【文章內(nèi)容簡(jiǎn)介】 0秒鐘內(nèi)完成。4．安全性（Security）要求系統(tǒng)應(yīng)采用多種安全機(jī)制，確保用戶使用安全。(1) 按權(quán)限使用系統(tǒng)，根據(jù)權(quán)限分配系統(tǒng)模塊及使用規(guī)則。(2) 系統(tǒng)須防止非注冊(cè)用戶使用該系統(tǒng)。(3) 除管理員用戶外，其他用戶均不可查看相互之間的信息和分配權(quán)限。(4) 提供運(yùn)行日志管理及審計(jì)功能[10]5．可支持性（Supportability）要求系統(tǒng)的升級(jí)只需要在服務(wù)器端由系統(tǒng)管理員完成，不需要用戶的參與。6．可擴(kuò)展性（Extendibility）要求確保系統(tǒng)可根據(jù)業(yè)務(wù)的發(fā)展需求而進(jìn)行擴(kuò)展，能增加新的功能，并能提供與其他系統(tǒng)的接口。用例是一種最好的理解和描述需求的技巧，從根本上說，用例是功能性需求，它表明了系統(tǒng)會(huì)怎樣工作。用例是系統(tǒng)中的一個(gè)功能單元，可以被描述為執(zhí)行者與系統(tǒng)之間的一次交互作用。用例模型是所有用例的集合。用例模型的用途是列出系統(tǒng)中的用例和執(zhí)行者，并顯示哪個(gè)執(zhí)行者參與了哪個(gè)用例的執(zhí)行[8]。建立用例模型的目的在于使用戶和開發(fā)者雙方可以在高層次上把握系統(tǒng)的主要功能，從而使為今后的設(shè)計(jì)及實(shí)現(xiàn)打下堅(jiān)實(shí)的基礎(chǔ)。用例模型的提出對(duì)于軟件開發(fā)方法的研究具有重要的意義[11]。用例圖顯示系統(tǒng)中的使用案例與角色及其相互關(guān)系。使用用例是系統(tǒng)提供的高級(jí)功能塊，角色是與所建系統(tǒng)交互的對(duì)象。通過使用用例觀察系統(tǒng)，能夠?qū)⑾到y(tǒng)實(shí)現(xiàn)與系統(tǒng)目標(biāo)分開，有助于了解最重要的部分滿足用戶要求和期望，而不會(huì)沉浸于實(shí)現(xiàn)細(xì)節(jié)。通過使用用例，客戶可以看到系統(tǒng)提供的功能，先確定系統(tǒng)范圍再深入開展項(xiàng)目工作[12]。根據(jù)上述功能模塊的定義，系統(tǒng)級(jí)用例總圖模型如下：系統(tǒng)管理員制劑管理用戶生產(chǎn)管理員查詢用戶系統(tǒng)管理用戶管理數(shù)據(jù)管理設(shè)備管理成本管理負(fù)責(zé)人制劑生產(chǎn)記錄出廠記錄進(jìn)庫(kù)記錄制劑庫(kù)存管理制劑使用管理制劑名稱及代碼制劑信息查詢制劑使用查詢制劑生產(chǎn)查詢制劑庫(kù)存查詢圖23系統(tǒng)用例總圖 小結(jié)本章主要討論系統(tǒng)的需求。從系統(tǒng)設(shè)計(jì)目標(biāo)、設(shè)計(jì)原則出發(fā)，根據(jù)系統(tǒng)實(shí)際應(yīng)用需要，設(shè)計(jì)系統(tǒng)的主要功能模塊，最后，根據(jù)需求分析，給出了系統(tǒng)用例圖。第3章 系統(tǒng)架構(gòu)設(shè)計(jì)隨著網(wǎng)絡(luò)帶寬和網(wǎng)絡(luò)應(yīng)用的發(fā)展，加上AJAX技術(shù)的流行，使得現(xiàn)在越來(lái)越多的應(yīng)用系統(tǒng)都開始傾向于采用B/S結(jié)構(gòu)進(jìn)行設(shè)計(jì)，充分利用B/S結(jié)構(gòu)的優(yōu)點(diǎn)，發(fā)揮Web應(yīng)用的內(nèi)在潛力，挖掘應(yīng)用深度和擴(kuò)大適應(yīng)能力，采用先進(jìn)的應(yīng)用架構(gòu)和以實(shí)用為根本準(zhǔn)則，使得系統(tǒng)既能滿足業(yè)務(wù)需求，又能適應(yīng)將來(lái)發(fā)展需要。