⑴ 如何创建web站点
创建Web
站点
●点击开始菜单—〉控制面板—〉管理工具—〉Internet
服务管理器,或者在开始菜单中选择程序—〉管理工具—〉Internet
服务管理器,出现如图1
所示的界面。
●在管理web
站点选项上单击右键,在下拉菜单中选择新建—〉站点,出现web
站点创建向导,点击下一步,填写web
站点说明,如图2所示。
●web
站点取名为binshe,点击下一步,出现IP
地址和端口设置,设置此站点的IP
地址,端口号默认为80,如图3。
图1
创建Web
站点
图2
Web
站点说明
图3
Web
站点属性设置
●设置Web
站点主目录,web
文档放在d
盘一个名为web
文件夹的目录里,图4
Web
站点主目录设置
●设置Web
站点访问权限,设置如下图5。
图5
主目录访问权限设置
●单击下一步完成向导。在名为bishe
的图标上单击右键,点击属性选项,设置文档选项。
如图6。如果客户端访问时,没有指定要访问的文档,则访问Web
站点目录中指定的默认文档,默认文档被移动至主目录下。
●这里有两个默认的web
文档名,可以选择添加来加入新的文档名,如index.htm。注意,后缀名一定要加,否则web
服务器不能用运行,添加后如图7。
图6
设置文档选项
图7
添加新文档
Web
服务器的访问,在客户端的浏览器中输入Web
服务器的地址,就可以在客户端浏览Web
服务器中的文件内容。
推荐阅读:WEB服务器配置详解
如何配置IIS服务器
⑵ 如何用IIS架构WEB网站
IIS5上手指南
安装IIS5
通过“开始”→“设置”→“控制面板”→“添加/删除程序”来安装:点击“添加/删除程序”窗口中的“添加/删除Windows组件”,系统经过一段时间的搜索之后会显示一个Windows组件的选择窗口,钩选其中的“Internet信息服务(IIS)”,然后按照提示一步一步安装即可完成。
Web服务初阶
安装好IIS之后,Web发布已经作为一个系统服务程序启动了,下面就来看看如何创建一个简单的Web服务器。
1.通过“开始”→“程序”→“管理工具”→“Internet服务管理器”可以启动“Internet信息服务”管理工具,IIS的所有设置就都在这里了。
2.在窗口左边你的主机名上单击鼠标右键,依次选择“新建”→“Web站点”来建立一个你自己的Web服务器。
3.在接着出现的“Web站点创建向导”中进行“下一步”并在新出现的窗口中填入你所要创建的站点说明,本文以PCD为例。
4.在“IP地址和端口设置”窗口中选择你的IP地址,其它端口和主机头项嫌缺这里使用默认即可(后面会有详述)。
5.“下一伏者者步”到“Web站点主目录”设置窗口,其中填入本机上放置网站文件的目录(其实局域网中也可以设置到同域的其它主机,这里不详述),你也可以通过“浏览”按钮来查找,本文以E:Pcd目录缺薯为例。
6.接下来是设置“Web站点访问权限”,按照默认设置即可,同时你已基本建立了一个Web站点。下面就可以在你的主目录中放入各忠趁嫖募??帽鹑嗽阡?榔髦惺淙肽愕肾P地址进行访问了。
网站不是建起来就了事,丰富精彩的网页内容才是最重要的。当然,合理的设置也是必不可少的:
1.更改用户主目录——站点主目录是在创建时指定的,但你也可以后来修改。在“Internet信息服务”管理工具窗口左边你所建立的站点名字上点击鼠标右键并选择“属性”(以后所有的设置都是在这里进行),在出现的“属性”窗口中选择“主目录”标签页面,改变其中的“本地路径”并“应用”即可。
2.更改默认文档——默认文档就是Web服务的起始文件。举个例子,假设你的IP地址是202.98.123.111,你指定的主目录是E:PCD,而此目录中有一个文件名叫“Default.htm”,这样,别人在浏览器中输入202.98.123.111并回车时,他们打开的便是你电脑中E:PCDDefault.htm这个文件,IIS其实自动在IP地址后添加了“/Default.htm”。IIS的默认起始文档是Default.htm及Default.asp,如果你不喜欢,可以在站点属性的“文档”标签页面中自行添加并用旁边的箭头把它移到最前边。
3.配置日志文件——日志文件是站点被访问的记录,通过设置可以记录来访问者的各种信息,其重要性不言而喻。其默认位置是WinNTSystem32LogFiles,有关它的设置在站点属性的“Web站点”标签页面,点击旁边的“属性”按钮可以进行日志记录间隔、日志文件保存路径及记录内容等的设置。
4.更改网站目录属性——设想你的Web服务器就像一个博物馆,大部分页面允许所有人访问像是公众都可以参观博物馆陈列室的展品。但是,你也许要锁上某些特殊的房间,如办公室和实验室,不想公众参观这些房间;所以你也就需要设置网站各目录的访问权限。鼠标右击你网站中需要改变属性的目录并选择“属性”,在“目录”标签页中,你可以勾选各种属性的方框来设定,一般“目录浏览”最好不允许(默认是开放的,。另外,你也可以在“目录安全性”标签页面中设置验证控制及IP地址控制等。
