技术文章 > Web开发框架中的架构模式比较(四)

Web开发框架中的架构模式比较(四)

2018-06-22 01:52

文档管理软件,文档管理系统,知识管理系统,档案管理系统的技术资料:
用户身份确认Authentication 和授权Authorization
当web用户访问web服务器上的受到保护的资源时,通常要经过两个步骤。(从.Net框架文档摘录)
1.用户身份确认Authentication
确保用户不是假冒的。应用程序获取用户的凭据(各种形式的标识,如用户名和密码)并通过某些授权机构验证那些凭据。如果这些凭据有效,则提交这些凭据的实体被视为经过身份验证的标识。
2.授权Authorization
通过对已验证身份授予或拒绝特定权限来限制访问权限。

ASP.Net和java web框架的资源保护策略都遵循这样的模型:对应于被保护的资源,定义一组角色,用户,和允许的操作。操作在java web框架中称为http-method,在ASP.Net中称为Verb,都表示HTTP GET,HTTP POST等HTTP方法。
根据servlet2.4规范,java web框架的网页的login form应该按照下例书写。注意,form的action属性的值应该为j_security_check。




ASP.Net的服务器端配置文件web.config例子。(节录)
下面的例子从.Net框架文档中摘录出来。


loginurl="/login.aspx"
decryptionkey="1!#$$*13^">












Java web 框架的服务器端配置文件web.xml例子。
下例从servlet2.4规范中摘录。其中的< security-role >和< security-constraint >部分中定义了受保护资源对应的角色,用户,和允许的操作。


xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee http://
java.sun.com/xml/ns/j2ee/web-app_2_4.xsd" version=”2.4”>
A Secure Application

catalog
com.mycorp.CatalogServlet

catalog
Spring

MGR

manager


manager

catalog
/catalog/*


SalesInfo

/salesinfo/*
GET
POST

manager

CONFIDENTIAL



SOAP Web Service
.Net框架和Apache Axis项目都提供了Web Service的SOAP实现。采用的基本模式如下。
通过XML序列化实现SOAP XML数据到应用程序对象的绑定;XML序列化(和反序列化)发生在服务端和客户段;XML数据和应用程序对象Object的映射规则为,Object映射为一个XML元素,Object的“属性”(property)成员映射为该XML元素的子元素。
Java和C# 都支持Reflection机制,能够在运行时判断Object的类型。但有些细微的差别:Java对象的“属性”(property)并不是一种类型,而是一种符合getXXX,setXXX形式的约定;C#对象的“属性”(property)是在类内部声明的一种类型;还有,C#支持Attribute,比如,[SoapElement]、[XmlElement]、[WebMethod]、[SoapRpcMethod]等属性。所以,C#对象的XML序列化定义更加严格一些。
另外,两种语言的集合类也有差别,对于某些特殊的集合类,如hashtable,会有不兼容的情况,所以,最好发送数组类型,以保证不同语言开发的SOAP Web Service能够相互使用。
SOAP支持几种数组类型,其中有两种数组类型 —— 多维数组和复合数组,这里说明一下。多维数组是指如 3 * 4 之类的3行4列的整齐数组,C# 语言支持这种多维数组,java语言不支持这种多维数组;复合数组是指数组的数组,即数组的元素也可以是属组,C# 语言和java语言都支持这种复合数组。不过,复合数组也可以用来表示多维数组,比如复合数组的元素个数为3,元素类型为大小为4的数组,就可以用来表示3 * 4 之类的3行4列的整齐数组。