因此，在開發(fā)Web應(yīng)用系統(tǒng)時(shí)遵循以下設(shè)計(jì)原則。1．實(shí)用性原則：在滿足功能、性能、維護(hù)方面的要求的同時(shí)，減少對(duì)操作人員培訓(xùn)的難度，以及系統(tǒng)維護(hù)和管理的壓力；系統(tǒng)提供簡(jiǎn)單方便的用戶界面，使用戶通過簡(jiǎn)單培訓(xùn)就可熟練操作，日常操作所需的功能必需完備簡(jiǎn)明，注重實(shí)用性和多樣性相結(jié)合。2．適應(yīng)性和可擴(kuò)展性原則：系統(tǒng)具備超強(qiáng)的適應(yīng)能力，能適應(yīng)于多種運(yùn)行環(huán)境，來(lái)應(yīng)對(duì)未來(lái)變化的環(huán)境和需求。系統(tǒng)采用分布式設(shè)計(jì)、系統(tǒng)結(jié)構(gòu)模塊化設(shè)計(jì)，系統(tǒng)架構(gòu)可以根據(jù)網(wǎng)絡(luò)環(huán)境和用戶的訪問量而適時(shí)調(diào)整，實(shí)現(xiàn)了系統(tǒng)的可擴(kuò)展性。3．可靠性原則：系統(tǒng)運(yùn)行可靠，在出現(xiàn)異常的時(shí)候有人性化的異常信息方便用戶理解原因，并采取適當(dāng)?shù)膽?yīng)對(duì)方案，在設(shè)計(jì)業(yè)務(wù)量比較大的時(shí)候采用先進(jìn)的嵌入式技術(shù)來(lái)保證業(yè)務(wù)的流暢運(yùn)行。4．可維護(hù)性和可管理性原則：系統(tǒng)有完善的管理機(jī)制，方便日常維護(hù)和管理。5．安全性原則：通過有效的用戶和權(quán)限管理，在數(shù)據(jù)的瀏覽、更新、維護(hù)等不同層面上實(shí)施相應(yīng)的安全控制策略，保證數(shù)據(jù)不被非法篡改和丟失。采用五層安全體系，即網(wǎng)絡(luò)層安全、系統(tǒng)安全、用戶安全、用戶程序的安全和數(shù)據(jù)安全。具備完備的日志和安全審計(jì)手段，具備數(shù)據(jù)的備份和恢復(fù)機(jī)制，在系統(tǒng)出現(xiàn)異?；蚬收蠒r(shí)能夠方便、快速恢復(fù)[13]。6．總體規(guī)劃、分層實(shí)施原則：在開始設(shè)計(jì)之前對(duì)Web系統(tǒng)進(jìn)行總體設(shè)計(jì)，然后在總體設(shè)計(jì)指導(dǎo)下分步開發(fā)?；贘2EE技術(shù)的應(yīng)用系統(tǒng)是一個(gè)融合了多元信息的集成系統(tǒng)，采用分層開發(fā)：表現(xiàn)層、控制層、業(yè)務(wù)邏輯層、模型層、數(shù)據(jù)訪問層，在適應(yīng)系統(tǒng)需求的準(zhǔn)則下，設(shè)計(jì)低耦合的分層結(jié)構(gòu)，有利于團(tuán)隊(duì)成員的分工協(xié)作，提高開發(fā)效率，降低項(xiàng)目風(fēng)險(xiǎn)，實(shí)現(xiàn)各個(gè)模塊的功能設(shè)計(jì)，完成整個(gè)系統(tǒng)的開發(fā)。系統(tǒng)要求在系統(tǒng)的性能、互聯(lián)方便性、安全性等方面具有良好的技術(shù)體系結(jié)構(gòu)來(lái)實(shí)現(xiàn)?；贘2EE的多層架構(gòu)具有良好的、可擴(kuò)展的性能、便于系統(tǒng)互聯(lián)、具有很高的安全性，同時(shí)也易于維護(hù)，因此我們采用J2EE的多層架構(gòu)作為系統(tǒng)的主技術(shù)架構(gòu)[14]。