Web服务进阶
其实上面的文章完全可以让你建立并维护一个普通的Web站点了,如果你还不满足,并希望了解一些在同一服务器上维护多个站点的技巧,下面的文字可以给你一些启发
一般说来,我们可以通过三种方法实现在同一台服务器上维护多个站点:分配端口、地址和主机头名。因为每个Web站点都具有唯一的、由三个部分组成的标识,用来接收和响应请求:端口号、IP地址、主机头名。通过更改其中的一个标识,就可以在一台计算机上维护多个站点。
端口号
通过使用附加端口号,只需一个IP地址即可维护多个站点。访问者要访问站点时,需在IP地址后面附加端口号(默认Web站点除外,它使用端口80)。描绘了使用端口号维护多个Web站点的计算机。使用此方法维护多个站点要求访问者在端口号前键入实际的数字IP地址,不能使用主机名和“友好名称”,因此对于访问者来说比较麻烦。具体配置方法:鼠标右击“Internet信息服务”管理工具窗口右边的各站点名称并选择“属性”,在出现的“属性”设置窗口中选择“Web站点”标签页面,更改各站点对应的TCP端口即可。
多IP地址
要使用多IP地址,必须将主机名及其对应的IP地址添加到名称解析系统(通常是DNS)。此后访问者只需在浏览器中键入文本名称即可访问Web站点。如果使用多IP地址,则需要为每个IP地址附加一块网卡或者为同一块网卡绑定多个IP地址。描绘了使用多IP地址维护多个Web站点的计算机。
实际使用中你需要先设置多个IP地址,一网卡对应一IP地址相信大家都知道,而对于一网卡对应多个IP地址就需要改变网卡的TCP/IP设置:“开始”→“设置”→“网络和拨号连接”→“本地连接”→“属性”,选择“Internet协议(TCP/IP)”并点击“属性”按钮,在出现的“Internet协议(TCP/IP)属性”窗口中点击“高级”按钮,在这里就可以通过“添加”按钮为一块网卡设置多个IP地址。看到这里你也许对同一网卡多个IP地址的工作方式有些疑问,其实当你对外访问的时候,使用的只有第一个IP地址(别以为多设几个IP就能够隐藏自己的身份),但当外面对这些IP进行访问的时候,所设置的几个IP地址就都可以连接到你的电脑。
对于在IIS中为各站点设置不同IP地址就非常简单了:鼠标右击“Internet信息服务”管理工具窗口右边的各站点名称并选择“属性”,在出现的“属性”设置窗口中选择“Web站点”标签页面,更改各站点对应的IP地址即可。
主机头名
最后,也可以使用具有单个静态IP地址的主机头名维护多个站点。与以前的方法类似,也需要将主机名添加到名称解析系统(通常是DNS)。区别在于,一旦请求到达计算机,IIS将使用在HTTP头中传递的主机名来确定客户请求哪个站点。描绘了使用主机头名维护多个Web站点的计算机。
实际使用中你只需要鼠标右击“Internet信息服务”管理工具窗口右边的各站点名称并选择“属性”,在出现的“属性”设置窗口中选择“Web站点”标签页面,点击“高级”按钮,在“此Web站点有多个标识”栏中添加即可。
第一步:客户提出网站建设申请
1、客户根据自身情况提出网站建设基本要求
2、提供相关文本及图片资料
a.公司文字资料、公司图片资料;
b.网站实现功能需求;
c.网站基本设计要求;
第二步:制定网站建设方案
1、双方就网站建设内容进行协商,修改、补充,并达成共识;
2、为客户制定《网站建设方案》;
3、双方确定网站建设方案的具体细节及价格;
第三步:签署协议,支付预付款
1、双方签订《网站建设协议》;
2、客户提供更为详尽的图片资料(如需拍照,我方可免费上门进行数码拍摄);
第四步:客户审核初稿,经确认后定稿
1、根据《网站建设方案》完成初稿设计;
a.首页风格设计;
b.功能栏目设定;
c.网站架构图;
2、客户审核确认初稿设计;
3、我方完成整体网站制作;
第五步:网站测试、客户网上浏览、验收、支付余款
1、客户根据协议及内容进行验收工作;
2、验收合格,由客户签发“网站建设验收合格确认书”;
3、客户支付余款;
4、我方为客户开通协议内容服务;
第六步:网站后期维护工作
1、向客户提供《网站维护说明书》
2、我方根据《网站建设协议》及《网站维护说明书》相关条款对客户网站进行维护和更新。
1、域名申请
通过注册域名,使企业在全球Internet上有唯一标识,也是社会各用户浏览该企业网站的门牌号和进入标识。由域名构成的网址会像商标那样,在互联网上广为流传,好的域名有助于你将来塑造自己在网上的国际形象。而同时域名在全世界具有唯一性,域名的资源又比较有限,谁先注册,谁就有权使用,所以你现在就应该考虑,是否要保护你在Internet上的无形资产。常见的.com为国际域名,而.com.cn则为国内域名。定义域名除了要考虑公司的性质以及信息内容的特征外,还应该使这个名字简洁、易记、具有冲击力。
