JavaEE和体系结构解析.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 安全性低： 客户端同DB服务器直连——非法用户容易通过客户端入侵， 部署困难——胖客户端 客户端软件 不是基于web的，只能适用在LAN 胖客户端：应用逻辑集中在客户端， 安装耗时：需要每台客户端都安装客户端专用的应用程序 扩展更新困难：每次业务规则变化，都需要不断更新或重新安装客户端代码，重新部署客户端 耗费系统资源 每个客户端程序都直连到DB服务器，为每个客户端建立连接耗费服务器资源——耗费资源 ——不适合过多的用户 * 安全性高： 中间的应用层，隔离了客户端程序对数据服务器的直接访问，保护了数据安全 部署容易——瘦客户端 客户层的功能大大削弱，原来由客户端实现的应用逻辑和数据访问等功能都迁移到服务器上实现了—— 瘦客户——应用逻辑集中在服务器端 很多应用只需安装浏览器即可，基于web的 快速响应 通过中间件服务器的负载均衡和缓存数据能力，提高对客户端的响应速度 易于扩展 每次业务规则变化，只需在应用服务器重新部署新服务器端组件，无需更新或重新安装每个客户端 * * * * * * * * * * * * * * 连接确保在数据库上完整的执行一系列操作，且具有原子 * * * * * * * * * * * * * * * * JMS的消息传递方式有2种： - PTP：点对点方式，以队列的方式进行消息的处理； - Pub/Sub：发布/订阅方式，包含了“消息调适器（Topic）”，通过这个调用器来 处理消息； - 2种方式也可以同时存在一个应用中； Java EE进阶技术标准 – JMS JAAS定义： - Java Authentication Authorization Service，Java验证授权API； - 是JCE安全框架的补充标准，通过验证代码运行者的身份及其权限来保护应用 系统免受攻击； - JAAS采用PlugIn方式运行，支持可插拔方式，只要对JAAS配置就可以实现JAAS 的部署与卸载； - JAAS提供一组身份验证，以及权限校验的接口； Java EE进阶技术标准 – JAAS JAAS的结构特点： - JAAS在应用和底层的验证授权机制之间加入了一个抽象层，该抽象层相对独 立，并且与平台特性无关； - 与Java Security API类似，JAAS也是通过一个可扩展的框架，SPI来保证程序的 独立运行机制； - SPI（服务提供者接口）中包括2个核心部件： LoginContext：负责与应用程序的代码进行连接； LoginModules：是一组动态配置验证模块，包括了一系列验证机制； Java EE进阶技术标准 – JAAS - JAAS的结构逻辑如下； Java EE进阶技术标准 – JAAS - 刚才提到，JAAS的运行方式是PlugIn方式，所在所有的LoginModules都可以进 行“热插拔”； - LoginModules之间存在层级关系，相互之间按照顺序运行，只要有一个模块是 校验失败的，那整个LoginModule将会返回失败； - JAAS本身也带事务行为，其实现机制也类似于刚才所提到的“两步提交”； Java EE进阶技术标准 – JAAS JAAS的核心部件： - LoginModule ：确认用户的合法性（使用CallbackHandler或者其他类方法）， 并分配访问权限principal给subject； - LoginContext：实现用户鉴别，建立相应的环境，从配置文件中导入规则； - CallbackHandler：回调处理器，负责与用户（代码拥有者和执行者）交互， 确认其身份的合法性； - Subject：表示登陆处理的目标，即一个被鉴别的用户，并可关联一个或多个 Pirncipal； - Principal：表示具有访问权限的一个实体，可以看作是可以执行某种操作的 凭证； Java EE进阶技术标准 – JAAS JAAS的运行及认证原理：