WEB网站客户端唯一身份识别.doc

session 对象实现web应用的用户身份识别简介：这是借助session 对象实现web 应用的用户身份识别-的详细页面，介绍了和对象,有关的知识，加入收藏请按键盘ctrl+D，谢谢大家的观看！要查看更多有关信息，请点击此处1 引言通过浏览器操作的简易性和实现的方便性，使得基于b/s结构的web应用模式日渐流行；在web应用环境中，特别是多角色用户情况下，不同的用户拥有的操作权限不同，用户的身份识别非常重要。本文对web应用用户身份识别的难点做了简单剖析，并从应用程序的角度实现了用户的身份认证。2 用户身份识别的难点http 协议的无状态性http协议（即超文本传输协议，hyper texttransfer protocol）是一个应用层的网络协议，采用c/s模式，用来发送客户请求的服务器上的资源。web应用程序的用户通过浏览器进行操作，以浏览器作为客户端采用http协议同web服务器进行交互，完成相应的工作，由此可见，http协议是web应用程序的重要基础之一。每个web站点都有一个服务器进程，它在特定tcp端口（默认80）上不断监听，以便发现是否有浏览器向它发出连接建立请求；一旦监听到连接建立请求并建立了tcp连接之后，浏览器就向服务器发出浏览某个页面 和借助session 对象实现web 应用的用户身份识别-有关的java编程小帖士：strongCharacterSet.DEFAULT指定DEFAULT字符集。语法public static final int DEFAULT;的请求，服务器接着就返回所请求的页面作为响应；发送完响应后，服务器关闭tcp连接。服务器处理下一个请求与上一个请求没有任何关系，对于http服务器而言各个请求都是一样的，不会保留各次处理时的信息，这就是http协议的无状态性。http的无状态性既是优点，也是缺点，协议原本的设计在于共享资源，“无状态”的设计较有效率也容易实现，很适于它的典型应用。但对基于web的应用，却很不方便，特别是对拥有各种角色、权限的多用户系统来说，可能要求对用户的权限进行区分，不同部门、不同角色能够查看的页面不同，对同一页面的操作权限也可能要做区分，这就要求对用户的身份进行验证，通过验证的用户还要保留其身份标识，以维护对相关联页面的操作权限。因为http协议本身不维护请求之间的状态信息，若仅仅通过协议本身，服务器无法判断各请求之间的关联性，也就是说，我们尽管可以使用户进入web应用的默认页面为登录页面，让用户输入用户登录名及密码等信息以实现用户身份验证，然后再通过链接或其它机制转到其它相关页面，但是如果不采取其它措施，用户即使不从登录页面进入也可以通过输入url的方式对网站上其它页面进行不受限制的访问。因而，能够识别用户的身份、识别一系列远程客户的请求是从同一个客户处发出的，是建立有效的基于web的应用程序的关键。3 解决之道善用会话（session）对象会话可以认为是某个用户和服务器之间的一系列相关的交互，这个交互会持续一段时间。对于单个用户而言，会话过程的开始以用户开始访问某个网站为标志，会话过程的结束以用户结束对该网站的访问为标志。不同的用户对应着不同的会话过程，不同的会话过程之间互不干涉，互不影响。按对象的术语讲，一个会话可以看作是一个对象，它驻留在服务器上的应用程序中并受应用程序的影响。一旦在服务器上建立了一个会话，一个称为session id的唯一标识符就与此会话相关联。每一个访问网站的用户在服务器端可以拥有自己唯一的一个会话对象，此会话对象为此用户所独享，即此会话对象同用户有一一对应的关系，用户只能检索自己的会话对象，而不能访问其它用户的会话对象；并且通过session对象的设置属性的方法（setattribute）可以将其它对象绑定到此会话对象，相应的通过s e s s i o n 对象的取得属性的方法(getattribute)可以检索绑定到此会话对象的其它对象。注意到会话是客户和服务器之间一一对应的联系，这一点非常重要，我们可以通过这个联系将用户的身份信息绑定到会话对象上，解决身份认证和权限区分问题。4 简单示例下面， 我们借助s e s s i o n 对象， 通过采用jsp+javabean+数据库的方式实现一个用户认证的简单示例。4.1 web应用程序结构web应用的用户界面结构如下图所示，用户首先进入登录页面/set/login.htm，在其中输入用户id和密码；在/set/login.jsp中进行校验，若校验通过，则在session保存用户身份信息，并根据用户所属部门将页面导向相应部门主页面，否则，将页面导向登录页面重新输入用户id和密码；对于需进行身份验证的页面，从session对象中检索用户身份信息，如果能检索到，说明用户已经得到身份验证，反之，说明用户还未经过身份验证（可能是通过在浏览器地址栏输入url的方式直接进入该页的），则将页面导向到登录页面；若通过认证的用户拥有操作此页面的权限，则允许操作，否则，显示权限错误信息。4.2 javabean本实现中，需要用到如下几个javabean （特殊的类） ：user类：即用户类，表示一个登录到网站的用户，具有用户编号、密码、部门、角色等属性已及对这些属性进行存取的相应方法。