Java编程与应用教程 作者 张莉 java_09.pptVIP

第9章 Servlet会话管理与用户认证 本章主要内容有 网络会话管理 网络用户认证 用户认证安全 9.1 网络会话管理 1. HttpSession API HttpSession API技术是建立在Cookie或URL重写之上的。当浏览器支持Cookie时，服务器会使用Cookie，当浏览器不支持Cookie时，服务器就会自动改用URL重写。 9.1 网络会话管理 2. Cookie 会话跟踪的第一个障碍就是如何在服务器端和客户端之间保持唯一的会话ID。 有人提出使用客户机的IP地址，因为IP地址是唯一的。这个方案是否可行呢？ 如果同一个客户端发出了不同的请求，或者客户端的请求是通过代理服务器提出的。在这些情况下IP地址都不能作为唯一的标识。其实Cookie和URL重写可以用来保存唯一的标识。 9.1 网络会话管理 3. URL重写 这种技术主要提供给由于种种原因无法使用Cookie的用户，但使用中应当注意两点， 一是网络站点返回给客户的URL会追加一些额外的信息， 二是如果用户退出会话，再通过书签或链接返回原处时，有可能丢失会话的信息。 9.2 用户认证安全的实现 1. HTTP用户认证 HTTP内置的认证方式是，当客户端向服务器发出对受保护的资源的访问请求时，服务器会用含有特别HTTP请求头和HTTP状态码的应答来响应，这时浏览器会要求用户输入用户名和密码。 服务器收到客户端的响应后会使用它的用户数据库来验证该用户名和密码是否有效以及他相应的权限，最后决定拒绝还是提供访问。 在用户认证方式中，用户的信息在传输过程中一般使用的是Base64编码 9.2 用户认证安全的实现 使用用户认证方式，用户的信息不再局限于用户的数据库，认证方式也不再依赖于Web服务器。 用户认证当客户端向服务器发出对受保护的资源的访问请求时，服务器同样会用含有特别HTTP请求头和HTTP状态码的应答来响应，浏览器也还是会要求用户输入用户名和密码。 用户认证和HTTP内置的认证方式所不同的是不再依赖于Web服务器来完成认证，而是由程序员的程序来完成。 9.2 用户认证安全的实现 2. HTML表单认证 使用HTML表单认证可以使我们控制Web浏览器显示登陆信息的方式，这种认证方式使用HTML表单获取来自客户端的输入信息，并送交Servlet进行处理。 9.2 用户认证安全的实现 以上两种认证方式是普遍常用的，但都不是最安全的。 网络系统安全是一个永久的话题，保障网络系统安全取决于多方面的因素。实际应用中应根据网络系统实际需要，可增加其他安全技术，比如可以使用安全套接字协议(SSL)，它可以保障数据的安全传输等。 SSL建立在所有的socket通信之上，所有的数据被发送到网络上之前都会被它加密，并在这些数据安全到达目的地之后对它们解密。 在线教务辅导网： 教材其余课件及动画素材请查阅在线教务辅导网 QQ:349134187 或者直接输入下面地址：