Management 9. Cryptography 密码 III. Web Applications 10. Web 10.1. Configuration 配置 10.2. 基于路径的 url 安全 10.3. Default Filters 默认过滤器 10.4. Session Management 10.5. JSP Tag Library IV. Auxiliary Support 根目录里。这个执行动作反映出 shiro 支持 Factory Method Design Pattern（工厂模式）。classpath：资源的指示前缀，告诉 shiro 从哪里加载 ini 文件（其 它前缀，如 url:和 file: 也被支持）。 2.factory.getInstance() 方法被调用，该方法分析 INI 文件并根据配置文件返回一个 SecurityManager 实例。 3.在这个简单示例中，我们将 Architecture 架构 Cryptography 在安全框架中是一个自然的附加产物，Shiro 的 crypto 包包含了易用且易懂的 加密方式，Hashes（即digests）和不同的编码实现。该包里所有的类都亦于理解和使用，曾 经用过 Java 自身的加密支持的人都知道那是一个具有挑战性的工作，而 Shiro 的加密 API 简 化了 java 复杂的工作方式，将加密变得易用。

. . . . 241 19.2 URL 重写 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242 19.2.1 URL 重写实现会话跟踪的方法 . . . . . . . . . . . . . . . . . . . . 242 19.2.2 URL 重写的缺点 . . . . . . 布尔型数据存储占 1 个字节，默认取值为 false。 • 布尔型数据 true 和 false 不能转换成数字表示形式。 字符型 • 字符型数据类型用来存储单个字符，采用的是 Unicode 字符集编码方案1。 • 字符声明用单引号表示单个字符。 • 字符型数据可以转化为整型。 示例代码：字符数据类型示例 1 public class CharDemo { 2 public static static void main(String[] args) { 3 char a = ’J’; 4 char b=’Java’; //会报错 5 } 6 } 1建议搜索理解什么是字符集和字符编码规则。 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

服务器在向客户端发送 HTTP 响应时也可以包含响应头， 来指示客户端浏览器如何处理响应体，主要包括响应的类型、字 符编码和字节大小等信息。 O 常见响应头内容 1. 指示 HTTP 响应可以接收到的文档类型集：Accept 2. 告知客户可以接收的字符集：Accept-Charset 3. 响应的字符编码集：Accept-Encoding 4. 响应体的 MIME 类型：Content-Type 5. 响应体的语言类型：Context-Language 6. 响应体的长度和字节数：Content-Length 7. 通知客户端到期时间：Expires 8. 缓存情况：Cache-Control 9. 重定向到另一个 URL 地址：Redirect 大纲 HTTP 响应的内容 HTTP 响应对象 响应对象功能和方法 „ 响应体 响应体类型由响应头确定，可以是任何类型。浏览器在处理响应 体之前，会收到响应头，根据响应头的信息，确定如何处理响应 HTTP 响应的内容 HTTP 响应对象 响应对象功能和方法 „ 响应体  注意 ▶ 文本类型响应要求响应头中包含 MIME 类型和字符编码集， 使用字符输出流向客户端发送响应体数据； ▶ 二进制数据类型响应需要在响应头中包含 MIME 类型，不 要设置字符编码集，使用字节输出流向客户端发送响应体 数据。 大纲 HTTP 响应的内容 HTTP 响应对象 响应对象功能和方法 接下来⋯ HTTP

文件，它位于 classpath 的根目录。该实现反 映了 Shiro 对工厂设计模式的支持。classpath: 前缀是一个资源定位符，用来告诉 shiro 去哪加载 ini 文件（其 他前缀，如 url:和 file:也同样被支持）。 2. factory.getInstance()方法被调用，它来解析 INI 文件并返回反映该配置的 SecurityManager 实例。 3. 在这个简单的例子中，我们把 Cryptography 是对企业安全框架的一个很自然的补充。Shiro 的 crypto 包包含量易于使用和理解的 cryptographic Ciphers，Hasher（又名 digests）以及不同的编码器实现的代表。所有在这个包中的类都被精心地设计以易于 使用和易于理解。任何使用 Java 的本地密码支持的人都知道它可以是一个难以驯服的具有挑战性的动物。Shiro 的 cryptoAPI 简化了复杂的 resource 我们能够从一个 INI 资源路径创建 SecurityManager 实例。我们可以从文件系统，classpath，或分别拥有前缀 file:， classpath:，或 url:的 URL 中获取资源。本例采用 Factory 提取 classpath 根目录下的 shiro.ini 文件并返回 SecurityManager 实例： SecurityManager