2、网络平台的建立
有了自己的域名这个门牌号码后,您就需要一个空间盖房子建立自己的公司,而这个空间在Internet上就是服务器。通常情况下,有以下几种方式可供企业选择。
虚拟主机方式:所谓虚拟主机是使用特殊的软硬件技术,把每台计算机主分成一台"虚拟"的主机,在外界看来,虚拟主机与真正的主机没有任何区别,我们建议企业上网采用虚拟主机方式。一般虚拟主机提供商都能向用户提供10兆、30兆、50兆直到一台服务器的虚拟主机空间。用户可视网站的内容设置及其发展前景来选择。一页网页所占的磁盘空间大约20-50千字节,10兆大约可以放置200-500页,但如果你对网站有特殊的要求,如图片较多、动画较多、需要文件下载或有数据库等,就需要多一些空间(大家可以到‘免费资源’去看一下,那里有很多免费空间)。
独立的服务器:对于经济实力雄厚且业务量较大的企业,也可以购置自己独立的服务器,但这需要很高的费用及大量的人力、物力投入,合计很高的费用及大量的人力、物力投入,合计起来是虚拟主机的数十倍之多。
3、网页设计及维护
您可以自己设计网页也可以通过专业网页设计人才来制作。首先要确定整个网页系统的整体规划,所要介绍的内容范围和目的,之后要收集所有需要放在网站上的文本资料、图片等,将收集的材料提供给我们,剩下的交给我们的设计人员吧。根据公司业务范围确定是否采用中英两种版本,网页设计完成后下步最重要的工作就是及时更新网页内容,不能长时间不更换网页,造成“晒网”现象将影响网站的访问量。
4、网站宣传与推广
首先企业自身要有推广网站的意识:在任何出现公司信息的地方都加上公司的网址,如名片、办公用品、宣传材料、媒体广告等。此外网络广告和搜索引擎登记是目前网站主要的推广方式。您可以登陆我们韶关信息港或其它门户站点的黄金广告位,可以通过注册搜索引擎将你的站点登记到全球知名的服务站中去。这样一来,不但你的网站能够很容易地被人找到,而且访问者的数量也会激增。通过一些网站做友情链接等办法,可以显着地提高企业网站的知名度和访问量。
5、开展电子商务
制作网页的步骤一般分5步:
1、插入表格
2、输入文字
3、插入图片
4、插入链结
5、插入背景
(1)插入背景图片
(2)插入背景音乐
..........................................................
1、插入表格
用表格把页面上的文字、图片等框定起来,限定各自的位置
操作方法:
点击“插入表格”的工具图标,出现“表格--Web页对话框”
调整其中的行数、列数
点击“插入”
2、输入文字
输入你自己设计网页的文字内容
3、插入图片
插入选定的图片,起到装饰网页的作用
操作方法:
登陆
点击“图象”
在下方的方框中输入你想要的图片的名字(关键字)
选择你想要的图画
对准图画点击鼠标右键点击“复制”
回到HTML内容编辑器
把光标点击到你所要放图片的位置
对准光标点击鼠标右键点击“粘贴”
图片的大小可以任意调整
操作方法:
对准HTML内容编辑器中的图片点击(出现9个小方框在图片的周围)
对准上下或左右的中间的小方框(光标会变成双箭头)
按住鼠标左键不要放手,拖动。大小合适时松开
4、插入链结
操作方法:
选中(按住鼠标左键拖动涂黑)要进行链结的文字或图片
点击工具栏中的蓝色小球(超级链结)
(出现超级链结窗口)
在第二行URL(U):输入(你所要链结到哪儿去的)网址
如果你所要链结的网址你不知道或背不下来,那你就到那个网页把要链结的网址“复制”下来,然后回到URL(U)“粘贴”过来。用这种方法“粘贴”过来后要活动光标检查一下才能点“确定”
点击(超级链结窗口中的)“确定”
点击页面中的空白处,就可以看到要链结的文字或图片已经变成淡兰色,下面有一条下划线,这表明已经链结成功。
5、插入背景
(1)插入背景图片
操作方法:
打开yh178的网站
点击友情链接
点击“背景图片”
对准图片点击右键
点击“图片另存为”
出现“保存图片”的窗口
第一行的“保存在(I):选择你图片所放的位置(建议一般选择放在桌面,便于删除)
文件名(N):如果想改名字,删除原有文件名,重新输入
点击“保存(S)
(这样图片就已经存到计算机桌面上了)
回到HTML内容编辑器
点击工具栏中的第二排倒数第二个图标(背景图片)
(出现插入背景图片的窗口)
点击“浏览”
出现“选择文件”窗口
选择你刚才存到桌面上的图片代码,一点击自动出现在文件名(N)栏中
点击“打开(O)”
自动回到“插入背景图片”的窗口
点击“插入”
(背景图片会出现到你的网页中)
最后不要忘了把你所选的背景图片上传到“网页制作系统中”
(2)插入背景音乐
操作方法:
打开yh178的网站
点击"友情链接"
点击“背景音乐”
(出现歌曲列表)
试听点击左键
下载点击右键
对准所选曲目点击右键
点击“目标另存为(A)...”
