⑴ 如何創建web站點
創建Web
站點
●點擊開始菜單—〉控制面板—〉管理工具—〉Internet
服務管理器,或者在開始菜單中選擇程序—〉管理工具—〉Internet
服務管理器,出現如圖1
所示的界面。
●在管理web
站點選項上單擊右鍵,在下拉菜單中選擇新建—〉站點,出現web
站點創建向導,點擊下一步,填寫web
站點說明,如圖2所示。
●web
站點取名為binshe,點擊下一步,出現IP
地址和埠設置,設置此站點的IP
地址,埠號默認為80,如圖3。
圖1
創建Web
站點
圖2
Web
站點說明
圖3
Web
站點屬性設置
●設置Web
站點主目錄,web
文檔放在d
盤一個名為web
文件夾的目錄里,圖4
Web
站點主目錄設置
●設置Web
站點訪問許可權,設置如下圖5。
圖5
主目錄訪問許可權設置
●單擊下一步完成向導。在名為bishe
的圖標上單擊右鍵,點擊屬性選項,設置文檔選項。
如圖6。如果客戶端訪問時,沒有指定要訪問的文檔,則訪問Web
站點目錄中指定的默認文檔,默認文檔被移動至主目錄下。
●這里有兩個默認的web
文檔名,可以選擇添加來加入新的文檔名,如index.htm。注意,後綴名一定要加,否則web
伺服器不能用運行,添加後如圖7。
圖6
設置文檔選項
圖7
添加新文檔
Web
伺服器的訪問,在客戶端的瀏覽器中輸入Web
伺服器的地址,就可以在客戶端瀏覽Web
伺服器中的文件內容。
推薦閱讀:WEB伺服器配置詳解
如何配置IIS伺服器
⑵ 如何用IIS架構WEB網站
IIS5上手指南
安裝IIS5
通過「開始」→「設置」→「控制面板」→「添加/刪除程序」來安裝:點擊「添加/刪除程序」窗口中的「添加/刪除Windows組件」,系統經過一段時間的搜索之後會顯示一個Windows組件的選擇窗口,鉤選其中的「Internet信息服務(IIS)」,然後按照提示一步一步安裝即可完成。
Web服務初階
安裝好IIS之後,Web發布已經作為一個系統服務程序啟動了,下面就來看看如何創建一個簡單的Web伺服器。
1.通過「開始」→「程序」→「管理工具」→「Internet服務管理器」可以啟動「Internet信息服務」管理工具,IIS的所有設置就都在這里了。
2.在窗口左邊你的主機名上單擊滑鼠右鍵,依次選擇「新建」→「Web站點」來建立一個你自己的Web伺服器。
3.在接著出現的「Web站點創建向導」中進行「下一步」並在新出現的窗口中填入你所要創建的站點說明,本文以PCD為例。
4.在「IP地址和埠設置」窗口中選擇你的IP地址,其它埠和主機頭項嫌缺這里使用默認即可(後面會有詳述)。
5.「下一伏者者步」到「Web站點主目錄」設置窗口,其中填入本機上放置網站文件的目錄(其實區域網中也可以設置到同域的其它主機,這里不詳述),你也可以通過「瀏覽」按鈕來查找,本文以E:Pcd目錄缺薯為例。
6.接下來是設置「Web站點訪問許可權」,按照默認設置即可,同時你已基本建立了一個Web站點。下面就可以在你的主目錄中放入各忠趁嫖募??帽鶉嗽阡?榔髦惺淙肽愕腎P地址進行訪問了。
網站不是建起來就了事,豐富精彩的網頁內容才是最重要的。當然,合理的設置也是必不可少的:
1.更改用戶主目錄——站點主目錄是在創建時指定的,但你也可以後來修改。在「Internet信息服務」管理工具窗口左邊你所建立的站點名字上點擊滑鼠右鍵並選擇「屬性」(以後所有的設置都是在這里進行),在出現的「屬性」窗口中選擇「主目錄」標簽頁面,改變其中的「本地路徑」並「應用」即可。
2.更改默認文檔——默認文檔就是Web服務的起始文件。舉個例子,假設你的IP地址是202.98.123.111,你指定的主目錄是E:PCD,而此目錄中有一個文件名叫「Default.htm」,這樣,別人在瀏覽器中輸入202.98.123.111並回車時,他們打開的便是你電腦中E:PCDDefault.htm這個文件,IIS其實自動在IP地址後添加了「/Default.htm」。IIS的默認起始文檔是Default.htm及Default.asp,如果你不喜歡,可以在站點屬性的「文檔」標簽頁面中自行添加並用旁邊的箭頭把它移到最前邊。
3.配置日誌文件——日誌文件是站點被訪問的記錄,通過設置可以記錄來訪問者的各種信息,其重要性不言而喻。其默認位置是WinNTSystem32LogFiles,有關它的設置在站點屬性的「Web站點」標簽頁面,點擊旁邊的「屬性」按鈕可以進行日誌記錄間隔、日誌文件保存路徑及記錄內容等的設置。
4.更改網站目錄屬性——設想你的Web伺服器就像一個博物館,大部分頁面允許所有人訪問像是公眾都可以參觀博物館陳列室的展品。但是,你也許要鎖上某些特殊的房間,如辦公室和實驗室,不想公眾參觀這些房間;所以你也就需要設置網站各目錄的訪問許可權。滑鼠右擊你網站中需要改變屬性的目錄並選擇「屬性」,在「目錄」標簽頁中,你可以勾選各種屬性的方框來設定,一般「目錄瀏覽」最好不允許(默認是開放的,。另外,你也可以在「目錄安全性」標簽頁面中設置驗證控制及IP地址控制等。
Web服務進階
其實上面的文章完全可以讓你建立並維護一個普通的Web站點了,如果你還不滿足,並希望了解一些在同一伺服器上維護多個站點的技巧,下面的文字可以給你一些啟發
