介紹了Java服務(wù)端網(wǎng)頁在IBM WebSphere平臺(tái)上進(jìn)行電子商務(wù)系統(tǒng)開發(fā)的相關(guān)原理和模型，提出了一種基于Web方式的用戶身份鑒別策略，改進(jìn)了以往在對(duì)用戶身份鑒別時(shí)需要自己輸入密碼的方式。整個(gè)處理流程遵循J2EE規(guī)范，并貫穿了Web應(yīng)用模式的三層體系結(jié)構(gòu)，在存儲(chǔ)過程中完成認(rèn)證，這種方法對(duì)提高電子商務(wù)系統(tǒng)的安全性有一定的現(xiàn)實(shí)意義。
關(guān) 鍵 詞 身份鑒別； 電子商務(wù)； 密碼處理； 安全性

IBM WebSphere Studio和IBM WebSphere應(yīng)用服務(wù)器是一個(gè)全面基于Java的Web應(yīng)用架構(gòu)，它為Web服務(wù)開放式標(biāo)準(zhǔn)和完全Java2平臺(tái)企業(yè)版(J2EE)認(rèn)證書提供集成支持，涵蓋了Javaserverlets, Java Server Pages, Java Beans和Enterprise Java Beans，是目前較為理想的電子商務(wù)系統(tǒng)的開發(fā)平臺(tái)。同時(shí)，目前開發(fā)出來的很多Web應(yīng)用系統(tǒng)在用戶登錄時(shí)采用的密碼認(rèn)證方法大部分還是要求用戶自己提供，直接在網(wǎng)頁驗(yàn)證，其驗(yàn)證過程是公開的，無法保證用戶的隱私和系統(tǒng)的安全性。若采用PKI/CA認(rèn)證系統(tǒng)，則可以實(shí)現(xiàn)對(duì)大型系統(tǒng)的安全保證，但將增加開發(fā)過程的難度和系統(tǒng)的復(fù)雜性。針對(duì)這種情況，本文結(jié)合對(duì)這種平臺(tái)的介紹，提出一種易于實(shí)現(xiàn)的用戶身份鑒別策略，在對(duì)網(wǎng)絡(luò)應(yīng)用有基本安全要求的環(huán)境中有一定的應(yīng)用價(jià)值。
1 相關(guān)的原理
WebSphere的核心組件是WebSphere應(yīng)用服務(wù)器, 它包含WebSphere Performance Package、BaseHttp Server、Java Servlet Engine和WebSphere Application Server, 其數(shù)據(jù)庫連接模塊如圖1所示。圖中，WebSphere Performance Package的作用主要在于控制和優(yōu)化系統(tǒng)性能實(shí)現(xiàn)負(fù)載平衡，提供緩存機(jī)制，完成系統(tǒng)文件備份。
WebSphere Application Server的工作過程如下：客戶發(fā)出請(qǐng)求后，由HttpServer將Serlet調(diào)用
請(qǐng)求交給Application Server，由Applicaion Server 和Java Servlet Engine執(zhí)行用戶調(diào)用Servlet進(jìn)行
數(shù)據(jù)庫連接，將Sql請(qǐng)求發(fā)送給數(shù)據(jù)庫進(jìn)行處理，數(shù)據(jù)庫將結(jié)果返回給Application Server，Servlet
生成動(dòng)態(tài)頁面后將處理結(jié)果交給HttpServer，HttpServer實(shí)現(xiàn)將頁面呈現(xiàn)給用戶。
WebSphere應(yīng)用服務(wù)器對(duì)Java服務(wù)端網(wǎng)頁(JSP)的支持是通過JSP處理器來實(shí)現(xiàn),在Web服務(wù)器上安裝WebSphere應(yīng)用服務(wù)器時(shí)，Web服務(wù)器的配置則被設(shè)置成對(duì)JSP文件(即文件擴(kuò)展名為jsp的文件)的HTTP請(qǐng)求，并傳遞至WebSphere應(yīng)用服務(wù)器里。WebSphere應(yīng)用服務(wù)器配置則設(shè)置為JSP處理器, 該處理器不但處理來自客戶端的所有請(qǐng)求,還為每個(gè)JSP文件產(chǎn)生兩個(gè)文件：
數(shù)據(jù)庫
連接數(shù)據(jù)庫
WebSphere Performance Package
·Load balancing
·Caching
·File replication
WebSphere Application Server
Base Http
Server
Application Server
Java Servlet Engine
1) java文件：包含可用于Servlet的Java 語言代碼；
2) class文件：可用于編譯過的Servlet；
由JSP文件生成的Servlet是javax servlet http Http
Servlet子的子類或?qū)O類，若Servlet類是軟件包的一部分，
則Serv-的let的java代碼包含了用于一些必須類和軟件包
的導(dǎo)入語句。如果JSP文件包含JSP語法(例如指令和加入
網(wǎng)頁的scriptlets)，則JSP處理器會(huì)將JSP語法轉(zhuǎn)換成等價(jià)
的Java代碼, 如果JSP文件包含HTML標(biāo)記，則處理器添
圖1 IBM WebSphere結(jié)構(gòu)示意圖 加Java代碼，以使Servlet能一個(gè)一個(gè)字符地輸出HTML[1]。
2 應(yīng)用實(shí)例
首先將密碼驗(yàn)證放在后臺(tái)數(shù)據(jù)庫，在存儲(chǔ)過程中使數(shù)據(jù)流的傳送穿過IBM WebSphere所提供的所有服務(wù)接口, 讀者可以充分了解從客戶端的JSP、JS、HTML界面程序到中間層的業(yè)務(wù)邏輯處理程序Servlet、Java bean、與后臺(tái)數(shù)據(jù)庫交互的JSP、Servlet和Javabean程序，最后到直接在數(shù)據(jù)庫中進(jìn)行數(shù)據(jù)操作PL/SQL存儲(chǔ)過程的基于IBMWebSphere的應(yīng)用服務(wù)。
2.1應(yīng)用背景
應(yīng)用實(shí)例的主要目的是為電子商務(wù)交易系統(tǒng)提供一個(gè)簡單實(shí)用的用戶身份鑒別手段,為適應(yīng)客觀條件進(jìn)行的設(shè)計(jì)。
2.2 系統(tǒng)環(huán)境
應(yīng)用實(shí)例建立在IBM WebSphere上調(diào)用J2EE提供的JavaMail包，采用的軟硬件環(huán)境如下[2]：
客戶端環(huán)境：處理器為PentiumIII 800 Hz；內(nèi)存128 M；硬盤10 G；操作系統(tǒng)是WIN2K Professional; 開發(fā)平臺(tái)IBM WebSphere Studio4.0；客戶端數(shù)據(jù)庫平臺(tái)Oracle8.1.7 client；數(shù)據(jù)庫編程平臺(tái)PL/SQL；Microsoft IE4.0瀏覽器；Visual Sourcesafe源代碼版本控制器。
服務(wù)器端環(huán)境：Pentium III 800 Hz處理器；256 M內(nèi)存；40 G硬盤；Red hat linux服務(wù)器端操作
系統(tǒng)；IBM WebSphere Application Server；MicroSoft IE4.0瀏覽器；Visual Sourcesafe源代碼版本控制
器。
數(shù)據(jù)庫：Pentium III 800 Hz 處理器；AIX操作系統(tǒng)；Orcale服務(wù)器端。