身份
應用程序關心用戶是否通過了驗證而不關心是通過何種方式進行的驗證？？？
授權（訪問控制：authorization）：★堅持使用<security-role>來聲明所有角色
用戶信息的提供：

首選由容器提供的身份驗證：（具有靜態特征；效率？）
a.HTTP基本身份驗證(BASIC):usr/pwd通過Base64編碼后加入某個請求首部
b.HTTP摘要身份驗證(DIGEST):（HTTP1.1支持）服務器端驗證客戶端發來的md5摘要（包括服務器端發來的含有時間戳、請求資源、服務器標識的nonce）
c.HTTPS客戶身份驗證(CLIENT-CERT)：要求客戶端的SSL
d.基于表單的身份驗證(FORM)：servlet規范獨有，由servlet容器自身來實現，明文傳輸(具體實現依靠<login-config>元素中<form-login-config>的設置)

訪問控制類型由Web應用程序配置描述符中定義（屬于servlet規范）:/WEB-INF/web.xml
用戶信息的獲取：request對象提供方法獲得驗證后的用戶信息（Servlet 2.2 API）

應用程序控制的身份驗證：（動態的驗證模型），口令仍以明文傳送
自定義行為<oar:validatesession name="xxx" loginPage="login.jsp" errorMsg="xxx" />必須被放在應用程序中所有受保護頁面的開始：
包括3個必需屬性：name 由驗證頁面創建的Bean對象的名稱
login 找不到該對象名稱時的轉發URL
errorMsg 在轉發的URL頁面上顯示的消息
作為POST請求對象的帶有訪問控制的頁面需要對POST方法進行驗證：
<% if (!request.getMethod().equals("POST")) { %>
<ora:redirect page="main.JSP" />
<% } %>
避免用戶重新提交過期表單

使用HTTPS驗證將使其他三種認證失效：無論是只對服務器進行認證還是對客戶端和服務器端都進行認證，連接都是經過加密的

對于cookie的處理：
<ora:addCookie maxAge="2592000"/>表示cookie保存30天(30*24*3600s)
<ora:addCookie maxAge="0"/>表示cookie立即失效

上一篇：java 多態與抽象工廠-----------菜鳥學飛第二步

下一篇：java 參數是如何傳遞的