一般說來,我們可以通過三種方法實現在同一台伺服器上維護多個站點:分配埠、地址和主機頭名。因為每個Web站點都具有唯一的、由三個部分組成的標識,用來接收和響應請求:埠號、IP地址、主機頭名。通過更改其中的一個標識,就可以在一台計算機上維護多個站點。
埠號
通過使用附加埠號,只需一個IP地址即可維護多個站點。訪問者要訪問站點時,需在IP地址後面附加埠號(默認Web站點除外,它使用埠80)。描繪了使用埠號維護多個Web站點的計算機。使用此方法維護多個站點要求訪問者在埠號前鍵入實際的數字IP地址,不能使用主機名和「友好名稱」,因此對於訪問者來說比較麻煩。具體配置方法:滑鼠右擊「Internet信息服務」管理工具窗口右邊的各站點名稱並選擇「屬性」,在出現的「屬性」設置窗口中選擇「Web站點」標簽頁面,更改各站點對應的TCP埠即可。
多IP地址
要使用多IP地址,必須將主機名及其對應的IP地址添加到名稱解析系統(通常是DNS)。此後訪問者只需在瀏覽器中鍵入文本名稱即可訪問Web站點。如果使用多IP地址,則需要為每個IP地址附加一塊網卡或者為同一塊網卡綁定多個IP地址。描繪了使用多IP地址維護多個Web站點的計算機。
實際使用中你需要先設置多個IP地址,一網卡對應一IP地址相信大家都知道,而對於一網卡對應多個IP地址就需要改變網卡的TCP/IP設置:「開始」→「設置」→「網路和撥號連接」→「本地連接」→「屬性」,選擇「Internet協議(TCP/IP)」並點擊「屬性」按鈕,在出現的「Internet協議(TCP/IP)屬性」窗口中點擊「高級」按鈕,在這里就可以通過「添加」按鈕為一塊網卡設置多個IP地址。看到這里你也許對同一網卡多個IP地址的工作方式有些疑問,其實當你對外訪問的時候,使用的只有第一個IP地址(別以為多設幾個IP就能夠隱藏自己的身份),但當外面對這些IP進行訪問的時候,所設置的幾個IP地址就都可以連接到你的電腦。
對於在IIS中為各站點設置不同IP地址就非常簡單了:滑鼠右擊「Internet信息服務」管理工具窗口右邊的各站點名稱並選擇「屬性」,在出現的「屬性」設置窗口中選擇「Web站點」標簽頁面,更改各站點對應的IP地址即可。
主機頭名
最後,也可以使用具有單個靜態IP地址的主機頭名維護多個站點。與以前的方法類似,也需要將主機名添加到名稱解析系統(通常是DNS)。區別在於,一旦請求到達計算機,IIS將使用在HTTP頭中傳遞的主機名來確定客戶請求哪個站點。描繪了使用主機頭名維護多個Web站點的計算機。
實際使用中你只需要滑鼠右擊「Internet信息服務」管理工具窗口右邊的各站點名稱並選擇「屬性」,在出現的「屬性」設置窗口中選擇「Web站點」標簽頁面,點擊「高級」按鈕,在「此Web站點有多個標識」欄中添加即可。
第一步:客戶提出網站建設申請
1、客戶根據自身情況提出網站建設基本要求
2、提供相關文本及圖片資料
a.公司文字資料、公司圖片資料;
b.網站實現功能需求;
c.網站基本設計要求;
第二步:制定網站建設方案
1、雙方就網站建設內容進行協商,修改、補充,並達成共識;
2、為客戶制定《網站建設方案》;
3、雙方確定網站建設方案的具體細節及價格;
第三步:簽署協議,支付預付款
1、雙方簽訂《網站建設協議》;
2、客戶提供更為詳盡的圖片資料(如需拍照,我方可免費上門進行數碼拍攝);
第四步:客戶審核初稿,經確認後定稿
1、根據《網站建設方案》完成初稿設計;
a.首頁風格設計;
b.功能欄目設定;
c.網站架構圖;
2、客戶審核確認初稿設計;
3、我方完成整體網站製作;
第五步:網站測試、客戶網上瀏覽、驗收、支付餘款
1、客戶根據協議及內容進行驗收工作;
2、驗收合格,由客戶簽發「網站建設驗收合格確認書」;
3、客戶支付餘款;
4、我方為客戶開通協議內容服務;
第六步:網站後期維護工作
1、向客戶提供《網站維護說明書》
2、我方根據《網站建設協議》及《網站維護說明書》相關條款對客戶網站進行維護和更新。
1、域名申請
通過注冊域名,使企業在全球Internet上有唯一標識,也是社會各用戶瀏覽該企業網站的門牌號和進入標識。由域名構成的網址會像商標那樣,在互聯網上廣為流傳,好的域名有助於你將來塑造自己在網上的國際形象。而同時域名在全世界具有唯一性,域名的資源又比較有限,誰先注冊,誰就有權使用,所以你現在就應該考慮,是否要保護你在Internet上的無形資產。常見的.com為國際域名,而.com.cn則為國內域名。定義域名除了要考慮公司的性質以及信息內容的特徵外,還應該使這個名字簡潔、易記、具有沖擊力。
2、網路平台的建立
有了自己的域名這個門牌號碼後,您就需要一個空間蓋房子建立自己的公司,而這個空間在Internet上就是伺服器。通常情況下,有以下幾種方式可供企業選擇。
虛擬主機方式:所謂虛擬主機是使用特殊的軟硬體技術,把每台計算機主分成一台"虛擬"的主機,在外界看來,虛擬主機與真正的主機沒有任何區別,我們建議企業上網採用虛擬主機方式。一般虛擬主機提供商都能向用戶提供10兆、30兆、50兆直到一台伺服器的虛擬主機空間。用戶可視網站的內容設置及其發展前景來選擇。一頁網頁所佔的磁碟空間大約20-50千位元組,10兆大約可以放置200-500頁,但如果你對網站有特殊的要求,如圖片較多、動畫較多、需要文件下載或有資料庫等,就需要多一些空間(大家可以到『免費資源』去看一下,那裡有很多免費空間)。