实现代码如下：package wxf.set;/用户类，表示登录到网站的一个用户相关的信息public class userprivate string userid; /用户编号private string username; /用户姓名private string password; /密码private string department; /部门private string role; /角色public string getuserid() /取得用户编号return userid;public void setuserid(string id) /设置用户编号userid=id;.(其他getxx和setxx属性)usermanager类：用户管理员类，对用户合法性进行校验。实现代码如下：package wxf.set;import java.sql.*;public class usermanager /用户管理员类，用来通过查询数据库对用户验证public user checkuser(string userid,string password)throws sqlexception/*通过查询数据库，如果存在用户编号为userid并且密码为*password的用户则构造一个user 类的对象，并对此user类的*对象设置userid等属性，然后返回此对象.如果不存在编号为userid并且密码为password的用户则返回null*/user auser=null;tryconnection conn=getconn();statement stmt=conn.createstatement();string sql=select username,department,role frommy user tabl e w here use rid =+ use rid+ a ndpassword=+password+;resultset rs=stmt.executequery(sql);if(rs.next()string name=rs.getstring(1);string dep=rs.getstring(2);string role=rs.getstring(3);auser.setusername(name);auser.setdepartment(dep);auser.setrole(role);auser.setuserid(userid);auser.setpassword(password);conn.close();catch(sqlexception e) throw new sqlexception(e.tostring();return auser;public string adduser(user auser) throws sqlexception/添加用户，返回用户的id号，代码略public boolean deluser(string userid) throws sqlexception/删除用户，删除成功返回true;删除不成功，返回false,代码略public connection getconn() throws sqlexceptionstring dbdriver=sun.jdbc.odbc.jdbcodbcdriver;string connstr=jdbc:odbc:mydatabase;/mydatabase为odbc数据源名称.connection conn=null;tryclass.forname(dbdriver) ;/建立连接，数据库用户名为 abcabc,密码为111111conn=drivermanager.getconnection(connstr,abcabc,111111); catch(exception e)throw new sqlexception(未能成功连接数据库！);return conn;4.3 页面文件登录页面（login.htm）登录页面登录验证页面（login.jsp）身份验证代码非法用户在未通过身份验证的情况下，可能通过键入url非法访问某个特定jsp文件，为此，必须对要保护的页面安排身份检查代码。因为对每个登录到网站的用户，都可以拥有自己独享的唯一的session对象，每个用户只能访问自己的session对象；因此，可以在要求认证的jsp文件的开头安排如下代码：从session对象中检索用户（user）对象，因为用户如果是从登录页面进入并且是合法用户，则在登录时已经将用户的身份信息封装成user对象绑定到session对象上了，所以如果能检索到，说明用户是经过了合法认证进到该页面的，否则，说明用户还未经过认证，需要将页面转到认证页面；如果经过认证，则再从用户对象中检索其角色（role）属性，若允许此角色的用户访问该页，则显示页面内容，否则，显示权限错误信息。示例代码如下：4.4 数据结构本例中的数据库采用sql server 2000，其中的创建用户表（myusertable）的sql语句如下：create table myusertable(userid nv