网络安全导论 实验3B 网络安全编程常用的设计模式

实验3C网络安全编程常用的设计模式实验报告实验截图1.通过实验回答下列问题（1）比较上述两种设计模式，找出各自的优势。前端控制器模式主要解决了将用户的请求统一管理，然后进行转发，通过转发获取指定的资源，并且可以通过这个控制器来进行日志的记录，权限的鉴定，使系统有一个统一的入口，其优势：（1）可以一个集中的访问点处理展示层的请求；（2）统一调度器统一将请求统一拦截和记录（3）可以避免重复控制层的逻辑处理；（4）可以使用一个通用逻辑处理多个请求；（5）可以分离系统的逻辑处理与视图展示；（6）前端控制器可以集中控制那些可能被复制的和带有密钥管理请求的逻辑；（7）前端控制器作为连接初始点来处理所有关联的请求拦截过滤器模式也是集中控制请求处理，主要是用来过滤一些非法请求，设置一些请求的编码或格式，将请求中的rquest信息进行过滤或添加一些请求头信息，常用的是配置统一编码或者配置cors一些非法攻击等；其优势：（1）低耦合高内聚：通过过滤管理器统一内聚了过滤链，将所有的过滤器统一聚合在一起，而之间耦合度非常低;（2）复用性高:由于有过滤链，所以可以建立很多的不同链而链中的过滤器是一样的，可以提高过滤器复用性;（3）预处理：由于用户请求可以在未进入主程序就被拦截到，所有可以提前就预处理了该用户请求的信息;（2）如何防止一个用户频繁登录某网站？利用session监听器监听每一个登录用户的登录情况。用户登录后，先去数据库查询该登录名是否存在、是否锁定，在登录名存在且非锁定的情况下，从application内置作用域对象中取出所有的登录信息，查看该登录名是否已经登录，如果登录了，就友好提示下；反之表示可以登录，将该登录信息保存在application中。用户正常退出时，我们需将该用户的登录信息从session中移除。我们可以写一个Session监听器，监听session销毁的时候，我们将登录的用户注销掉，也就是从application中移除。表示该用户已经下线了。如何防止用户绕过登录界面，直接访问资源？设一个session值,如果正确登陆后用来存储用户名，未登录则为空。以后到每个页面判断是否有这个值,如果没有或者是错的,当然就不能进入这个页面了。2.问答题(1)java中过滤器和拦截器有何区别？相同点：1、拦截器与过滤器都是体现了AOP的思想，对方法实现增强，都可以拦截请求方法。2、拦截器和过滤器都可以通过Order注解设定执行顺序不同点：1、过滤器属于Servlet级别，拦截器属于Spring级别Filter是在javax.servlet包中定义的，要依赖于网络容器，因此只能在web项目中使用。Interceptor是SpringMVC中实现的，归根揭底拦截器是一个Spring组件，由Spring容器进行管理。2、过滤器和拦截器的执行顺序不同：3、过滤器基于函数回调方式实现，拦截器基于Java反射机制实现(2)描述SpringSecurity安全框架的核心组件。1.SecurityContextHolderSecurityContextHolder它持有的是安全上下文（securitycontext）的信息。当前操作的用户是谁，该用户是否已经被认证，他拥有哪些角色权等等，这些都被保存在其中。2.SecurityContext安全上下文，主要持有Authentication对象，如果用户未鉴权，那Authentication对象将会是空的。3.Authentication鉴权对象，该对象主要包含了用户的详细信息（UserDetails）和用户鉴权时所需要的信息，如用户提交的用户名密码、Remember-meToken，或者digesthash值等，按不同鉴权方式使用不同的Authentication实现。4.GrantedAuthority该接口表示了当前用户所拥有的权限（或者角色）信息。这些信息有授权负责对象AccessDecisionManager来使用，并决定最终用户是否可以访问某资源（URL或方法调用或域对象）。5.UserDetails这个接口规范了用户详细信息所拥有的字段，譬如用户名、密码、账号是否过期、是否锁定等。6.UserDetailsService这个接口只提供一个接口loadUserByUsername(Stringusername)，这个接口非常重要，一般情况我们都是通过扩展这个接口来显示获取我们的用户信息，用户登录时传递的用户名和密码也是通过这里这查找出来的用户名和密码进行校验，但是真正的校验不在这里，而是由AuthenticationManager以及AuthenticationProvider负责的，需要强调的是，如果用户不存在，不应返回NULL，而要抛出异常UsernameNotFoundException7.AuthenticationManagerAuthenticationManager（接口）是认证相关的核心接口，也是发起认证的出发点，因为在实际需求中，我们可能会允许用户使用用户名+密码登录，同时允许用户使用邮箱+密码，手机号码+密码登录，甚至，可能允许用户使用指纹登录（还有这样的操作？没想到吧），所以说AuthenticationManager一般不直接认证，AuthenticationManager接口的常用实现类ProviderManager内部会维护一个List<AuthenticationProvider>列表，存放多种认证方式，实际上这是委托者模式的应用（Delegate）。8、DaoAuthenticationProviderAuthenticationProvider最最最常用的一个实现便是DaoAuthenticationProvider。顾名思义，Dao正是数据访问层的缩写，也暗示了这个身份认证器的实现思路。主要作用：它获取