獨立的伺服器:對於經濟實力雄厚且業務量較大的企業,也可以購置自己獨立的伺服器,但這需要很高的費用及大量的人力、物力投入,合計很高的費用及大量的人力、物力投入,合計起來是虛擬主機的數十倍之多。
3、網頁設計及維護
您可以自己設計網頁也可以通過專業網頁設計人才來製作。首先要確定整個網頁系統的整體規劃,所要介紹的內容範圍和目的,之後要收集所有需要放在網站上的文本資料、圖片等,將收集的材料提供給我們,剩下的交給我們的設計人員吧。根據公司業務范圍確定是否採用中英兩種版本,網頁設計完成後下步最重要的工作就是及時更新網頁內容,不能長時間不更換網頁,造成「曬網」現象將影響網站的訪問量。
4、網站宣傳與推廣
首先企業自身要有推廣網站的意識:在任何出現公司信息的地方都加上公司的網址,如名片、辦公用品、宣傳材料、媒體廣告等。此外網路廣告和搜索引擎登記是目前網站主要的推廣方式。您可以登陸我們韶關信息港或其它門戶站點的黃金廣告位,可以通過注冊搜索引擎將你的站點登記到全球知名的服務站中去。這樣一來,不但你的網站能夠很容易地被人找到,而且訪問者的數量也會激增。通過一些網站做友情鏈接等辦法,可以顯著地提高企業網站的知名度和訪問量。
5、開展電子商務
製作網頁的步驟一般分5步:
1、插入表格
2、輸入文字
3、插入圖片
4、插入鏈結
5、插入背景
(1)插入背景圖片
(2)插入背景音樂
..........................................................
1、插入表格
用表格把頁面上的文字、圖片等框定起來,限定各自的位置
操作方法:
點擊「插入表格」的工具圖標,出現「表格--Web頁對話框」
調整其中的行數、列數
點擊「插入」
2、輸入文字
輸入你自己設計網頁的文字內容
3、插入圖片
插入選定的圖片,起到裝飾網頁的作用
操作方法:
登陸
點擊「圖象」
在下方的方框中輸入你想要的圖片的名字(關鍵字)
選擇你想要的圖畫
對准圖畫點擊滑鼠右鍵點擊「復制」
回到HTML內容編輯器
把游標點擊到你所要放圖片的位置
對准游標點擊滑鼠右鍵點擊「粘貼」
圖片的大小可以任意調整
操作方法:
對准HTML內容編輯器中的圖片點擊(出現9個小方框在圖片的周圍)
對准上下或左右的中間的小方框(游標會變成雙箭頭)
按住滑鼠左鍵不要放手,拖動。大小合適時松開
4、插入鏈結
操作方法:
選中(按住滑鼠左鍵拖動塗黑)要進行鏈結的文字或圖片
點擊工具欄中的藍色小球(超級鏈結)
(出現超級鏈結窗口)
在第二行URL(U):輸入(你所要鏈結到哪兒去的)網址
如果你所要鏈結的網址你不知道或背不下來,那你就到那個網頁把要鏈結的網址「復制」下來,然後回到URL(U)「粘貼」過來。用這種方法「粘貼」過來後要活動游標檢查一下才能點「確定」
點擊(超級鏈結窗口中的)「確定」
點擊頁面中的空白處,就可以看到要鏈結的文字或圖片已經變成淡蘭色,下面有一條下劃線,這表明已經鏈結成功。
5、插入背景
(1)插入背景圖片
操作方法:
打開yh178的網站
點擊友情鏈接
點擊「背景圖片」
對准圖片點擊右鍵
點擊「圖片另存為」
出現「保存圖片」的窗口
第一行的「保存在(I):選擇你圖片所放的位置(建議一般選擇放在桌面,便於刪除)
文件名(N):如果想改名字,刪除原有文件名,重新輸入
點擊「保存(S)
(這樣圖片就已經存到計算機桌面上了)
回到HTML內容編輯器
點擊工具欄中的第二排倒數第二個圖標(背景圖片)
(出現插入背景圖片的窗口)
點擊「瀏覽」
出現「選擇文件」窗口
選擇你剛才存到桌面上的圖片代碼,一點擊自動出現在文件名(N)欄中
點擊「打開(O)」
自動回到「插入背景圖片」的窗口
點擊「插入」
(背景圖片會出現到你的網頁中)
最後不要忘了把你所選的背景圖片上傳到「網頁製作系統中」
(2)插入背景音樂
操作方法:
打開yh178的網站
點擊"友情鏈接"
點擊「背景音樂」
(出現歌曲列表)
試聽點擊左鍵
下載點擊右鍵
對准所選曲目點擊右鍵
點擊「目標另存為(A)...」
出現「另存為」窗口
第一行的「保存在(I):選擇你音樂所放的位置(建議一般選擇放在桌面,便於刪除)
文件名(N):如果想改名字,刪除原有文件名,重新輸入
點擊「保存(S)
(這樣音樂就已經存到計算機桌面上了)
回到HTML內容編輯器
點擊右鍵復制下面的格式:
<bgsoundsrc=".mid"loop="-1">
把復制的格式點擊右鍵粘貼到「插入Script代碼」的方框中
在格式"與.中間輸入你所選音樂的代碼即可
最後不要忘了把你所選的音樂上傳到「網頁製作系統中」
⑶ WEB 站點什麼意思
web站點就是我們平時所做的網站
web服務(web
service)是基於xml和https的一種服務,其通信協議主要基於soap,服務的描述通過wsdl,通過uddi來發現和獲得服務的元數據
⑷ Web 系統中用戶 許可權之間的關系 是一對多 還是 多對多 他們之間有聯系嗎