出现“另存为”窗口
第一行的“保存在(I):选择你音乐所放的位置(建议一般选择放在桌面,便于删除)
文件名(N):如果想改名字,删除原有文件名,重新输入
点击“保存(S)
(这样音乐就已经存到计算机桌面上了)
回到HTML内容编辑器
点击右键复制下面的格式:
<bgsoundsrc=".mid"loop="-1">
把复制的格式点击右键粘贴到“插入Script代码”的方框中
在格式"与.中间输入你所选音乐的代码即可
最后不要忘了把你所选的音乐上传到“网页制作系统中”
⑶ WEB 站点什么意思
web站点就是我们平时所做的网站
web服务(web
service)是基于xml和https的一种服务,其通信协议主要基于soap,服务的描述通过wsdl,通过uddi来发现和获得服务的元数据
⑷ Web 系统中用户 权限之间的关系 是一对多 还是 多对多 他们之间有联系吗
前言:
权限往往是一个极其复杂的问题,但也可简单表述为这样的逻辑表达式:判断“who对what(which)进行how的操作”的逻辑表达式是否为真。针对不同的应用,需要根据项目的实际情况和具体架构,在维护性、灵活性、完整性等n多个方案之间比较权衡,选择符合的方案。
目标:
直观,因为系统最终会由最终用户来维护,权限分配的直观和容易理解,显得比较重要,系统不辞劳苦的实现了组的继承,除了功能的必须,更主要的就是因为它足够直观。
简单,包括概念数量上的简单和意义上的简单还有功能上的简单。想用一个权限系统解决所有的权限问题是不现实的。设计中将常常变化的“定制”特点比较强的部分判断为业务逻辑,而将常常相同的“通用”特点比较强的部分判断为权限逻辑就是基于这样的思路。
扩展,采用可继承在扩展上的困难。的group概念在支持权限以组方式定义的同时有效避免了重定义时
现状:
对于在企业环境中的访问控制方法,一般有三种:
1.自主型访问控制方法。目前在我国的大多数的信息系统中的访问控制模块中基本是借助于自主型访问控制方法中的访问控制列表(acls)。
2.强制型访问控制方法。用于多层次安全级别的军事应用。
3.基于角色的访问控制方法(rbac)。是目前公认的解决大型企业的统一资源访问控制的有效方法。其显着的两大特征是:1.减小授权管理的复杂性,降低管理开销。2.灵活地支持企业的安全策略,并对企业的变化有很大的伸缩性。
名词:
粗粒度:表示类别级,即仅考虑对象的类别(the type of object),不考虑对象的某个特
定实例。比如,用户管理中,创建、删除,对所有的用户都一视同仁,并不区分操作的具体对象实例。
细粒度:表示实例级,即需要考虑具体对象的实例(the instance of object),当然,细
粒度是在考虑粗粒度的对象类别之后才再考虑特定实例。比如,合同管理中,列表、删除,需要区分该合同实例是否为当前用户所创建。
原则:
权限逻辑配合业务逻辑。即权限系统以为业务逻辑提供服务为目标。相当多细粒度的权限问题因其极其独特而不具通用意义,它们也能被理解为是“业务逻辑”的一部分。比如,要求:“合同资源只能被它的创建者删除,与创建者同组的用户可以修改,所有的用户能够浏览”。这既可以认为是一个细粒度的权限问题,也可以认为是一个业务逻辑问题。在这里它是业务逻辑问题,在整个权限系统的架构设计之中不予过多考虑。当然,权限系统的架构也必须要能支持这样的控制判断。或者说,系统提供足够多但不是完全的控制能力。即,设计原则归结为:“系统只提供粗粒度的权限,细粒度的权限被认为是业务逻辑的职责”。
需要再次强调的是,这里表述的权限系统仅是一个“不完全”的权限系统,即,它不提供所有关于权限的问题的解决方法。它提供一个基础,并解决那些具有“共性”的(或者说粗粒度的)部分。在这个基础之上,根据“业务逻辑”的独特权限需求,编码实现剩余部分(或者说细粒度的)部分,才算完整。回到权限的问题公式,通用的设计仅解决了who+what+how 的问题,其他的权限问题留给业务逻辑解决。
概念:
who:权限的拥用者或主体(principal、user、group、role、actor等等)
what:权限针对的对象或资源(resource、class)。
how:具体的权限(privilege, 正向授权与负向授权)。
role:是角色,拥有一定数量的权限。
operator:操作。表明对what的how 操作。
说明:
user:与 role 相关,用户仅仅是纯粹的用户,权限是被分离出去了的。user是不能与 privilege 直接相关的,user 要拥有对某种资源的权限,必须通过role去关联。解决 who 的问题。
resource:就是系统的资源,比如部门新闻,文档等各种可以被提供给用户访问的对象。资源可以反向包含自身,即树状结构,每一个资源节点可以与若干指定权限类别相关可定义是否将其权限应用于子节点。
