第11章　电子商城安全与部署.pptVIP

第11章　电子商城安全与部署 主编：刘志成 本章学习导航 本章学习要点 11.1 Web应用系统的安全 课堂案例1—使用彩色验证码 课堂案例1—使用彩色验证码 课堂案例1—使用彩色验证码 课堂案例1—使用彩色验证码 课堂案例2—使用MD5加密 课堂案例2—使用MD5加密 课堂案例2—使用MD5加密 11.1 Web应用系统的安全 课堂实践 1 11.2 Web应用系统的部署 课堂案例3—通过创建Context文件静态部署Web应用 课堂案例3—通过创建Context文件静态部署Web应用 课堂案例4—动态部署Web应用 课堂案例4—动态部署Web应用 * * “JSP程序设计”国家级精品课程配套教材 * 本章学习导航 （1）使用彩色验证码。 （2）使用MD5加密。 （3）Tomcat服务器安全配置。 （4）静态部署Web应用。 （5）动态部署Web应用。 建议课时：8课时 随着Internet的发展和普及，人们通过网络可以方便的获取各种各样的信息和资源，这些信息和资源由分布在Internet中的各种WEB服务器提供。WEB服务器在提供大量的资源的同时也经常会碰到客户机的恶意攻击。面对这些恶意的攻击，如果服务器本身不能有效验证并拒绝这些非法操作或防范这些恶意的攻击，会很严重耗费其系统资源，降低网站性能甚至使程序崩溃。 概述 Web网站在客户登录时为客户提供一个包含随机?字符串的图片，用户必须读取这些字符串，然后随登录窗体或者发帖窗体等用户创建的窗体一起提交。这样就可以防止有人通过程序进行自动批量注册、对特定的注册用户用特定程序暴力破解方式进行不断的登录、灌水。 验证码原理 （1）4位数字验证码。 （2）GIF格式图片验证码。 （3）PNG格式图片验证码。 （4）BMP格式图片验证码。 （5）JPG格式图片验证码。 （6）XBM格式图片验证码。 验证码种类 学习在JSP中使用彩色验证码增强系统的安全性 。 案例学习目标 彩色验证码的原理、彩色验证码的生成、彩色验证码在JSP中的应用。 案例知识要点 案例完成步骤 （1）在Tomcat的webapps文件夹中创建保存第11章程序文件的文件夹chap11。 （2）复制WEB-INF文件夹和web.xml文件。 （3）编写使用验证码实现用户登录的JSP文件login.jsp。 （4）编写生成验证码程序的JSP文件verifyCode.jsp。 （5）编写验证用户名、密码和验证码的JSP文件verify.jsp。 教师演示讲解 案例完成步骤 教师演示讲解 （6）启动Tomcat服务器后，在IE的地址栏中输入“http://localhost:8080/chap03/login.jsp” MD5的全称是Message-Digest Algorithm 5，在20世纪90年代初由MIT的计算机科学实验室和RSA Data Security Inc发明，经MD2、MD3和MD4发展而来。 MD5是将任意长度的“字节串”变换成一个128bit的大整数，并且是一个不可逆的字符串变换算法。换句话说，即使看到源程序和算法描述，也无法将一个MD5的值变换回原始的字符串，从数学原理上说，是因为原始的字符串有无穷多个。 MD5还广泛用于加密和解密技术上，在很多操作系统中，用户的密码是以MD5值（或类似的其他算法）的方式保存的，用户登录时，系统是把用户输入的密码计算成MD5值，然后去和系统中保存的密码的MD5值进行比较，因此系统并不“知道”用户的密码是什么。 验证码原理 学习在JSP中使用MD5加密码技术增强系统的安全性。 案例学习目标 MD5加密算法，实现MD5加密的JavaBean的编写，MD5加密在用户注册中的应用，MD5加密在用户登录中的应用。 案例知识要点 案例完成步骤 （1）webapps文件夹中保存第11章程序文件的文件夹chap11。 （2）编写进行MD5加密功能的JavaBean。 （3）将网上下载的JavaBean或MD5Tool.java编译后部署到Web应用程序文件夹中。 （4）使用MD5加密功能。 教师演示讲解 Tomcat服务器安全配置 1．禁止列出站点文件文件夹 2．改变站点发布的端口号 3．关闭服务器端口 （1）编写实现验证码的用户登录程序。 （2）编写MD5加密的用户注册程序。 操作要求 （1）注意验证码的基本验证原理。 （2）注意只能实现MD5加密，而不能解密。 操作提示 1．直接放到webapps文件夹下 2．在server.xml中指定 Context p