J2EE多層架構(gòu)的層包括Presentation Tier（表示層）、Web Server Tier（Web服務(wù)器層）、 Application Server Tier（應(yīng)用服務(wù)器層）和 Data Tier（數(shù)據(jù)層）四層。瀏覽層：客戶端實(shí)現(xiàn)；WEB服務(wù)器層：用戶界面與數(shù)據(jù)表現(xiàn)層，通過Html，Servlet，Jsp實(shí)現(xiàn)表現(xiàn)邏輯；應(yīng)用服務(wù)器層：應(yīng)用層是客戶請(qǐng)求的商業(yè)邏輯的實(shí)現(xiàn)。應(yīng)用服務(wù)器應(yīng)完全基于J2EE標(biāo)準(zhǔn)的JAVA組件技術(shù)，可將JAVA組件分布在多個(gè)服務(wù)器上進(jìn)行統(tǒng)一的管理與調(diào)度。一方面組成一個(gè)應(yīng)用的組件在多臺(tái)機(jī)器上運(yùn)行會(huì)提高效率；另外，一個(gè)組件可以分布在兩臺(tái)以上的機(jī)器上，保證每個(gè)組成應(yīng)用的組件在任何情況下都是可用的，從而提高了應(yīng)用的可靠性。數(shù)據(jù)層：數(shù)據(jù)邏輯層，存儲(chǔ)在高性能數(shù)據(jù)庫(kù)中的關(guān)鍵業(yè)務(wù)數(shù)據(jù)。J2EE體系結(jié)構(gòu)提供中間層集成框架用來(lái)滿足無(wú)需太多費(fèi)用而又需要高可用性、高可靠性以及可擴(kuò)展性的應(yīng)用的需求。通過提供統(tǒng)一的開發(fā)平臺(tái)，J2EE降低了開發(fā)多層應(yīng)用的費(fèi)用和復(fù)雜性，同時(shí)提供對(duì)現(xiàn)有應(yīng)用程序集成強(qiáng)有力支持，完全支持Enterprise JavaBeans，有良好的向?qū)еС执虬筒渴饝?yīng)用，添加目錄支持，增強(qiáng)了安全機(jī)制，提高了性能。高效的開發(fā): J2EE允許公司把一些通用的、很繁瑣的服務(wù)端任務(wù)交給中間件供應(yīng)商去完成。這樣開發(fā)人員可以集中精力在如何創(chuàng)建商業(yè)邏輯上，相應(yīng)地縮短了開發(fā)時(shí)間。高級(jí)中間件供應(yīng)商提供以下這些復(fù)雜的中間件服務(wù):狀態(tài)管理服務(wù)：讓開發(fā)人員寫更少的代碼，不用關(guān)心如何管理狀態(tài)，這樣能夠更快地完成程序開發(fā)。 持續(xù)性服務(wù)：讓開發(fā)人員不用對(duì)數(shù)據(jù)訪問邏輯進(jìn)行編碼就能編寫應(yīng)用程序，能生成更輕巧，與數(shù)據(jù)庫(kù)無(wú)關(guān)的應(yīng)用程序，這種應(yīng)用程序更易于開發(fā)與維護(hù)。 分布式共享數(shù)據(jù)對(duì)象CACHE服務(wù)：讓開發(fā)人員編制高性能的系統(tǒng)，極大提高整體部署的伸縮性。 支持異構(gòu)環(huán)境：J2EE能夠開發(fā)部署在異構(gòu)環(huán)境中的可移植程序。基于J2EE的應(yīng)用程序不依賴任何特定操作系統(tǒng)、中間件、硬件。因此設(shè)計(jì)合理的基于J2EE的程序只需開發(fā)一次就可部署到各種平臺(tái)。這在典型的異構(gòu)企業(yè)計(jì)算環(huán)境中是十分關(guān)鍵的。J2EE標(biāo)準(zhǔn)也允許客戶訂購(gòu)與J2EE兼容的第三方的現(xiàn)成的組件，把他們部署到異構(gòu)環(huán)境中，節(jié)省了由自己制訂整個(gè)方案所需的費(fèi)用[15]。 可伸縮性：企業(yè)必須要選擇一種服務(wù)器端平臺(tái)，這種平臺(tái)應(yīng)能提供極佳的可伸縮性去滿足那些在他們系統(tǒng)上進(jìn)行商業(yè)運(yùn)作的大批新客戶?