《第六章基于WEB的信息系统开发(信息系统分析与设计,甘仞初等)》由会员分享,可在线阅读,更多相关《第六章基于WEB的信息系统开发(信息系统分析与设计,甘仞初等)(60页珍藏版)》请在文档大全上搜索。
1、信息系统分析与设计1第六章第六章 基于基于WEB的信息系统开发的信息系统开发 第一节第一节 基于基于WEBWEB的信息系统开发概述。的信息系统开发概述。 第二节第二节 基于基于WEBWEB的信息系统软件运行环境。的信息系统软件运行环境。 第三节第三节 基于基于WEBWEB的信息系统开发技术。的信息系统开发技术。 第四节第四节 基于基于WEBWEB的信息系统安全。的信息系统安全。 第五节第五节 基于基于WEBWEB的信息系统开发工具。的信息系统开发工具。 第六节第六节 基于基于WEBWEB的信息系统的发展。的信息系统的发展。 第七节第七节 远程销售管理系统开发案例。远程销售管理系统开发案例。信息
2、系统分析与设计2第一节第一节 基于基于WEB的信息系统开发概述的信息系统开发概述 信息系统计算模式是指组成系统的硬件、软件和数据等信息系统计算模式是指组成系统的硬件、软件和数据等资源的逻辑和物理配置及其共同工作方式。资源的逻辑和物理配置及其共同工作方式。 信息系统计算模式经历从以单机系统和面向终端的多用信息系统计算模式经历从以单机系统和面向终端的多用户系统为代表的集中计算模式到以资源共享式、客户机户系统为代表的集中计算模式到以资源共享式、客户机/ /服务器(服务器(Client/ServerClient/Server,简记为,简记为C/SC/S)模式和浏览器)模式和浏览器/WEB/WEB服务器
3、服务器(Browser/WEB Server(Browser/WEB Server,简记为,简记为B/S)B/S)模式为模式为代表的分布式计算模式的从简单到复杂、从低级到高级代表的分布式计算模式的从简单到复杂、从低级到高级的发展过程。的发展过程。 在目前和今后的一段时间里,在目前和今后的一段时间里,B/SB/S模式仍将是信息系统模式仍将是信息系统的主流计算模式。的主流计算模式。信息系统分析与设计3第一节第一节 基于基于WEB的信息系统开发概述的信息系统开发概述 大量基于大量基于WEBWEB的信息系统研究和开发的实践表明:尽管的信息系统研究和开发的实践表明:尽管新技术带来了信息系统计算模式的改变
4、,但已有的信新技术带来了信息系统计算模式的改变,但已有的信息系统分析和设计方法,如结构化方法和面向对象方息系统分析和设计方法,如结构化方法和面向对象方法等在基于法等在基于WEBWEB的信息系统开发中仍然适用。的信息系统开发中仍然适用。 因此,在采用结构化方法或面向对象方法等信息系统因此,在采用结构化方法或面向对象方法等信息系统分析和设计方法的基础上,了解和掌握运用各种基于分析和设计方法的基础上,了解和掌握运用各种基于WEBWEB的信息系统开发技术,实现信息系统分析和设计以的信息系统开发技术,实现信息系统分析和设计以及信息系统计算模式的要求是进行基于及信息系统计算模式的要求是进行基于WEBWEB
5、的信息系统的信息系统开发的重点。开发的重点。 信息系统分析与设计4第二节第二节 基于基于WEB的信息系统软件运行环境的信息系统软件运行环境 典型基于典型基于WEBWEB的信息系统软件运行环境包括三个部分:的信息系统软件运行环境包括三个部分:WEBWEB浏览器、浏览器、WEBWEB服务器和数据库管理系统。服务器和数据库管理系统。信息系统分析与设计5第二节第二节 基于基于WEB的信息系统软件运行环境的信息系统软件运行环境 WEBWEB浏览器浏览器 WEBWEB浏览器是与浏览器是与WEBWEB服务器交互的工具软件,它向服务器交互的工具软件,它向WEBWEB服务器发出服务请求,同时接收服务器发出服务请
6、求,同时接收WEBWEB服务器送回的服务器送回的请求响应,并以请求响应,并以WEBWEB页面的形式将其显示出来。页面的形式将其显示出来。 WEBWEB浏览器的基本功能包括:浏览器的基本功能包括: 检索查询功能。读入超文本标记语言(检索查询功能。读入超文本标记语言(HTMLHTML:Hyper Text Markup LanguageHyper Text Markup Language)文件,解释)文件,解释HTMLHTML所描述的图表、声音、动画、表格以及链接信息。所描述的图表、声音、动画、表格以及链接信息。 文件服务功能。在文件下载时实时查阅该文件,文件服务功能。在文件下载时实时查阅该文件,
7、并通过并通过HTTPHTTP协议跟踪感兴趣的链接;也可以随时协议跟踪感兴趣的链接;也可以随时中止下载过程,对正在查阅的文件随时保存、打中止下载过程,对正在查阅的文件随时保存、打印、前后浏览等。印、前后浏览等。信息系统分析与设计6第二节第二节 基于基于WEB的信息系统软件运行环境的信息系统软件运行环境热表管理功能。热表管理功能。“热表热表”是用户刚刚访问过的是用户刚刚访问过的WEBWEB地址的列表,浏览器能够记住这些地址,供用户进地址的列表,浏览器能够记住这些地址,供用户进行不同网页地址之间的快速切换。行不同网页地址之间的快速切换。 离线浏览功能。把从离线浏览功能。把从WEBWEB服务器上获得的
8、网页、图服务器上获得的网页、图像以及其它数据存放在磁盘缓存中,并建立相应的像以及其它数据存放在磁盘缓存中,并建立相应的文档索引,当使用浏览器进行数据检索时,浏览器文档索引,当使用浏览器进行数据检索时,浏览器首先检索磁盘缓存中是否存在相应的数据,如果有首先检索磁盘缓存中是否存在相应的数据,如果有则直接从本地磁盘上读取显示,而不再从则直接从本地磁盘上读取显示,而不再从WEBWEB服务服务器上下载。器上下载。 其它其它InternetInternet服务。还可以提供如文件传输(服务。还可以提供如文件传输(FTPFTP:File Transfer ProtocolFile Transfer Proto
