CSDN博客

img buaawhl

Web开发框架中的架构模式比较(五)

发表于2003/2/25 17:40:00  1178人阅读

分类: Architectural Pattern

用户身份确认Authentication 和授权Authorization

web用户访问web服务器上的受到保护的资源时,通常要经过两个步骤。(从.Net框架文档摘录)

1.用户身份确认Authentication

确保用户不是假冒的。应用程序获取用户的凭据(各种形式的标识,如用户名和密码)并通过某些授权机构验证那些凭据。如果这些凭据有效,则提交这些凭据的实体被视为经过身份验证的标识。

2.授权Authorization

通过对已验证身份授予或拒绝特定权限来限制访问权限。

 

ASP.Netjava web框架的资源保护策略都遵循这样的模型:对应于被保护的资源,定义一组角色,用户,和允许的操作。操作在java web框架中称为http-method,在ASP.Net中称为Verb,都表示HTTP GETHTTP POSTHTTP方法。

根据servlet2.4规范,java web框架的网页的login form应该按照下例书写。注意,formaction属性的值应该为j_security_check

 

<form method=”POST” action=”j_security_check”>

<input type=”text” name=”j_username”>

<input type=”password” name=”j_password”>

</form>

 

ASP.Net的服务器端配置文件web.config例子。(节录)

下面的例子从.Net框架文档中摘录出来。

 

<authentication mode="forms">

     <forms forms="401kApp"

             loginurl="/login.aspx"

             decryptionkey="1!#$$*13^">

          <credentials passwordFormat=SHA1>

               <user name="Kim" password="9611E4F94EC4972D5A537EA28C69F89AD28E5B36"/>

               <user name="John" password="BA7157A99DFE9DD70A94D89844A4B4993B10168F"/>

          </credentials>

     </forms>

</authentication>

<authorization>
     <allow users="John" />
     <deny users="*" />
</authorization>

<authorization>
     <allow verb="GET" users="*" />
     <allow verb="POST" users="Kim" />
     <deny verb="POST" users="*" /> 
</authorization>

 

Java web 框架的服务器端配置文件web.xml例子。

下例从servlet2.4规范中摘录。其中的< security-role >< security-constraint >部分中定义了受保护资源对应的角色,用户,和允许的操作。

 

<?xml version="1.0" encoding="ISO-8859-1"?>

<web-app xmlns="http://java.sun.com/xml/ns/j2ee"

xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee http://

java.sun.com/xml/ns/j2ee/web-app_2_4.xsd" version=”2.4”>

<display-name>A Secure Application</display-name>

<servlet>

<servlet-name>catalog</servlet-name>

<servlet-class>com.mycorp.CatalogServlet

</servlet-class>

<init-param>

<param-name>catalog</param-name>

<param-value>Spring</param-value>

</init-param>

<security-role-ref>

<role-name>MGR</role-name>

<!-- role name used in code -->

<role-link>manager</role-link>

</security-role-ref>

</servlet>

<security-role>

<role-name>manager</role-name>

</security-role>

<servlet-mapping>

<servlet-name>catalog</servlet-name>

<url-pattern>/catalog/*</url-pattern>

</servlet-mapping>

<security-constraint>

<web-resource-collection>

<web-resource-name>SalesInfo

</web-resource-name>

<url-pattern>/salesinfo/*</url-pattern>

<http-method>GET</http-method>

<http-method>POST</http-method>

</web-resource-collection>

<auth-constraint>

<role-name>manager</role-name>

</auth-constraint>

<user-data-constraint>

<transport-guarantee>CONFIDENTIAL

</transport-guarantee>

</user-data-constraint>

</security-constraint>

</web-app>

 

SOAP Web Service

.Net框架和Apache Axis项目都提供了Web ServiceSOAP实现。采用的基本模式如下。

通过XML序列化实现SOAP XML数据到应用程序对象的绑定;XML序列化(和反序列化)发生在服务端和客户段;XML数据和应用程序对象Object的映射规则为,Object映射为一个XML元素,Object的“属性”(property)成员映射为该XML元素的子元素。

JavaC# 都支持Reflection机制,能够在运行时判断Object的类型。但有些细微的差别:Java对象的“属性”(property)并不是一种类型,而是一种符合getXXXsetXXX形式的约定;C#对象的“属性”(property)是在类内部声明的一种类型;还有,C#支持Attribute,比如,[SoapElement][XmlElement][WebMethod][SoapRpcMethod]等属性。所以,C#对象的XML序列化定义更加严格一些。

另外,两种语言的集合类也有差别,对于某些特殊的集合类,如hashtable,会有不兼容的情况,所以,最好发送数组类型,以保证不同语言开发的SOAP Web Service能够相互使用。

SOAP支持几种数组类型,其中有两种数组类型 —— 多维数组和复合数组,这里说明一下。多维数组是指如 3 * 4 之类的34列的整齐数组,C# 语言支持这种多维数组,java语言不支持这种多维数组;复合数组是指数组的数组,即数组的元素也可以是属组,C# 语言和java语言都支持这种复合数组。不过,复合数组也可以用来表示多维数组,比如复合数组的元素个数为3,元素类型为大小为4的数组,就可以用来表示3 * 4 之类的34列的整齐数组。

 

0 0

相关博文

我的热门文章

img
取 消
img