身份驗(yàn)證機(jī)制（authentication）：確定一個用戶具有自己聲稱的那個身份
應(yīng)用程序關(guān)心用戶是否通過了驗(yàn)證而不關(guān)心是通過何種方式進(jìn)行的驗(yàn)證？？？
授權(quán)（訪問控制：authorization）：★堅(jiān)持使用來聲明所有角色
用戶信息的提供：

首選由容器提供的身份驗(yàn)證：（具有靜態(tài)特征；效率？）
a.HTTP基本身份驗(yàn)證(BASIC):usr/pwd通過Base64編碼后加入某個請求首部
b.HTTP摘要身份驗(yàn)證(DIGEST):（HTTP1.1支持）服務(wù)器端驗(yàn)證客戶端發(fā)來的MD5摘要（包括服務(wù)器端發(fā)來的含有時間戳、請求資源、服務(wù)器標(biāo)識的nonce）
c.HTTPS客戶身份驗(yàn)證(CLIENT-CERT)：要求客戶端的SSL
d.基于表單的身份驗(yàn)證(FORM)：servlet規(guī)范獨(dú)有，由servlet容器自身來實(shí)現(xiàn)，明文傳輸(具體實(shí)現(xiàn)依賴元素中 的設(shè)置)

訪問控制類型由Web應(yīng)用程序配置描述符中定義（屬于servlet規(guī)范）:/WEB-INF/web.xml
用戶信息的獲取：request對象提供方法獲得驗(yàn)證后的用戶信息（Servlet 2.2 API）

應(yīng)用程序控制的身份驗(yàn)證：（動態(tài)的驗(yàn)證模型），口令仍以明文傳送
自定義行為必須被放在應(yīng)用程序中所有受保護(hù)頁面的開始：
包括3個必需屬性：name 由驗(yàn)證頁面創(chuàng)建的Bean對象的名稱
login 找不到該對象名稱時的轉(zhuǎn)發(fā)URL
errorMsg 在轉(zhuǎn)發(fā)的URL頁面上顯示的消息
作為POST請求對象的帶有訪問控制的頁面需要對POST方法進(jìn)行驗(yàn)證：



避免用戶重新提交過期表單

使用HTTPS驗(yàn)證將使其他三種認(rèn)證失效：無論是只對服務(wù)器進(jìn)行認(rèn)證還是對客戶端和服務(wù)器端都進(jìn)行認(rèn)證，連接都是經(jīng)過加密的

對于cookie的處理：
表示cookie保存30天(30*24*3600s)
表示cookie立即失效??

轉(zhuǎn)載于:https://www.cnblogs.com/encounter/archive/2008/03/07/2189135.html

總結(jié)

以上是生活随笔為你收集整理的Java学习笔记_身份验证机制的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。