前言:
許可權往往是一個極其復雜的問題,但也可簡單表述為這樣的邏輯表達式:判斷「who對what(which)進行how的操作」的邏輯表達式是否為真。針對不同的應用,需要根據項目的實際情況和具體架構,在維護性、靈活性、完整性等n多個方案之間比較權衡,選擇符合的方案。
目標:
直觀,因為系統最終會由最終用戶來維護,許可權分配的直觀和容易理解,顯得比較重要,系統不辭勞苦的實現了組的繼承,除了功能的必須,更主要的就是因為它足夠直觀。
簡單,包括概念數量上的簡單和意義上的簡單還有功能上的簡單。想用一個許可權系統解決所有的許可權問題是不現實的。設計中將常常變化的「定製」特點比較強的部分判斷為業務邏輯,而將常常相同的「通用」特點比較強的部分判斷為許可權邏輯就是基於這樣的思路。
擴展,採用可繼承在擴展上的困難。的group概念在支持許可權以組方式定義的同時有效避免了重定義時
現狀:
對於在企業環境中的訪問控制方法,一般有三種:
1.自主型訪問控制方法。目前在我國的大多數的信息系統中的訪問控制模塊中基本是藉助於自主型訪問控制方法中的訪問控制列表(acls)。
2.強制型訪問控制方法。用於多層次安全級別的軍事應用。
3.基於角色的訪問控制方法(rbac)。是目前公認的解決大型企業的統一資源訪問控制的有效方法。其顯著的兩大特徵是:1.減小授權管理的復雜性,降低管理開銷。2.靈活地支持企業的安全策略,並對企業的變化有很大的伸縮性。
名詞:
粗粒度:表示類別級,即僅考慮對象的類別(the type of object),不考慮對象的某個特
定實例。比如,用戶管理中,創建、刪除,對所有的用戶都一視同仁,並不區分操作的具體對象實例。
細粒度:表示實例級,即需要考慮具體對象的實例(the instance of object),當然,細
粒度是在考慮粗粒度的對象類別之後才再考慮特定實例。比如,合同管理中,列表、刪除,需要區分該合同實例是否為當前用戶所創建。
原則:
許可權邏輯配合業務邏輯。即許可權系統以為業務邏輯提供服務為目標。相當多細粒度的許可權問題因其極其獨特而不具通用意義,它們也能被理解為是「業務邏輯」的一部分。比如,要求:「合同資源只能被它的創建者刪除,與創建者同組的用戶可以修改,所有的用戶能夠瀏覽」。這既可以認為是一個細粒度的許可權問題,也可以認為是一個業務邏輯問題。在這里它是業務邏輯問題,在整個許可權系統的架構設計之中不予過多考慮。當然,許可權系統的架構也必須要能支持這樣的控制判斷。或者說,系統提供足夠多但不是完全的控制能力。即,設計原則歸結為:「系統只提供粗粒度的許可權,細粒度的許可權被認為是業務邏輯的職責」。
需要再次強調的是,這里表述的許可權系統僅是一個「不完全」的許可權系統,即,它不提供所有關於許可權的問題的解決方法。它提供一個基礎,並解決那些具有「共性」的(或者說粗粒度的)部分。在這個基礎之上,根據「業務邏輯」的獨特許可權需求,編碼實現剩餘部分(或者說細粒度的)部分,才算完整。回到許可權的問題公式,通用的設計僅解決了who+what+how 的問題,其他的許可權問題留給業務邏輯解決。
概念:
who:許可權的擁用者或主體(principal、user、group、role、actor等等)
what:許可權針對的對象或資源(resource、class)。
how:具體的許可權(privilege, 正向授權與負向授權)。
role:是角色,擁有一定數量的許可權。
operator:操作。表明對what的how 操作。
說明:
user:與 role 相關,用戶僅僅是純粹的用戶,許可權是被分離出去了的。user是不能與 privilege 直接相關的,user 要擁有對某種資源的許可權,必須通過role去關聯。解決 who 的問題。
resource:就是系統的資源,比如部門新聞,文檔等各種可以被提供給用戶訪問的對象。資源可以反向包含自身,即樹狀結構,每一個資源節點可以與若干指定許可權類別相關可定義是否將其許可權應用於子節點。
privilege:是resource related的許可權。就是指,這個許可權是綁定在特定的資源實例上的。比如說部門新聞的發布許可權,叫做"部門新聞發布許可權"。這就表明,該privilege是一個發布許可權,而且是針對部門新聞這種資源的一種發布許可權。privilege是由creator在做開發時就確定的。許可權,包括系統定義許可權和用戶自定義許可權用戶自定義許可權之間可以指定排斥和包含關系(如:讀取,修改,管理三個許可權,管理 許可權 包含 前兩種許可權)。privilege 如"刪除" 是一個抽象的名詞,當它不與任何具體的 object 或 resource 綁定在一起時是沒有任何意義的。拿新聞發布來說,發布是一種許可權,但是只說發布它是毫無意義的。因為不知道發布可以操作的對象是什麼。只有當發布與新聞結合在一起時,才會產生真正的 privilege。這就是 privilege instance。許可權系統根據需求的不同可以延伸生很多不同的版本。