；贘2EE平臺(tái)的應(yīng)用程序可被部署到各種操作系統(tǒng)上。例如可被部署到高端UNIX與大型機(jī)系統(tǒng)，這種系統(tǒng)單機(jī)可支持64至256個(gè)處理器。J2EE領(lǐng)域的供應(yīng)商提供了更為廣泛的負(fù)載平衡策略。能消除系統(tǒng)中的瓶頸，允許多臺(tái)服務(wù)器集成部署。這種部署可達(dá)數(shù)千個(gè)處理器，實(shí)現(xiàn)可高度伸縮的系統(tǒng)，滿足未來(lái)商業(yè)應(yīng)用的需要。 J2EE使用多層的分布式應(yīng)用模型，應(yīng)用邏輯按功能劃分為組件，各個(gè)應(yīng)用組件根據(jù)他們所在的層分布在不同的機(jī)器上。傳統(tǒng)的J2EE多層企業(yè)級(jí)應(yīng)用模型將兩層化模型中的不同層面切分成許多層。一個(gè)多層化應(yīng)用能夠?yàn)椴煌拿糠N服務(wù)提供一個(gè)獨(dú)立的層，以下是 J2EE 典型的四層結(jié)構(gòu)：運(yùn)行在客戶端機(jī)器上的客戶層組件；運(yùn)行在J2EE服務(wù)器上的Web層組件；運(yùn)行在J2EE服務(wù)器上的業(yè)務(wù)邏輯層組件；運(yùn)行在EIS服務(wù)器上的企業(yè)信息系統(tǒng)(Enterprise information system)層軟件。通常認(rèn)為，J2EE平臺(tái)就廣泛的認(rèn)為是這個(gè)架構(gòu)，運(yùn)行在J2EE服務(wù)器上的EJB容器可以認(rèn)為是此結(jié)構(gòu)的核心，EJB容器管理著所有EJB的執(zhí)行，以及EJB的生命周期，并且為EJB提供所有系統(tǒng)級(jí)的服務(wù)。EJB組件則負(fù)責(zé)接受，處理WEB容器的客戶請(qǐng)求和連接提供整個(gè)企業(yè)使用的數(shù)據(jù)，服務(wù)的EIS層[15]。此“經(jīng)典”架構(gòu)中，所有的數(shù)據(jù)訪問都要通過entity bean，業(yè)務(wù)對(duì)象都是帶遠(yuǎn)程接口的無(wú)狀態(tài)session bean，運(yùn)行在EJB容器中。EJB中包含了各種服務(wù)（比如聲明式的事務(wù)管理），而且提供了一個(gè)共享的中間層，可支持可支持各種類型的J2EE客戶端。但結(jié)構(gòu)中應(yīng)用性能和開發(fā)開銷的負(fù)擔(dān)很重，一些負(fù)載來(lái)在于EJB，而很大還是與分布式架構(gòu)的特性有關(guān)。此外為了分布化，犧牲了OO原則，并且難以測(cè)試，因?yàn)闃I(yè)務(wù)邏輯通常編寫在EJB的實(shí)現(xiàn)類中，而這些類完全依賴于EJB容器的。此“經(jīng)典”架構(gòu)的一種改進(jìn)，便是把遠(yuǎn)程EJB替換為本地EJB，實(shí)現(xiàn)了架構(gòu)的重用，解決了分布化的種種問題。但架構(gòu)還是相當(dāng)?shù)膹?fù)雜。EJB的很多負(fù)擔(dān)還是存在，從EJB中獲得益處反而不多。所以隨著企業(yè)級(jí)應(yīng)用開發(fā)的不斷復(fù)雜，對(duì)架構(gòu)設(shè)計(jì)的要求也會(huì)提出新的要求：架構(gòu)簡(jiǎn)單，但功能強(qiáng)大；架構(gòu)可以通過配置WEB容器集群來(lái)達(dá)到橫向擴(kuò)展；在不同的應(yīng)用服務(wù)器之間具有高移植性；便于在應(yīng)用服務(wù)器之外進(jìn)行業(yè)務(wù)對(duì)象的單元測(cè)試，而且，一些集成測(cè)試甚至可以讓一些輕量級(jí)容器（如Junit）來(lái)完成。