Java Web应用开发实用教程 龚永罡 第22章 保护受限制访问的JSP资源新.ppt

* * * * * 在线教务辅导网： 更多课程配套课件资源请访问在线教务辅导网 第21章 保护受限制访问的JSP资源 ● 了解保护访问资源的必要性 ● 加密传递给客户端的文字 ● 添加SSL认证信息 ● 添加对请求的访问权限判断 21.1保护访问资源的必要性 JSP开发的应用大多在互联网环境下运行，由于互联网及其协议的开放性，资源公开程度毫无疑问是相当高的。这样会带来一系列安全性问题。 传输的重要信息被黑客拦截，从而造成损失。 Web服务器控制权被黑客获得，从而导致网站整体瘫痪。 JSP页面被黑客篡改，导致出现各种异常情况。 JSP页面被未经授权的用户所访问，导致重要信息被泄露，甚至数据被破坏。 这些问题都会对Web应用系统的正常应用带来影响，严重的可能给用户造成极大的经济损失，给正常的工作带来巨大影响。因此，有必要对Web访问资源进行保护。 21.2加密传递给客户端的文字 在Web服务器和浏览器之间传输的信息很容易被拦截，从而造成信息泄漏。一般可以采用加密文字的方法来解决信息传输问题。即在服务器端将文字加密后再传输给客户端，这样在网络上传输的是密文形式，采用高强度、高可靠性的加密算法，就可以解决信息传输过程中的泄密问题。 本节介绍两种常用的算法，来加密传递给客户端的文字。 21.2.1采用DES算法加密文字 DES（Data Encryption Standard）算法，于1977年得到美国政府的正式许可，是一种用56位密钥来加密64位数据的方法。目前DES算法得到了广泛的应用，在国内，随着三金工程尤其是金卡工程的启动，DES算法在POS、ATM、磁卡及智能卡（IC卡）、加油站、高速公路收费站等领域被广泛应用，以此来实现关键数据的必威体育官网网址，如信用卡持卡人的PIN的加密传输，IC卡与POS间的双向认证、金融交易数据包的MAC校验等，均用到DES算法。 DES算法的入口参数有三个：Key、Data、Mode。其中Key为8个字节共64位，是DES算法的工作密钥；Data也为8个字节64位，是要被加密或被解密的数据；Mode为DES的工作方式，有两种：加密或解密。 DES算法是这样工作的：如Mode为加密，则用Key 去把数据Data进行加密， 生成Data的密码形式（64位）作为DES的输出结果；如Mode为解密，则用Key去把密码形式的数据Data解密，还原为Data的明码形式（64位）作为DES的输出结果。在通信网络的两端，双方约定一致的Key，在通信的源点用Key对核心数据进行DES加密，然后以密码形式在公共通信网（如电话网）中传输到通信网络的终点，数据到达目的地后，用同样的Key对密码数据进行解密，便再现了明码形式的核心数据。这样，便保证了核心数据（如PIN、MAC等）在公共通信网中传输的安全性和可靠性。 通过定期在通信网络的源端和目的端同时改用新的Key，便能更进一步提高数据的必威体育官网网址性，这正是现在金融交易网络的流行做法。 下面的例子，介绍如何采用MD5算法将一段文字加密后发送到客户端，并显示出来。 （1）新建一个DESede类，文件名为DESede.java文件，代码如下： 21.2.2采用MD5算法加密文字 MD5的全称是Message-Digest Algorithm 5（信息-摘要算法），在90年代初由MIT Laboratory for Computer Science和RSA Data Security Inc的Ronald L. Rivest开发出来，经MD2、MD3和MD4发展而来。它的作用是让大容量信息在用数字签名软件签署私人密匙前被压缩成一种必威体育官网网址的格式（就是把一个任意长度的字节串变换成一定长的大整数）。 MD5广泛用于加密和解密技术上。比如在UNIX系统中用户的密码就是以MD5（或其它类似的算法）经加密后存储在文件系统中。当用户登录的时候，系统把用户输入的密码计算成MD5值，然后再去和保存在文件系统中的MD5值进行比较，进而确定输入的密码是否正确。通过这样的步骤，系统在并不知道用户密码的明码的情况下就可以确定用户登录系统的合法性。这不但可以避免用户的密码被具有系统管理员权限的用户知道，而且还在一定程度上增加了密码被破解的难度。 下面的例子，介绍如何采用MD5算法将一段文字加密后发送到客户端，并显示出来。 （1）新建一个md5.jsp文件，代码如下： %@ page contentType=text/html;charset=gb2312 % jsp:useBean id=md5 scope=page class=ch22.MD5_Encoding/ html headtitleJavaBean实现加密实例2/title/head body JavaBean实现加