role:是粗粒度和細粒度(業務邏輯)的介面,一個基於粗粒度控制的許可權框架軟體,對外的介面應該是role,具體業務實現可以直接繼承或拓展豐富role的內容,role不是如同user或group的具體實體,它是介面概念,抽象的通稱。
group:用戶組,許可權分配的單位與載體。許可權不考慮分配給特定的用戶。組可以包括組(以實現許可權的繼承)。組可以包含用戶,組內用戶繼承組的許可權。group要實現繼承。即在創建時必須要指定該group的parent是什麼group。在粗粒度控制上,可以認為,只要某用戶直接或者間接的屬於某個group那麼它就具備這個group的所有操作許可。細粒度控制上,在業務邏輯的判斷中,user僅應關注其直接屬於的group,用來判斷是否「同組」 。group是可繼承的,對於一個分級的許可權實現,某個group通過「繼承」就已經直接獲得了其父group所擁有的所有「許可權集合」,對這個group而言,需要與許可權建立直接關聯的,僅是它比起其父group需要「擴展」的那部分許可權。子組繼承父組的所有許可權,規則來得更簡單,同時意味著管理更容易。為了更進一步實現許可權的繼承,最直接的就是在group上引入「父子關系」。
user與group是多對多的關系。即一個user可以屬於多個group之中,一個group可以包括多個user。子group與父group是多對一的關系。operator某種意義上類似於resource + privilege概念,但這里的resource僅包括resource type不表示resource instance。group 可以直接映射組織結構,role 可以直接映射組織結構中的業務角色,比較直觀,而且也足夠靈活。role對系統的貢獻實質上就是提供了一個比較粗顆粒的分配單位。
group與operator是多對多的關系。各概念的關系圖示如下:
解釋:
operator的定義包括了resource type和method概念。即,what和how的概念。之所以將what和how綁定在一起作為一個operator概念而不是分開建模再建立關聯,這是因為很多的how對於某what才有意義。比如,發布操作對新聞對象才有意義,對用戶對象則沒有意義。
how本身的意義也有所不同,具體來說,對於每一個what可以定義n種操作。比如,對於合同這類對象,可以定義創建操作、提交操作、檢查沖突操作等。可以認為,how概念對應於每一個商業方法。其中,與具體用戶身份相關的操作既可以定義在操作的業務邏輯之中,也可以定義在操作級別。比如,創建者的瀏覽視圖與普通用戶的瀏覽視圖要求內容不同。既可以在外部定義兩個操作方法,也可以在一個操作方法的內部根據具體邏輯進行處理。具體應用哪一種方式應依據實際情況進行處理。
這樣的架構,應能在易於理解和管理的情況下,滿足絕大部分粗粒度許可權控制的功能需要。但是除了粗粒度許可權,系統中必然還會包括無數對具體instance的細粒度許可權。這些問題,被留給業務邏輯來解決,這樣的考慮基於以下兩點:
一方面,細粒度的許可權判斷必須要在資源上建模許可權分配的支持信息才可能得以實現。比如,如果要求創建者和普通用戶看到不同的信息內容,那麼,資源本身應該有其創建者的信息。另一方面,細粒度的許可權常常具有相當大的業務邏輯相關性。對不同的業務邏輯,常常意味著完全不同的許可權判定原則和策略。相比之下,粗粒度的許可權更具通用性,將其實現為一個架構,更有重用價值;而將細粒度的許可權判斷實現為一個架構級別的東西就顯得繁瑣,而且不是那麼的有必要,用定製的代碼來實現就更簡潔,更靈活。
所以細粒度控制應該在底層解決,resource在實例化的時候,必需指定owner和groupprivilege在對resource進行操作時也必然會確定約束類型:究竟是ownerok還是groupok還是allok。group應和role嚴格分離user和group是多對多的關系,group只用於對用戶分類,不包含任何role的意義;role只授予user,而不是group。如果用戶需要還沒有的多種privilege的組合,必須新增role。privilege必須能夠訪問resource,同時帶user參數,這樣許可權控制就完備了。
思想:
許可權系統的核心由以下三部分構成:1.創造許可權,2.分配許可權,3.使用許可權,然後,系統各部分的主要參與者對照如下:1.創造許可權 - creator創造,2.分配許可權 - administrator 分配,3.使用許可權 - user:
1. creator 創造 privilege, creator 在設計和實現系統時會劃分,一個子系統或稱為模塊,應該有哪些許可權。這里完成的是 privilege 與 resource 的對象聲明,並沒有真正將 privilege 與具體resource 實例聯系在一起,形成operator。
2. administrator 指定 privilege 與 resource instance 的關聯。在這一步, 許可權真正與資源實例聯繫到了一起, 產生了operator(privilege instance)。administrator利用operator這個基本元素,來創造他理想中的許可權模型。如,創建角色,創建用戶組,給用戶組分配用戶,將用戶組與角色關聯等等...這些操作都是由 administrator 來完成的。