為了解決經(jīng)典架構(gòu)中有EJB引起的一系列問題以及滿足不斷發(fā)展的企業(yè)應(yīng)用，提出了非EJB架構(gòu)的“輕量級(jí)容器”。輕量級(jí)容器與EJB架構(gòu)都是有容器管理業(yè)務(wù)服務(wù)對(duì)象，然后再圍繞著這個(gè)服務(wù)層組織整個(gè)架構(gòu)。但是業(yè)務(wù)對(duì)象不是運(yùn)行在EJB容器中，而是運(yùn)行在“輕量級(jí)容器”中。輕量級(jí)容器并沒有和J2EE綁定，所以它既可以運(yùn)行在WEB容器里，也可以在一個(gè)標(biāo)準(zhǔn)應(yīng)用程序中運(yùn)行，如必要也可以運(yùn)行在EJB容器中。這個(gè)容器也沒有和servlet API綁定。這一點(diǎn)與MVC結(jié)構(gòu)的WEB框架不同。輕量級(jí)容器的啟動(dòng)開銷很小，而且無(wú)需EJB的部署。輕量級(jí)容器提供了一種管理、定位業(yè)務(wù)對(duì)象的辦法。用不著JNDI尋址、定制服務(wù)器之類的額外輔助；輕量級(jí)容器為應(yīng)用對(duì)象提供注冊(cè)服務(wù)。其較之EJB容器而言，不僅功能強(qiáng)大，而且避免了容器強(qiáng)制業(yè)務(wù)對(duì)象采用特定的接口，最低程度的降低了侵入性，實(shí)現(xiàn)了效果極佳的架構(gòu)重用[16]。輕量級(jí)容器中所有的Java類都運(yùn)行在同一個(gè)虛擬機(jī)中。WEB層是由MVC框架提供的（Struts或WebWork，或Spring架構(gòu)的MVC結(jié)構(gòu)）業(yè)務(wù)對(duì)象是POJO，運(yùn)行在輕量級(jí)容器里。AOP的攔截機(jī)制能夠增強(qiáng)業(yè)務(wù)對(duì)象，從而實(shí)現(xiàn)企業(yè)級(jí)服務(wù)。與EJB容器不同，業(yè)務(wù)對(duì)象不依賴于容器的API，所以這些對(duì)象在容器外也可以使用，更利于單元測(cè)試。業(yè)務(wù)對(duì)象僅僅通過接口來(lái)訪問，當(dāng)更改具體業(yè)務(wù)對(duì)象的實(shí)現(xiàn)類后，業(yè)務(wù)對(duì)象無(wú)需修改。實(shí)現(xiàn)了面向接口編程。數(shù)據(jù)訪問機(jī)制可以通過輕量級(jí)的O/R Mapping，該層能提供透明的持久化，該持久層實(shí)現(xiàn)了對(duì)數(shù)據(jù)訪問方式JDBC的輕量級(jí)封裝。對(duì)于Web系統(tǒng)來(lái)說，由于其運(yùn)行環(huán)境是一個(gè)開放的網(wǎng)絡(luò)環(huán)境，因此如何構(gòu)建一個(gè)堅(jiān)固的安全系統(tǒng)顯的尤為必要。典型的Web信息系統(tǒng)主要由網(wǎng)絡(luò)層，操作系統(tǒng)層，Web Server層，數(shù)據(jù)庫(kù)層，應(yīng)用程序?qū)?，客戶端層?gòu)成，如圖所示。客戶端層應(yīng)用程序?qū)訑?shù)據(jù)庫(kù)層Web Server層操作系統(tǒng)層網(wǎng)絡(luò)層自下而上進(jìn)行攻擊圖31 Web信息系統(tǒng)體系結(jié)構(gòu)圖其中各層次面臨的主要安全隱患如下：網(wǎng)絡(luò)層：來(lái)自網(wǎng)絡(luò)層的攻擊主要利用網(wǎng)絡(luò)體系結(jié)構(gòu)的不完善性，以及TCP/IP協(xié)議及其它應(yīng)用層協(xié)議（如SMTP，Telnet，F(xiàn)TP等）存在的漏洞。攻擊方式主要有欺騙攻擊、否認(rèn)服務(wù)、拒絕服務(wù)、數(shù)據(jù)截取和數(shù)據(jù)纂改等。