privilege:是resource related的权限。就是指,这个权限是绑定在特定的资源实例上的。比如说部门新闻的发布权限,叫做"部门新闻发布权限"。这就表明,该privilege是一个发布权限,而且是针对部门新闻这种资源的一种发布权限。privilege是由creator在做开发时就确定的。权限,包括系统定义权限和用户自定义权限用户自定义权限之间可以指定排斥和包含关系(如:读取,修改,管理三个权限,管理 权限 包含 前两种权限)。privilege 如"删除" 是一个抽象的名词,当它不与任何具体的 object 或 resource 绑定在一起时是没有任何意义的。拿新闻发布来说,发布是一种权限,但是只说发布它是毫无意义的。因为不知道发布可以操作的对象是什么。只有当发布与新闻结合在一起时,才会产生真正的 privilege。这就是 privilege instance。权限系统根据需求的不同可以延伸生很多不同的版本。
role:是粗粒度和细粒度(业务逻辑)的接口,一个基于粗粒度控制的权限框架软件,对外的接口应该是role,具体业务实现可以直接继承或拓展丰富role的内容,role不是如同user或group的具体实体,它是接口概念,抽象的通称。
group:用户组,权限分配的单位与载体。权限不考虑分配给特定的用户。组可以包括组(以实现权限的继承)。组可以包含用户,组内用户继承组的权限。group要实现继承。即在创建时必须要指定该group的parent是什么group。在粗粒度控制上,可以认为,只要某用户直接或者间接的属于某个group那么它就具备这个group的所有操作许可。细粒度控制上,在业务逻辑的判断中,user仅应关注其直接属于的group,用来判断是否“同组” 。group是可继承的,对于一个分级的权限实现,某个group通过“继承”就已经直接获得了其父group所拥有的所有“权限集合”,对这个group而言,需要与权限建立直接关联的,仅是它比起其父group需要“扩展”的那部分权限。子组继承父组的所有权限,规则来得更简单,同时意味着管理更容易。为了更进一步实现权限的继承,最直接的就是在group上引入“父子关系”。
user与group是多对多的关系。即一个user可以属于多个group之中,一个group可以包括多个user。子group与父group是多对一的关系。operator某种意义上类似于resource + privilege概念,但这里的resource仅包括resource type不表示resource instance。group 可以直接映射组织结构,role 可以直接映射组织结构中的业务角色,比较直观,而且也足够灵活。role对系统的贡献实质上就是提供了一个比较粗颗粒的分配单位。
group与operator是多对多的关系。各概念的关系图示如下:
解释:
operator的定义包括了resource type和method概念。即,what和how的概念。之所以将what和how绑定在一起作为一个operator概念而不是分开建模再建立关联,这是因为很多的how对于某what才有意义。比如,发布操作对新闻对象才有意义,对用户对象则没有意义。
how本身的意义也有所不同,具体来说,对于每一个what可以定义n种操作。比如,对于合同这类对象,可以定义创建操作、提交操作、检查冲突操作等。可以认为,how概念对应于每一个商业方法。其中,与具体用户身份相关的操作既可以定义在操作的业务逻辑之中,也可以定义在操作级别。比如,创建者的浏览视图与普通用户的浏览视图要求内容不同。既可以在外部定义两个操作方法,也可以在一个操作方法的内部根据具体逻辑进行处理。具体应用哪一种方式应依据实际情况进行处理。
这样的架构,应能在易于理解和管理的情况下,满足绝大部分粗粒度权限控制的功能需要。但是除了粗粒度权限,系统中必然还会包括无数对具体instance的细粒度权限。这些问题,被留给业务逻辑来解决,这样的考虑基于以下两点:
一方面,细粒度的权限判断必须要在资源上建模权限分配的支持信息才可能得以实现。比如,如果要求创建者和普通用户看到不同的信息内容,那么,资源本身应该有其创建者的信息。另一方面,细粒度的权限常常具有相当大的业务逻辑相关性。对不同的业务逻辑,常常意味着完全不同的权限判定原则和策略。相比之下,粗粒度的权限更具通用性,将其实现为一个架构,更有重用价值;而将细粒度的权限判断实现为一个架构级别的东西就显得繁琐,而且不是那么的有必要,用定制的代码来实现就更简洁,更灵活。
所以细粒度控制应该在底层解决,resource在实例化的时候,必需指定owner和groupprivilege在对resource进行操作时也必然会确定约束类型:究竟是ownerok还是groupok还是allok。group应和role严格分离user和group是多对多的关系,group只用于对用户分类,不包含任何role的意义;role只授予user,而不是group。如果用户需要还没有的多种privilege的组合,必须新增role。privilege必须能够访问resource,同时带user参数,这样权限控制就完备了。
思想:
权限系统的核心由以下三部分构成:1.创造权限,2.分配权限,3.使用权限,然后,系统各部分的主要参与者对照如下:1.创造权限 - creator创造,2.分配权限 - administrator 分配,3.使用权限 - user:
1. creator 创造 privilege, creator 在设计和实现系统时会划分,一个子系统或称为模块,应该有哪些权限。这里完成的是 privilege 与 resource 的对象声明,并没有真正将 privilege 与具体resource 实例联系在一起,形成operator。