3. user 使用 administrator 分配給的許可權去使用各個子系統。administrator 是用戶,在他的心目中有一個比較適合他管理和維護的許可權模型。於是,程序員只要回答一個問題,就是什麼許可權可以訪問什麼資源,也就是前面說的 operator。程序員提供 operator 就意味著給系統穿上了盔甲。administrator 就可以按照他的意願來建立他所希望的許可權框架可以自行增加,刪除,管理resource和privilege之間關系。可以自行設定用戶user和角色role的對應關系。(如果將 creator看作是 basic 的發明者, administrator 就是 basic 的使用者,他可以做一些腳本式的編程) operator是這個系統中最關鍵的部分,它是一個紐帶,一個系在programmer,administrator,user之間的紐帶。
用一個功能模塊來舉例子。
一.建立角色功能並做分配:
1.如果現在要做一個員工管理的模塊(即resources),這個模塊有三個功能,分別是:增加,修改,刪除。給這三個功能各自分配一個id,這個id叫做功能代號:
emp_addemp,emp_deleteemp,emp_updateemp。
2.建立一個角色(role),把上面的功能代碼加到這個角色擁有的許可權中,並保存到資料庫中。角色包括系統管理員,測試人員等。
3.建立一個員工的賬號,並把一種或幾種角色賦給這個員工。比如說這個員工既可以是公司管理人員,也可以是測試人員等。這樣他登錄到系統中將會只看到他擁有許可權的那些模塊。
二.把身份信息加到session中。
登錄時,先到資料庫中查找是否存在這個員工,如果存在,再根據員工的sn查找員工的許可權信息,把員工所有的許可權信息都入到一個hashmap中,比如就把上面的emp_addemp等放到這個hashmap中。然後把hashmap保存在一個userinfobean中。最後把這個userinfobean放到session中,這樣在整個程序的運行過程中,系統隨時都可以取得這個用戶的身份信息。
三.根據用戶的許可權做出不同的顯示。
可以對比當前員工的許可權和給這個菜單分配的「功能id」判斷當前用戶是否有打開這個菜單的許可權。例如:如果保存員工許可權的hashmap中沒有這三個id的任何一個,那這個菜單就不會顯示,如果員工的hashmap中有任何一個id,那這個菜單都會顯示。
對於一個新聞系統(resouce),假設它有這樣的功能(privilege):查看,發布,刪除,修改;假設對於刪除,有"新聞系統管理者只能刪除一月前發布的,而超級管理員可刪除所有的這樣的限制,這屬於業務邏輯(business logic),而不屬於用戶許可權范圍。也就是說許可權負責有沒有刪除的permission,至於能刪除哪些內容應該根據userrole or usergroup來決定(當然給userrole or usergroup分配許可權時就應該包含上面兩條業務邏輯)。
一個用戶可以擁有多種角色,但同一時刻用戶只能用一種角色進入系統。角色的劃分方法可以根據實際情況劃分,按部門或機構進行劃分的,至於角色擁有多少許可權,這就看系統管理員賦給他多少的許可權了。用戶—角色—許可權的關鍵是角色。用戶登錄時是以用戶和角色兩種屬性進行登錄的(因為一個用戶可以擁有多種角色,但同一時刻只能扮演一種角色),根據角色得到用戶的許可權,登錄後進行初始化。這其中的技巧是同一時刻某一用戶只能用一種角色進行登錄。
針對不同的「角色」動態的建立不同的組,每個項目建立一個單獨的group,對於新的項目,建立新的 group 即可。在許可權判斷部分,應在商業方法上予以控制。比如:不同用戶的「操作能力」是不同的(粗粒度的控制應能滿足要求),不同用戶的「可視區域」是不同的(體現在對被操作的對象的許可權數據,是否允許當前用戶訪問,這需要對業務數據建模的時候考慮許可權控制需要)。
擴展性:
有了用戶/許可權管理的基本框架,who(user/group)的概念是不會經常需要擴展的。變化的可能是系統中引入新的 what (新的resource類型)或者新的how(新的操作方式)。那在三個基本概念中,僅在permission上進行擴展是不夠的。這樣的設計中permission實質上解決了how 的問題,即表示了「怎樣」的操作。那麼這個「怎樣」是在哪一個層次上的定義呢?將permission定義在「商業方法」級別比較合適。比如,發布、購買、取消。每一個商業方法可以意味著用戶進行的一個「動作」。定義在商業邏輯的層次上,一方面保證了數據訪問代碼的「純潔性」,另一方面在功能上也是「足夠」的。也就是說,對更低層次,能自由的訪問數據,對更高層次,也能比較精細的控制許可權。
