《Web架构 MVC.ppt》由会员分享,可在线阅读,更多相关《Web架构 MVC.ppt(24页珍藏版)》请在三一文库上搜索。
1、Web架构MVC,MVC的介绍 Model1与Model2的介绍 Model2的举例,http:/ 包括前端的HTML、XML和JSP等,这层主要当作用户的操作接口,让用户输入数据和显示数据处理户的结果。 商业逻辑层 是整个网站的核心部分,它的功能包括:数据处理、连接数据库和产生数据。 控制层 主要的工作是控制整个网站处理的流程。,http:/ MVC最主要的精神之一是Model和View的分离 ,网页设计师和程序员能够独立工作,互不影响,从而增加了维护的效率。同时将商业逻辑层的数据处理建立成许多的组件,增加了程序的可重用性,一方面减轻了程序员的工作负担和公司的开发成本;另一方面增进了网站功能
2、扩充的弹性。,http:/ Jsp+JavaBean 开发系统,从上图可以看出,模型一也实现了页面表现和业务逻辑相分离。然而使用这种方式就要在JSP页面使用大量的Java代码,当需要处理的业务逻辑很复杂时,这种情况会变得非常糟糕。大量嵌入式代码使整个页面程序变得异常复杂。对于前端界面设计的网页开发人员来说,这简直是一场噩梦。所以,模型一不能满足大型应用的需要,但是对于小型应用,因为该模型简单,不用涉及诸多要素,从而可以很好地满足小型应用的需要,所以在简单应用中,可以考虑模型一。,http:/ 程序的可读性高,将复杂的程序代码写在JavaBean之中,减少和网页标签混合的情况。 可重复利用性高,
3、由于通过JavaBean来封装重要的商业逻辑运算,不同的JSP可以调用许多共享性的组件,增加开发效能。 缺点; 缺乏流程控制。每一个JSP都要验证需求的参数正确性、确认用户身份权限、异常发生的处理,甚至还包含显示断的网页编码原则及语系的处理,http:/ 2 MVC架构),这一模型结合了JSP和Servlet技术,充分利用了JSP 和Servlet两种技术原有的优势。这个模型使用JSP技术来表现页面,使用Servlet技术完成大量的事务处理,使用Bean来存储数据。 Servlet用来处理请求的事务,充当一个控制者的角色,并负责向客户发送请求。它创建JSP需要的Bean和对象,然后根据用户请求
4、的行为,决定将哪个JSP页面发送给客户。,http:/ 开发流程更为明确:区别开显示端和商业逻辑端,美工设计人员和程序员能够专注于本身的工作,有利于大型系统的开发。 核心的程序管控 :由Controller控制整个流程,可以减少JSP需要撰写许多条件判断逻辑及流程管控等等的程序代码。 维护容易:不论是后端商业逻辑对象或间断的网页呈现,都通过控制中心来掌控,如果有商业逻辑的变更,可以轻易的修改Model段的程序,而不用去修改相关的JSP文件。 缺点 学习时间较长:各家公司都有自己MVC架构,花更多的时 间去熟悉了解他们的流程与概念。 开发时间较长:因为需要设计MVC个对象比吃的数据交换与方法,会
5、需要更多的时间在系统设计之上。,http:/ it315,Register.jsp,logonSuccess.jsp,RegisterForrmBean,UserBean,DbUtil,ControllerServlet,http:/ 购物车程序,EShop.jsp显示商店所提供的商品目录 Cart.jsp 显示购物车的内容 Checkout.jsp显示用户预购买的物品清单和价格 Book.java它是一个JavaBean内容为书籍的属性 ShoppingServlet.java它除了新增、移出购物车内的物品和结账的功能之外,并且也扮演流程控制的角色。它本身是Servlet。,http:/ A