....................... 37 第五章 编码/加密....................................................................................................................... 41 编码/解码 .............................. ................................................................................... 155 第十九章 动态 URL 权限控制.............................................................................................. AuthenticationException 异常，根 据异常提示用户错误信息；否则登录成功； 3、最后调用 Subject.logout 进行退出操作。 如上测试的几个问题： 1、用户名/密码硬编码在 ini 配置文件，以后需要改成如数据库存储，且密码需要加密存储； 2、用户身份 Token 可能不仅仅是用户名/密码，也可能还有其他的，如登录时允许用户名/ 邮箱/手机号同时登录。

ServletResponse response,FilterChain chain) throws IOException, ServletException 过滤器的核心方法，在满足过滤器过滤目标 URL 的请求和响应 时调用，开发人员在此方法中编写过滤功能代码。 public void destroy() 在过滤器销毁之前此方法被调用，此方法主要编写清理和关闭打 开的资源操作，如关闭数据库连接、将过滤信息保存到外部资源 过滤器 API Java EE 过滤器编程和配置 过滤器的主要任务 本节习题 javax.servlet.FilterChain 接口 此接口的对象表达过滤器链，在 Java EE 规范中对每个 URL 的 请求和响应都可以定义多个过滤器，这些过滤器构成过滤器链。 ▶ 过滤器使用 FilterChain 接口的 doFilter() 方法来调用过滤 器链中的下一个过滤器，如果没有下级过滤器，则将用 if (request.getContentType().equals(contentType)) { 17 request.setCharacterEncoding(code); // �置字符编码集 18 } 19 //�续下个过滤器 20 chain.doFilter(req, res); 21 } 23 public void destroy() { 24 //放置过滤器销毁的处理代码

value="Upload"/> enctype 说明 enctype 属性规定在发送到服务器之前应该如何对表单数据进 行编码。默认地，表单数据会编码为“application/x-www-form- urlencoded”。即是在发送到服务器之前，所有字符都会进行编码 （空格转换为”+” 加号，特殊符号转换为 ASCII HEX 值）。 为了上传文件，必须将 HTML FORM 的 enctype

HTTP 请求中包含的信息 O HTTP 请求头标记和说明 User-Agent 浏览器的机器环境 Accept 浏览器支持哪些 MIME 数据类型 Accept-Charset 浏览器支持的字符编码 Accept-Encoding 浏览器支持哪种数据压缩格式 Accept-Language 浏览器指定的语言环境 Host 浏览器访问的主机名 Referer 浏览器是从哪个页面来的 Cookie 请求中包含的信息 ‚ GET 请求 无请求体，请求数据直接在请求的 URL 地址中，作为 URL 的 一部分发送给 Web 服务器。 1 http://localhost:8080/webapp/login.do?id=9001&pass=9001 ▶ 请求体为空，提交数据直接在 URL 上，作为请求头部分传 输到 Web 服务器，通过 URL 的 QueryString 部分能得到 提交的参数数据。 此种方式对提交数据的大小有限制，不同浏览器会有所不 同，如 IE 为 2083 字节。GET 请求时数据会出现在 URL 中，保密性差，实际编程中要尽量避免。 大纲 HTTP 请求内容 Java EE 请求对象 HTTP 请求中包含的信息 ‚ GET 请求 无请求体，请求数据直接在请求的 URL 地址中，作为 URL 的 一部分发送给 Web 服务器。 1 http://localhost:8080/webapp/login

让Struts2 的核心 Filter ��所有请求 --> 17 18 struts2 19 <url-pattern>/*url-pattern> 20 21 大纲 Java Web 应用的开发演化 经典 MVC 框架 - Struts 2 本节习题 7 8 9 10 11 ... 12 注意：在 Eclipse 3 4 5 6 7 3