確定了permission定義的合適層次,更進一步,能夠發現permission實際上還隱含了what的概念。也就是說,對於what的how操作才會是一個完整的operator。比如,「發布」操作,隱含了「信息」的「發布」概念,而對於「商品」而言發布操作是沒有意義的。同樣的,「購買」操作,隱含了「商品」的「購買」概念。這里的綁定還體現在大量通用的同名的操作上,比如,需要區分「商品的刪除」與「信息的刪除」這兩個同名為「刪除」的不同操作。
提供許可權系統的擴展能力是在operator (resource + permission)的概念上進行擴展。proxy 模式是一個非常合適的實現方式。實現大致如下:在業務邏輯層(ejb session facade [stateful sessionbean]中),取得該商業方法的methodname,再根據classname和 methodname 檢索operator 數據,然後依據這個operator信息和stateful中保存的user信息判斷當前用戶是否具備該方法的操作許可權。
應用在 ejb 模式下,可以定義一個很明確的 business層次,而一個business 可能意味著不同的視圖,當多個視圖都對應於一個業務邏輯的時候,比如,swing client以及 jsp client 訪問的是同一個 ejb 實現的 business。在 business 層上應用許可權較能提供集中的控制能力。實際上,如果許可權系統提供了查詢能力,那麼會發現,在視圖層次已經可以不去理解許可權,它只需要根據查詢結果控制界面就可以了。
靈活性:
group和role,只是一種輔助實現的手段,不是必需的。如果系統的role很多,逐個授權違背了「簡單,方便」的目的,那就引入group,將許可權相同的role組成一個group進行集中授權。role也一樣,是某一類operator的集合,是為了簡化針對多個operator的操作。
role把具體的用戶和組從許可權中解放出來。一個用戶可以承擔不同的角色,從而實現授權的靈活性。當然,group也可以實現類似的功能。但實際業務中,group劃分多以行政組織結構或業務功能劃分;如果為了許可權管理強行將一個用戶加入不同的組,會導致管理的復雜性。
domain的應用。為了授權更靈活,可以將where或者scope抽象出來,稱之為domain,真正的授權是在domain的范圍內進行,具體的resource將分屬於不同的domain。比如:一個新聞機構有國內與國外兩大分支,兩大分支內又都有不同的資源(體育類、生活類、時事政治類)。假如所有國內新聞的許可權規則都是一樣的,所有國外新聞的許可權規則也相同。則可以建立兩個域,分別授權,然後只要將各類新聞與不同的域關聯,受域上的許可權控制,從而使之簡化。
許可權系統還應該考慮將功能性的授權與資源性的授權分開。很多系統都只有對系統中的數據(資源)的維護有許可權控制,但沒有對系統功能的許可權控制。
許可權系統最好是可以分層管理而不是集中管理。大多客戶希望不同的部門能且僅能管理其部門內部的事務,而不是什麼都需要一個集中的administrator或administrators組來管理。雖然你可以將不同部門的人都加入administrators組,但他們的許可權過大,可以管理整個系統資源而不是該部門資源。
正向授權與負向授權:正向授權在開始時假定主體沒有任何許可權,然後根據需要授予許可權,適合於許可權要求嚴格的系統。負向授權在開始時假定主體有所有許可權,然後將某些特殊許可權收回。
許可權計算策略:系統中user,group,role都可以授權,許可權可以有正負向之分,在計算用戶的凈許可權時定義一套策略。
系統中應該有一個集中管理許可權的accessservice,負責許可權的維護(業務管理員、安全管理模塊)與使用(最終用戶、各功能模塊),該accessservice在實現時要同時考慮一般許可權與特殊許可權。雖然在具體實現上可以有很多,比如用proxy模式,但應該使這些proxy依賴於accessservice。各模塊功能中調用accessservice來檢查是否有相應的許可權。所以說,許可權管理不是安全管理模塊自己一個人的事情,而是與系統各功能模塊都有關系。每個功能模塊的開發人員都應該熟悉安全管理模塊,當然,也要從業務上熟悉本模塊的安全規則。
技術實現:
1.表單式認證,這是常用的,但用戶到達一個不被授權訪問的資源時,web容器就發
出一個html頁面,要求輸入用戶名和密碼。
2.一個基於servlet sign in/sign out來集中處理所有的request,缺點是必須由應用程序自己來處理。
3.用filter防止用戶訪問一些未被授權的資源,filter會截取所有request/response,
然後放置一個驗證通過的標識在用戶的session中,然後filter每次依靠這個標識來決定是否放行response。
這個模式分為:
gatekeeper :採取filter或統一servlet的方式。
authenticator: 在web中使用jaas自己來實現。
用戶資格存儲ldap或資料庫:
1. gatekeeper攔截檢查每個到達受保護的資源。首先檢查這個用戶是否有已經創建
好的login session,如果沒有,gatekeeper 檢查是否有一個全局的和authenticator相關的session?