2. administrator 指定 privilege 与 resource instance 的关联。在这一步, 权限真正与资源实例联系到了一起, 产生了operator(privilege instance)。administrator利用operator这个基本元素,来创造他理想中的权限模型。如,创建角色,创建用户组,给用户组分配用户,将用户组与角色关联等等...这些操作都是由 administrator 来完成的。
3. user 使用 administrator 分配给的权限去使用各个子系统。administrator 是用户,在他的心目中有一个比较适合他管理和维护的权限模型。于是,程序员只要回答一个问题,就是什么权限可以访问什么资源,也就是前面说的 operator。程序员提供 operator 就意味着给系统穿上了盔甲。administrator 就可以按照他的意愿来建立他所希望的权限框架可以自行增加,删除,管理resource和privilege之间关系。可以自行设定用户user和角色role的对应关系。(如果将 creator看作是 basic 的发明者, administrator 就是 basic 的使用者,他可以做一些脚本式的编程) operator是这个系统中最关键的部分,它是一个纽带,一个系在programmer,administrator,user之间的纽带。
用一个功能模块来举例子。
一.建立角色功能并做分配:
1.如果现在要做一个员工管理的模块(即resources),这个模块有三个功能,分别是:增加,修改,删除。给这三个功能各自分配一个id,这个id叫做功能代号:
emp_addemp,emp_deleteemp,emp_updateemp。
2.建立一个角色(role),把上面的功能代码加到这个角色拥有的权限中,并保存到数据库中。角色包括系统管理员,测试人员等。
3.建立一个员工的账号,并把一种或几种角色赋给这个员工。比如说这个员工既可以是公司管理人员,也可以是测试人员等。这样他登录到系统中将会只看到他拥有权限的那些模块。
二.把身份信息加到session中。
登录时,先到数据库中查找是否存在这个员工,如果存在,再根据员工的sn查找员工的权限信息,把员工所有的权限信息都入到一个hashmap中,比如就把上面的emp_addemp等放到这个hashmap中。然后把hashmap保存在一个userinfobean中。最后把这个userinfobean放到session中,这样在整个程序的运行过程中,系统随时都可以取得这个用户的身份信息。
三.根据用户的权限做出不同的显示。
可以对比当前员工的权限和给这个菜单分配的“功能id”判断当前用户是否有打开这个菜单的权限。例如:如果保存员工权限的hashmap中没有这三个id的任何一个,那这个菜单就不会显示,如果员工的hashmap中有任何一个id,那这个菜单都会显示。
对于一个新闻系统(resouce),假设它有这样的功能(privilege):查看,发布,删除,修改;假设对于删除,有"新闻系统管理者只能删除一月前发布的,而超级管理员可删除所有的这样的限制,这属于业务逻辑(business logic),而不属于用户权限范围。也就是说权限负责有没有删除的permission,至于能删除哪些内容应该根据userrole or usergroup来决定(当然给userrole or usergroup分配权限时就应该包含上面两条业务逻辑)。
一个用户可以拥有多种角色,但同一时刻用户只能用一种角色进入系统。角色的划分方法可以根据实际情况划分,按部门或机构进行划分的,至于角色拥有多少权限,这就看系统管理员赋给他多少的权限了。用户—角色—权限的关键是角色。用户登录时是以用户和角色两种属性进行登录的(因为一个用户可以拥有多种角色,但同一时刻只能扮演一种角色),根据角色得到用户的权限,登录后进行初始化。这其中的技巧是同一时刻某一用户只能用一种角色进行登录。
针对不同的“角色”动态的建立不同的组,每个项目建立一个单独的group,对于新的项目,建立新的 group 即可。在权限判断部分,应在商业方法上予以控制。比如:不同用户的“操作能力”是不同的(粗粒度的控制应能满足要求),不同用户的“可视区域”是不同的(体现在对被操作的对象的权限数据,是否允许当前用户访问,这需要对业务数据建模的时候考虑权限控制需要)。
扩展性:
有了用户/权限管理的基本框架,who(user/group)的概念是不会经常需要扩展的。变化的可能是系统中引入新的 what (新的resource类型)或者新的how(新的操作方式)。那在三个基本概念中,仅在permission上进行扩展是不够的。这样的设计中permission实质上解决了how 的问题,即表示了“怎样”的操作。那么这个“怎样”是在哪一个层次上的定义呢?将permission定义在“商业方法”级别比较合适。比如,发布、购买、取消。每一个商业方法可以意味着用户进行的一个“动作”。定义在商业逻辑的层次上,一方面保证了数据访问代码的“纯洁性”,另一方面在功能上也是“足够”的。也就是说,对更低层次,能自由的访问数据,对更高层次,也能比较精细的控制权限。