其中最嚴(yán)重的是一種面向Web應(yīng)用程序的威脅，即分布式拒絕服務(wù)（DDOS），利用大量計(jì)算機(jī)發(fā)出足夠多的虛假請(qǐng)求，以致目標(biāo)系統(tǒng)超負(fù)荷，無(wú)力向其它用戶提供服務(wù)，甚至崩潰。目前還沒有行之有效的方法來(lái)對(duì)付DDOS攻擊，只能靠加強(qiáng)網(wǎng)絡(luò)的安全策略，實(shí)時(shí)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行檢測(cè)來(lái)防止[17]。操作系統(tǒng)層：網(wǎng)絡(luò)系統(tǒng)的安全性依賴于網(wǎng)絡(luò)中各主機(jī)系統(tǒng)的安全性，而主機(jī)系統(tǒng)的安全性正是由其操作系統(tǒng)的安全性所決定的，沒有安全操作系統(tǒng)的支持，網(wǎng)絡(luò)安全也毫無(wú)根基可言。由于操作系統(tǒng)非常復(fù)雜，不可避免的存在各種安全漏洞，尤其是默認(rèn)安裝配置的操作系統(tǒng)，安全威脅更大。在六層模型中，操作系統(tǒng)受攻擊的可能性是最大的，操作系統(tǒng)的安全性要靠用戶正確的口令策略和設(shè)置、卸載不必要的服務(wù)和軟件、及時(shí)升級(jí)軟件版本來(lái)保障。 Web Server層：大部分Web服務(wù)器不再提供靜態(tài)HTML頁(yè)面，而是提供動(dòng)態(tài)內(nèi)容。惡意用戶往往利用其互動(dòng)操作獲得非法權(quán)限，進(jìn)而以此攻擊其它服務(wù)器系統(tǒng)。對(duì)Web Server最常見的攻擊之一是分解MDAC的部件，它通過在 Web Server上執(zhí)行Shell命令，獲得非公開文件的訪問權(quán)。數(shù)據(jù)庫(kù)層：數(shù)據(jù)庫(kù)是業(yè)務(wù)系統(tǒng)的基礎(chǔ)，應(yīng)具有最高的優(yōu)先級(jí)，其面臨的威脅主要來(lái)自不安全的口令存儲(chǔ)、數(shù)據(jù)庫(kù)沒有配置或未正確配置以及無(wú)法識(shí)別的數(shù)據(jù)庫(kù)后門。通過評(píng)估數(shù)據(jù)庫(kù)的脆弱性和使用限制性安全策略來(lái)找到它們后門，可以有效地減少安全威脅。應(yīng)用程序?qū)蛹翱蛻舳藢樱簯?yīng)用程序與用戶最終實(shí)現(xiàn)交互，往往攻擊也容易從此開始，可能一個(gè)程序上的漏洞，都會(huì)使我們的工作前功盡棄。程序設(shè)計(jì)者必須保證程序結(jié)構(gòu)是安全的，保證代碼不會(huì)引入脆弱性?？蛻舳藢又饕缚蛻舳顺绦颍_本）集，本質(zhì)上應(yīng)屬于應(yīng)用程序?qū)拥淖蛹?，之所以單?dú)提出來(lái)，是由于其不可控制性，如腳本注入，跨站點(diǎn)的腳本處理和SQL注入攻擊，都是利用不安全的客戶端腳本來(lái)完成的，因此對(duì)任何來(lái)自客戶端的數(shù)據(jù)，都應(yīng)當(dāng)以審慎的態(tài)度對(duì)待[25]。下面將從訪問安全、數(shù)據(jù)庫(kù)安全和應(yīng)用安全三個(gè)主要方面對(duì)系統(tǒng)的安全性進(jìn)行描述和設(shè)計(jì)。用戶在進(jìn)入系統(tǒng)時(shí)，首先判斷用戶是否有權(quán)使用系統(tǒng)，即判定用戶的合法性，也稱之為身份認(rèn)證。身份認(rèn)證就是驗(yàn)證客戶端憑據(jù)的過程，身份認(rèn)證要求客戶端提供能標(biāo)識(shí)其身份的憑據(jù)(如：用戶名密碼對(duì)，客戶端數(shù)字證書等)，服務(wù)器端通過驗(yàn)證客戶端提供憑據(jù)的有效性來(lái)確認(rèn)客戶端請(qǐng)求的合法性，然后根據(jù)客戶身份授權(quán)資源的訪問[20