身份驗證機制(authentication):確定乙個使用者具有自己聲稱的那個身份
應用程式關心使用者是否通過了驗證而不關心是通過何種方式進行的驗證???
授權(訪問控制:authorization):★堅持使用
來宣告所有角色
使用者資訊的提供:
首選由容器提供的身份驗證:(具有靜態特徵;效率?)
a.http基本身份驗證(basic):usr/pwd通過base64編碼後加入某個請求首部
b.http摘要身份驗證(digest):(http1.1支援)伺服器端驗證客戶端發來的md5摘要(包括伺服器端發來的含有時間戳、請求資源、伺服器標識的nonce)
c.https客戶身份驗證(client-cert):要求客戶端的ssl
d.基於表單的身份驗證(form):servlet規範獨有,由servlet容器自身來實現,明文傳輸(具體實現依賴
元素中
的設定)
訪問控制型別由web應用程式配置描述符中定義(屬於servlet規範):/web-inf/web.xml
使用者資訊的獲取:request物件提供方法獲得驗證後的使用者資訊(servlet 2.2 api)
應用程式控制的身份驗證:(動態的驗證模型),口令仍以明文傳送
自定義行為
必須被放在應用程式中所有受保護頁面的開始:
包括3個必需屬性:name 由驗證頁面建立的bean物件的名稱
login 找不到該物件名稱時的**url
errormsg 在**的url頁面上顯示的訊息
作為post請求物件的帶有訪問控制的頁面需要對post方法進行驗證:
避免使用者重新提交過期表單
使用https驗證將使其他三種認證失效:無論是只對伺服器進行認證還是對客戶端和伺服器端都進行認證,連線都是經過加密的
對於cookie的處理:
表示cookie儲存30天(30*24*3600s)
表示cookie立即失效
java身份驗證傳送郵件
private properties mailp null public static final string email content type text text public static final string email content type html html public s...
Java基於token的身份驗證
最近工作中有使用token校驗使用者登入是否超時,token就是生成的一串uuid,在使用者登入成功後生成,並且要用aes進行加密,存入瀏覽器cookie中,下面來看一下詳細流程。token失效校驗流程 功能介紹 應用接入網關判斷token是否失效,如果失效則返回token失效的錯誤碼。處理流程 1...
Forms 身份驗證
配置應用程式使用 forms 身份驗證 如果應用程式的根目錄中有 web.config 檔案,請開啟該檔案。複製 在system.web元素中,建立乙個authentication元素,並將它的mode屬性設定為 forms,如下面的示例所示 複製 在authentication元素中,建立乙個fo...