2. 如果沒有全局的session,這個用戶被導向到authenticator的sign-on 頁面,
要求提供用戶名和密碼。
3. authenticator接受用戶名和密碼,通過用戶的資格系統驗證用戶。
4. 如果驗證成功,authenticator將創建一個全局login session,並且導向gatekeeper
來為這個用戶在他的web應用中創建一個login session。
5. authenticator和gatekeepers聯合分享cookie,或者使用tokens在query字元里
⑸ 什麼是web站點基本組成要素有哪些
一、什麼是web站點
WWW(World Wide Web)簡稱3W,也稱萬維網,也叫做Web系統。是以超文本標注語言HTML(Hyper Text Markup Language)與超文本傳輸協議HTTP(Hyper Text Transfer Protocol)為基礎,能夠提供面向Internet服務的、一致的用戶界面的信息瀏覽系統。
WWW它是目前 Internet上最方便最受用戶歡迎的信息服務類型,它的影響已遠遠超出了專業技術范疇,並且已經進入廣告、新聞、銷售、電子商務與信息服務等各個行業。
二、 Web的特點:
1、Web是圖形化的和易於導航的(navigate)
Web 非常流行的一個很重要的原因就在於它可以在一頁上同時顯示色彩豐富的圖形和文本的性能。在Web之前Internet上的信息只有文本形式。Web可以提供將圖形、音頻、視頻信息集合於一體的特性。同時,Web是非常易於導航的,只需要從一個連接跳到另一個連接,就可以在各頁各站點之間進行瀏覽了。
2、Web與平台無關
無論你的系統平台是什麼,你都可以通過Internet訪問WWW。瀏覽WWW對你的系統平台沒有什麼限制。無論從Windows平台、UNIX平台、Macintosh還是別的什麼平台我們都可以訪問WWW。
3、Web是分布式的
大量的圖形、音頻和視頻信息會佔用相當大的磁碟空間,我們甚至無法預知信息的多少。對於Web沒有必要把所有信息都放在一起,信息可以放在不同的站點上。
4、Web 是動態的
由於各Web站點的信息包含站點本身的信息,信息的提供者可以經常對站上的信息進行更新。如某個協議的發展狀況,公司的廣告等等。一般各信息站點都盡量保證信息的時間性。所以Web站點上的信息是動態的。經常更新的。這一點是由信息的提供者保證的。
5、Web是交互的。
Web的交互性首先表現在它的超連接上,用戶的瀏覽順序和所到站點完全由他自己決定。另外通過FORM的形式可以從伺服器方獲得動態的信息。用戶通過填寫FORM可以向伺服器提交請求,伺服器可以根據用戶的請求返回相應信息。
⑹ 使用瀏覽器訪問internet上的web站點時看到的第一個畫
題主是否想詢問「使用瀏覽器訪問internet上的web站點時看到的第一個畫叫什麼胡銷」?主頁。櫻做兄主頁(homepage),也被脊襲稱為首頁,是用戶打開瀏覽器時默認打開的網頁,主要包含個人主頁、網站網頁、組織或活動主頁、公司主頁等。
⑺ 怎樣在區域網中組建自己的Web站點
1、首先下載IIS6.0,下載完成後在【控制面板】里打開【添加刪除程序】,點擊左側的【添猛洞加刪除組件】,在彈出的界面中,選擇Internet信息服務,點擊【下一步】安裝IIS。
2、打開Dreamweaver,點擊新建HTML文件。簡緩
3、在打開的界面中,先建立站點,在菜單欄中,點擊【站點】、【新建站點】。
4、在彈出的窗口中,為自己的站點命名為「我的區域網站」,在站點HTTP地址中輸入Http:自己電腦的IP/站點所在文件夾:我的區域網站/,點擊【下一步】。
5、接下來的幾步設置中,一下沒有圖片說明的是枝咐枯不需要做更改的,直接點擊下一步,最後點擊完成,設置好站點即可,這樣區域網站點就建好了。
⑻ 什麼是最小許可權原則
最小許可權原則是要求計算環境中的特定抽象層的每個模塊如 進程、用戶或者計算機程序只能訪問當下所必需的信息或者資敏凳源。
賦予每一敏拿老個合法動作最小的許可權,就是為了保護數據以橋升及功能避免受到錯誤或者惡意行為的破壞。
最小許可權原則也稱為最少許可權原則。
⑼ WEB站點是什麼意思
web本意是蜘蛛網和網的意思,在網頁設計中我們稱為網頁的意思。現廣泛譯作網路、互聯網等技術領域。表現為三種形式,即超文本(hypertext)、超媒體(hypermedia)、超文本傳輸協議(HTTP)等。
Web站點就是以超文本等協議編寫的網站。
⑽ 利用IIS建立的Web站點的4級訪問控制為【 】、用戶驗證、WEB訪問許可權和NTFS許可權
利用IIS建立的Web站點的4級訪問控制為【IP地址限制 】、用戶驗證、WEB訪問許可權和NTFS許可權