6、PI2.1中有一RequestDispatcher接口来做流程控制,RequestDispatcher接口提供两种方法: public void include(HttpServletRequest, HttpServletResponse) 将目前的请求服务转交给另一个JSP页面或是Servlet; public void forward(HttpServletRequest, HttpServletResponse) 将它的内容一并包含到原来的Servlet中。,http:/ Server.xml文件;web.xml文件;发布web应用程序 服务器端编程 Servlet的编译、运行、相应的
7、接口和类 JSP页面组成部分,语法,JavaBean,JDBC技术,MVC模式 客户端编程 JavaScript和Java的区别 JavaScript的内置对象 浏览器的内部对象 正则表达式 表单,http:/ JSP的脚本语言中向页面输出显示内容的方法是什么? 什么是JSP的内置对象?各有什么作用?对应的接口或类又是什么 采用MVC模式的体系结构(框架)分几层,各层的作用? MVC设计模式分为几个部分,各有什么功能?使用什么方法来实现? Forword指令和response.sendRedirect方法的执行结果有什么不同? 什么是Servlet?其基本结构如何?Servlet与JSP之间有
8、何联系?简述servlet的生命周期。 JDBC的驱动程序API可以分为哪几种类型?如何使用它开发web应用程序?,http:/ 1、对Web服务器的安全威胁 对于Web服务器、服务器的操作系统、数据库服务器都有可能存在漏洞,恶意用户都有可能利用这些漏洞去获得重要信息。Web服务器上的漏洞可以从以下几方面考虑: 在Web服务器上的机密文件或重要数据(如存放用户名、口令的文件)放置在不安全区域,被入侵后很容易得到。 在Web数据库中,保存的有价值信息(如商业机密数据、用户信息等),如果数据库安全配置不当,很容易泄密。 Web服务器本身存在一些漏洞,能被黑客利用侵入到系统,破坏一些重要的数据,甚至
9、造成系统瘫痪。 程序员的有意或无意在系统中遗漏Bugs给非法黑客创造条件。用CGI脚本编写的程序中的自身漏洞。,http:/ 网页中活动内容的不安全性是造成客户端的主要威胁。网页的活动内容是指在静态网页中嵌入的对用户透明的程序,它可以完成一些动作,显示动态图像、下载和播放音乐、视频等。当用户使用浏览器查看带有活动内容的网页时,这些应用程序会自动下载并在客户机上运行,如果这些程序被恶意使用,可以窃取、改变或删除客户机上的信息。主要用到Java Applet和ActiveX技术。 Java Applet使用Java语言开发,随页面下载,Java使用沙盒(Sandbox)根据安全模式所定义的规则来限
10、制Java Applet的活动,它不会访问系统中规定安全范围之外的程序代码。但事实上Java Applet存在安全漏洞,可能被利用进行破坏。 ActiveX是微软的一个控件技术,它封装由网页设计者放在网页中来执行特定的任务的程序,可以由微软支持的多种语言开发但只能运行在Windows平台。ActiveX在安全性上不如Java Applet,一旦下载,能像其他程序一样执行,访问包括操作系统代码在内的所有系统资源,这是非常危险的。,http:/ Internet是连接Web客户机和服务器通信的信道,是不安全的。像Sniffer这样的嗅探程序,可对信道进行侦听,窃取机密信息,存在着对保密性的安全威胁
11、。未经授权的用户可以改变信道中的信息流传输内容,造成对信息完整性的安全威胁。此外,还有像利用拒绝服务攻击,向网站服务器发送大量请求造成主机无法及时响应而瘫痪,或者发送大量的IP数据包来阻塞通信信道,使网络的速度便缓慢。,http:/ 、Web客户端的安全防护 Web客户端的防护措施,重点对Web程序组件的安全进行防护,严格限制从网络上任意下载程序并在本地执行。可以在浏览器进行设置,如Microsoft Internet Explorer的Internet选项的高级窗口中将Java相关选项关闭。在安全窗口中选择自定义级别,将ActiveX组件的相关选项选为禁用。在隐私窗口中根据需要选择Cooki