确定了permission定义的合适层次,更进一步,能够发现permission实际上还隐含了what的概念。也就是说,对于what的how操作才会是一个完整的operator。比如,“发布”操作,隐含了“信息”的“发布”概念,而对于“商品”而言发布操作是没有意义的。同样的,“购买”操作,隐含了“商品”的“购买”概念。这里的绑定还体现在大量通用的同名的操作上,比如,需要区分“商品的删除”与“信息的删除”这两个同名为“删除”的不同操作。
提供权限系统的扩展能力是在operator (resource + permission)的概念上进行扩展。proxy 模式是一个非常合适的实现方式。实现大致如下:在业务逻辑层(ejb session facade [stateful sessionbean]中),取得该商业方法的methodname,再根据classname和 methodname 检索operator 数据,然后依据这个operator信息和stateful中保存的user信息判断当前用户是否具备该方法的操作权限。
应用在 ejb 模式下,可以定义一个很明确的 business层次,而一个business 可能意味着不同的视图,当多个视图都对应于一个业务逻辑的时候,比如,swing client以及 jsp client 访问的是同一个 ejb 实现的 business。在 business 层上应用权限较能提供集中的控制能力。实际上,如果权限系统提供了查询能力,那么会发现,在视图层次已经可以不去理解权限,它只需要根据查询结果控制界面就可以了。
灵活性:
group和role,只是一种辅助实现的手段,不是必需的。如果系统的role很多,逐个授权违背了“简单,方便”的目的,那就引入group,将权限相同的role组成一个group进行集中授权。role也一样,是某一类operator的集合,是为了简化针对多个operator的操作。
role把具体的用户和组从权限中解放出来。一个用户可以承担不同的角色,从而实现授权的灵活性。当然,group也可以实现类似的功能。但实际业务中,group划分多以行政组织结构或业务功能划分;如果为了权限管理强行将一个用户加入不同的组,会导致管理的复杂性。
domain的应用。为了授权更灵活,可以将where或者scope抽象出来,称之为domain,真正的授权是在domain的范围内进行,具体的resource将分属于不同的domain。比如:一个新闻机构有国内与国外两大分支,两大分支内又都有不同的资源(体育类、生活类、时事政治类)。假如所有国内新闻的权限规则都是一样的,所有国外新闻的权限规则也相同。则可以建立两个域,分别授权,然后只要将各类新闻与不同的域关联,受域上的权限控制,从而使之简化。
权限系统还应该考虑将功能性的授权与资源性的授权分开。很多系统都只有对系统中的数据(资源)的维护有权限控制,但没有对系统功能的权限控制。
权限系统最好是可以分层管理而不是集中管理。大多客户希望不同的部门能且仅能管理其部门内部的事务,而不是什么都需要一个集中的administrator或administrators组来管理。虽然你可以将不同部门的人都加入administrators组,但他们的权限过大,可以管理整个系统资源而不是该部门资源。
正向授权与负向授权:正向授权在开始时假定主体没有任何权限,然后根据需要授予权限,适合于权限要求严格的系统。负向授权在开始时假定主体有所有权限,然后将某些特殊权限收回。
权限计算策略:系统中user,group,role都可以授权,权限可以有正负向之分,在计算用户的净权限时定义一套策略。
系统中应该有一个集中管理权限的accessservice,负责权限的维护(业务管理员、安全管理模块)与使用(最终用户、各功能模块),该accessservice在实现时要同时考虑一般权限与特殊权限。虽然在具体实现上可以有很多,比如用proxy模式,但应该使这些proxy依赖于accessservice。各模块功能中调用accessservice来检查是否有相应的权限。所以说,权限管理不是安全管理模块自己一个人的事情,而是与系统各功能模块都有关系。每个功能模块的开发人员都应该熟悉安全管理模块,当然,也要从业务上熟悉本模块的安全规则。
技术实现:
1.表单式认证,这是常用的,但用户到达一个不被授权访问的资源时,web容器就发
出一个html页面,要求输入用户名和密码。
2.一个基于servlet sign in/sign out来集中处理所有的request,缺点是必须由应用程序自己来处理。
3.用filter防止用户访问一些未被授权的资源,filter会截取所有request/response,
然后放置一个验证通过的标识在用户的session中,然后filter每次依靠这个标识来决定是否放行response。
这个模式分为:
gatekeeper :采取filter或统一servlet的方式。
authenticator: 在web中使用jaas自己来实现。
用户资格存储ldap或数据库:
1. gatekeeper拦截检查每个到达受保护的资源。首先检查这个用户是否有已经创建
好的login session,如果没有,gatekeeper 检查是否有一个全局的和authenticator相关的session?
