Web开发框架中的架构模式比较（五）

用户身份确认Authentication 和授权Authorization

当web用户访问web服务器上的受到保护的资源时，通常要经过两个步骤。（从.Net框架文档摘录）

1．用户身份确认Authentication

确保用户不是假冒的。应用程序获取用户的凭据（各种形式的标识，如用户名和密码）并通过某些授权机构验证那些凭据。如果这些凭据有效，则提交这些凭据的实体被视为经过身份验证的标识。

2．授权Authorization

通过对已验证身份授予或拒绝特定权限来限制访问权限。

<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

ASP.Net和java web框架的资源保护策略都遵循这样的模型：对应于被保护的资源，定义一组角色，用户，和允许的操作。操作在java web框架中称为http-method，在ASP.Net中称为Verb，都表示HTTP GET，HTTP POST等HTTP方法。

根据servlet2.4规范，java web框架的网页的login form应该按照下例书写。注意，form的action属性的值应该为j_security_check。

<form method=”POST” action=”j_security_check”>

<input type=”text” name=”j_username”>

<input type=”password” name=”j_password”>

</form>

ASP.Net的服务器端配置文件web.config例子。（节录）

下面的例子从.Net框架文档中摘录出来。

<authentication mode="forms">

<forms forms="401kApp"

loginurl="/login.aspx"

decryptionkey="1!#$$*13^">

<credentials passwordFormat=SHA1>

<user name="Kim" password="9611E4F94EC4972D5A537EA28C69F89AD28E5B36"/>

<user name="John" password="BA7157A99DFE9DD70A94D89844A4B4993B10168F"/>

</credentials>

</forms>

</authentication>

…

<authorization>

 <allow users="John" />

 <deny users="*" />

</authorization>

…

<authorization>

 <allow verb="GET" users="*" />

 <allow verb="POST" users="Kim" />

 <deny verb="POST" users="*" /> 

</authorization>

…

Java web 框架的服务器端配置文件web.xml例子。

下例从servlet2.4规范中摘录。其中的< security-role >和< security-constraint >部分中定义了受保护资源对应的角色，用户，和允许的操作。

<?xml version="1.0" encoding="ISO-8859-1"?>

<web-app xmlns="http://java.sun.com/xml/ns/j2ee"

xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee http://

java.sun.com/xml/ns/j2ee/web-app_2_4.xsd" version=”2.4”>

<display-name>A Secure Application</display-name>

<servlet>

<servlet-name>catalog</servlet-name>

<servlet-class>com.mycorp.CatalogServlet

</servlet-class>

<init-param>

<param-name>catalog</param-name>

<param-value>Spring</param-value>

</init-param>

<security-role-ref>

<role-name>MGR</role-name>

<!-- role name used in code -->

<role-link>manager</role-link>

</security-role-ref>

</servlet>

<security-role>

<role-name>manager</role-name>

</security-role>

<servlet-mapping>

<servlet-name>catalog</servlet-name>

<url-pattern>/catalog/*</url-pattern>

</servlet-mapping>

<security-constraint>

<web-resource-collection>

<web-resource-name>SalesInfo

</web-resource-name>

<url-pattern>/salesinfo/*</url-pattern>

<http-method>GET</http-method>

<http-method>POST</http-method>

</web-resource-collection>

<auth-constraint>

<role-name>manager</role-name>

</auth-constraint>

<user-data-constraint>

<transport-guarantee>CONFIDENTIAL

</transport-guarantee>

</user-data-constraint>

</security-constraint>

</web-app>

SOAP Web Service

.Net框架和Apache Axis项目都提供了Web Service的SOAP实现。采用的基本模式如下。

通过XML序列化实现SOAP XML数据到应用程序对象的绑定；XML序列化（和反序列化）发生在服务端和客户段；XML数据和应用程序对象Object的映射规则为，Object映射为一个XML元素，Object的“属性”（property）成员映射为该XML元素的子元素。

Java和C# 都支持Reflection机制，能够在运行时判断Object的类型。但有些细微的差别：Java对象的“属性”（property）并不是一种类型，而是一种符合getXXX，setXXX形式的约定；C#对象的“属性”（property）是在类内部声明的一种类型；还有，C#支持Attribute，比如，[SoapElement]、[XmlElement]、[WebMethod]、[SoapRpcMethod]等属性。所以，C#对象的XML序列化定义更加严格一些。

另外，两种语言的集合类也有差别，对于某些特殊的集合类，如hashtable，会有不兼容的情况，所以，最好发送数组类型，以保证不同语言开发的SOAP Web Service能够相互使用。

SOAP支持几种数组类型，其中有两种数组类型 —— 多维数组和复合数组，这里说明一下。多维数组是指如 3 * 4 之类的3行4列的整齐数组，C# 语言支持这种多维数组，java语言不支持这种多维数组；复合数组是指数组的数组，即数组的元素也可以是属组，C# 语言和java语言都支持这种复合数组。不过，复合数组也可以用来表示多维数组，比如复合数组的元素个数为3，元素类型为大小为4的数组，就可以用来表示3 * 4 之类的3行4列的整齐数组。