安全认证网关的Web系统开发规范.pdfVIP

安全认证网关

Web系统开发规范

v1.1

电子政务外网电子认证办公室

2010年12月

目录

1规范描述1

2开发常见问题2

2.1如何保证应用用户与SSL连接用户的一致性？2

2.2http与https进行切换时应用如何保持用户session？2

2.3采用可选验证时，应用如何判断用户是否提交了证书？3

3应用接口4

3.1接口描述4

3.2接口实例5

3.2.1Asp脚本示例5

322JSP脚本示例6

323VB.NET的示例8

3.2.4Asp.net的C#脚本示例11

1规范描述

SSL安全网关能够对用户的数字证书进行验证，在浏览器与Web服务器之间建立

安全加密通道，可以为Web应用系统提供用户身份认证和数据保密的功能。为了充

分利用SSL安全网关的安全功能，保证系统可操作性和性能，实现系统与安全网关

的顺利结合，在Web应用系统的开发过程中应注意以下几点：

系统中的用户标志设置必须以用户数字证书中的标志为基础。

用户身份的获取必须以安全网关提供为准，用户身份从cookie中获取，系统

可以去掉登录页面。

在使用超级连接时尽可能使用相对链接，禁止使用的绝对链接本地服

HTTP

务，否则无法访问，本地服务用户只能通过访问。

HTTPS

避免使用协议的特有功能，保持与的通用性。

HTTPHTTPS

不得使用开头的作为有用信息，否则会被过滤。

KOAL_cookie

避免使用过多的cookie信息，建议不要超过1000字节。

对于网页中参数的传递尽可能以方式，避免方式。

POSTGET

在网页美观的前提下，保证网页的简洁性，尽量减少网页中的帧数和资源数

目（图片等），提高SSL的连接性能。

减少使用重定向功能，避免使用多重重定向功能。

系统提供统一的固定端口对外提供服务，避免使用动态及多个端口。

对每个网页都必须对获取的用户身份cookie与应用保存的用户session值进行

对比，防止另一个用户使用未关闭的IE进行访问。

若网页包含多框架或多窗口，则网页内容的获取应统一由方式获取，

HTTPS

避免混用其他方式（，空页面等）获取，否则会提示网页包含

HTTPabout:blank

不安全内容。

2开发常见问题

2.1如何保证应用用户与SSL连接用户的一致性？