2. 如果没有全局的session,这个用户被导向到authenticator的sign-on 页面,
要求提供用户名和密码。
3. authenticator接受用户名和密码,通过用户的资格系统验证用户。
4. 如果验证成功,authenticator将创建一个全局login session,并且导向gatekeeper
来为这个用户在他的web应用中创建一个login session。
5. authenticator和gatekeepers联合分享cookie,或者使用tokens在query字符里
⑸ 什么是web站点基本组成要素有哪些
一、什么是web站点
WWW(World Wide Web)简称3W,也称万维网,也叫做Web系统。是以超文本标注语言HTML(Hyper Text Markup Language)与超文本传输协议HTTP(Hyper Text Transfer Protocol)为基础,能够提供面向Internet服务的、一致的用户界面的信息浏览系统。
WWW它是目前 Internet上最方便最受用户欢迎的信息服务类型,它的影响已远远超出了专业技术范畴,并且已经进入广告、新闻、销售、电子商务与信息服务等各个行业。
二、 Web的特点:
1、Web是图形化的和易于导航的(navigate)
Web 非常流行的一个很重要的原因就在于它可以在一页上同时显示色彩丰富的图形和文本的性能。在Web之前Internet上的信息只有文本形式。Web可以提供将图形、音频、视频信息集合于一体的特性。同时,Web是非常易于导航的,只需要从一个连接跳到另一个连接,就可以在各页各站点之间进行浏览了。
2、Web与平台无关
无论你的系统平台是什么,你都可以通过Internet访问WWW。浏览WWW对你的系统平台没有什么限制。无论从Windows平台、UNIX平台、Macintosh还是别的什么平台我们都可以访问WWW。
3、Web是分布式的
大量的图形、音频和视频信息会占用相当大的磁盘空间,我们甚至无法预知信息的多少。对于Web没有必要把所有信息都放在一起,信息可以放在不同的站点上。
4、Web 是动态的
由于各Web站点的信息包含站点本身的信息,信息的提供者可以经常对站上的信息进行更新。如某个协议的发展状况,公司的广告等等。一般各信息站点都尽量保证信息的时间性。所以Web站点上的信息是动态的。经常更新的。这一点是由信息的提供者保证的。
5、Web是交互的。
Web的交互性首先表现在它的超连接上,用户的浏览顺序和所到站点完全由他自己决定。另外通过FORM的形式可以从服务器方获得动态的信息。用户通过填写FORM可以向服务器提交请求,服务器可以根据用户的请求返回相应信息。
⑹ 使用浏览器访问internet上的web站点时看到的第一个画
题主是否想询问“使用浏览器访问internet上的web站点时看到的第一个画叫什么胡销”?主页。樱做兄主页(homepage),也被脊袭称为首页,是用户打开浏览器时默认打开的网页,主要包含个人主页、网站网页、组织或活动主页、公司主页等。
⑺ 怎样在局域网中组建自己的Web站点
1、首先下载IIS6.0,下载完成后在【控制面板】里打开【添加删除程序】,点击左侧的【添猛洞加删除组件】,在弹出的界面中,选择Internet信息服务,点击【下一步】安装IIS。
2、打开Dreamweaver,点击新建HTML文件。简缓
3、在打开的界面中,先建立站点,在菜单栏中,点击【站点】、【新建站点】。
4、在弹出的窗口中,为自己的站点命名为“我的局域网站”,在站点HTTP地址中输入Http:自己电脑的IP/站点所在文件夹:我的局域网站/,点击【下一步】。
5、接下来的几步设置中,一下没有图片说明的是枝咐枯不需要做更改的,直接点击下一步,最后点击完成,设置好站点即可,这样局域网站点就建好了。
⑻ 什么是最小权限原则
最小权限原则是要求计算环境中的特定抽象层的每个模块如 进程、用户或者计算机程序只能访问当下所必需的信息或者资敏凳源。
赋予每一敏拿老个合法动作最小的权限,就是为了保护数据以桥升及功能避免受到错误或者恶意行为的破坏。
最小权限原则也称为最少权限原则。
⑼ WEB站点是什么意思
web本意是蜘蛛网和网的意思,在网页设计中我们称为网页的意思。现广泛译作网络、互联网等技术领域。表现为三种形式,即超文本(hypertext)、超媒体(hypermedia)、超文本传输协议(HTTP)等。
Web站点就是以超文本等协议编写的网站。
⑽ 利用IIS建立的Web站点的4级访问控制为【 】、用户验证、WEB访问权限和NTFS权限
利用IIS建立的Web站点的4级访问控制为【IP地址限制 】、用户验证、WEB访问权限和NTFS权限