12、e的级别,也可以根据需要将c:windowscookie下的所有Cookie相关文件删除。,http:/ 通信信道的防护措施,可在安全性要求较高的环境中,利用HTTPS协议替代HTTP协议。利用安全套接层协议SSL保证安全传输文件,SSL通过在客户端浏览器软件和Web服务器之间建立一条安全通信信道,实现信息在Internet中传送的保密性和完整性。但SSL会造成Web服务器性能上的一些下降。 3 、Web服务器端的安全防护 限制在Web服务器中账户数量,对在Web服务器上建立的账户,在口令长度及定期更改方面作出要求,防止被盗用。 Web服务器本身会存在一些安全上的漏洞,需要及时进行版本升级更新
13、。 尽量使EMAIL、数据库等服务器与Web服务器分开,去掉无关的网络服务。 在Web服务器上去掉一些不用的如SHELL之类的解释器。 定期查看服务器中的日志文件,分析一切可疑事件。 设置好Web服务器上系统文件的权限和属性。 通过限制许可访问用户IP或DNS。 从CGI编程角度考虑安全。采用编译语言比解释语言会更安全些,并且CGI程序应放在独立于HTML存放目录之外的CGI-BIN下等措施。,http:/ 4.1系统安装的安全策略 安装Windows2000系统时不要安装多余的服务和多余的协议,因为有的服务存在有漏洞,多余的协议会占用资源。安装Windows2000后一定要及时安装补丁4程序
14、(W2KSP4_CN.exe),立刻安装防病毒软件。 4.2系统安全策略的配置 通过“本地安全策略”限制匿名访问本机用户、限制远程用户对光驱或软驱的访问等。通过“组策略”限制远程用户对Netmeeting的桌面共享、限制用户执行Windows安装任务等安全策略配置。,http:/ 4.4审核日志策略的配置 当Windows 2000出现问题的时候,通过对系统日志的分析,可以了解故障发生前系统的运行情况,作为判断故障原因的根据。一般情况下需要对常用的用户登录日志,HTTP和FTP日志进行配置。 4.4.1设置登录审核日志 审核事件分为成功事件和失败事件。成功事件表示一个用户成功地获得了访问某种资
15、源的权限,而失败事件则表明用户的尝试失败。 4.4.2设置HTTP审核日志 通过“Internet服务管理器”选择Web站点的属性,进行设置日志的属性,可根据需要修改日志的存放位置。,http:/ 设置方法同HTTP的设置基本一样。选择FTP站点,对其日志属性进行设置,然后修改日志的存放位置。,网页发布和下载的安全策略 因为Web服务器上的网页,需要频繁进行修改。因此,要制定完善的维护策略,才能保证Web服务器的安全。有些管理员为方便起见,采用共享目录的方法进行网页的下载和发布,但共享目录方法很不安全。因此,在Web服务器上要取消所有的共享目录。网页的更新采用FTP方法进行,选择对该FTP站点
16、的访问权限有“读取、写入”权限。对FTP站点属性的“目录安全性”在“拒绝访问”对话框中输入管理维护工作站的IP地址,限定只有指定的计算机可以访问该FTP站点,并只能对站点目录进行读写操作。,http:/ 为了防止恶意JavaScript的攻击,用户可以关闭浏览器的JavaScript支持。另一种解决方法是使用能够封杀已知恶意网站的安全工具,例如McAfee的SiteAdvisor,或者Google的Toolbar、Desktop软件。 JavaScript的安全性指的不是代码安全,指的是操作安全,因为JavaScript没有访问操作系统的权限,所以不能操作文件和注册表等系统资源,从而不能用来制造病毒和木马。,http:/ MVC设计模式分为几个部分,各有什么功能?使用什么方法来实现? web.xml文件的用途是什么?如果要配置servlet,在web.xml中相关的标签是什么? Forword指令和response.sendRedirect方法的执行结果有什么不同? 什么是Servlet?其基本结构如何?Servlet与JSP之间有何联系?简述servlet的生命周期。 JDBC的驱动程序API可以分为哪几种类型?,http:/