9、col)、电子邮件()、电子邮件(E-mailE-mail:Electronic MailElectronic Mail)、远程登录()、远程登录(TelnetTelnet: Telecommunication NetworkTelecommunication Network)、网络新闻组)、网络新闻组(UseNetUseNet:Usenet NewsgroupsUsenet Newsgroups)等其它)等其它InternetInternet服务。服务。信息系统分析与设计7第二节第二节 基于基于WEB的信息系统软件运行环境的信息系统软件运行环境 表表6-1 几种常用的几种常用的WEB浏览器浏
10、览器浏览器名浏览器名称称 开发开发者者 适用平台适用平台 主要特点主要特点 Netscape Netscape Navigator Navigator 网景网景公司公司 UnixUnix、LinuxLinux、WindowsWindows以及以及Mac OSMac OS等等 功能强大;使用方便;可免费获得功能强大;使用方便;可免费获得 Internet Internet ExploreExplore(简称(简称IEIE) 微软微软公司公司 WindowsWindows和和Mac Mac OS OS 功能强大;功能强大;WindowsWindows环境下运行速度快、环境下运行速度快、稳定性好;与
11、稳定性好;与WindowsWindows操作系统捆绑免操作系统捆绑免费赠送费赠送 Opera Opera OperaOpera公司公司 UnixUnix、LinuxLinux、WindowsWindows以及以及Mac OSMac OS等等 体积小;浏览速度快;可获得免费版体积小;浏览速度快;可获得免费版本本 Hotjava Hotjava SUNSUN公公司司 各种操作系统各种操作系统平台平台 实现了动画效果;提供真实生动的交实现了动画效果;提供真实生动的交互功能;可以免费获得非商业版本互功能;可以免费获得非商业版本 信息系统分析与设计8第二节第二节 基于基于WEB的信息系统软件运行环境的信
12、息系统软件运行环境 WEBWEB服务器服务器 WEBWEB服务器是驻留在服务器是驻留在WEBWEB服务器计算机上的一个应服务器计算机上的一个应用程序,它通过用程序,它通过WEBWEB浏览器与用户进行交互。浏览器与用户进行交互。 WEBWEB服务器的主要功能包括:服务器的主要功能包括:静态信息发布。静态信息发布。WEBWEB服务器可以将大量服务器可以将大量HTMLHTML文件及文件及其它信息文件存储在自己的文件系统中,然后根据其它信息文件存储在自己的文件系统中,然后根据浏览器发出的请求,将相应的文件发送给浏览器。浏览器发出的请求,将相应的文件发送给浏览器。 动态信息发布。动态信息发布。WEBWE
13、B服务器还可以根据用户要求动服务器还可以根据用户要求动态生成页面以获得与用户交互的效果。如,用户可态生成页面以获得与用户交互的效果。如,用户可以将姓名、地址、信用卡号、购买意向等通过页面以将姓名、地址、信用卡号、购买意向等通过页面上的表格发送给上的表格发送给WEBWEB服务器,服务器,WEBWEB服务器可以将这些服务器可以将这些信息写入数据库,并给用户一个反馈,实现电子购信息写入数据库,并给用户一个反馈,实现电子购物。物。 信息系统分析与设计9 表表6-2 几种常用的几种常用的WEB服务器服务器第二节第二节 基于基于WEB的信息系统软件运行环境的信息系统软件运行环境WEBWEB服务器名服务器名
14、称称 开发开发者者 适用平台适用平台 主要特点主要特点 Internet Internet Information Information Server Server 微软微软公司公司 Windows Server Windows Server 图形管理界面;支持图形管理界面;支持CGICGI、ISAPIISAPI、PHPPHP以及以及ASPASP编程;编程;与与Windows Windows ServerServer紧密集成紧密集成 IPlanetIPlanet Web Web Server Server 网景网景公司公司 UnixUnix、LinuxLinux和和Windows Serve
15、r Windows Server 支持支持CGICGI、服务器端、服务器端 JavascriptJavascript、ServletServlet/JSP/JSP以及以及NSAPINSAPI编程编程 Apache Apache 阿帕阿帕奇组奇组织织 UnixUnix、LinuxLinux、和、和Windows ServerWindows Server等等 使用最广泛的使用最广泛的WEBWEB服务器;源代码服务器;源代码公开并可免费获得;支持公开并可免费获得;支持CGICGI、PHPPHP和和ServletServlet/JSP/JSP编程编程 WebSphereWebSphereIBMIBM公
16、司公司 UnixUnix和和Windows Windows Server Server 符合符合J2EEJ2EE标准的完善和开放的标准的完善和开放的WEBWEB应用服务器应用服务器 WebLogic WebLogic BEABEA公司公司 UnixUnix、LinuxLinux、和、和Windows ServerWindows Server等等 符合符合J2EEJ2EE标准的完善和开放的标准的完善和开放的WEBWEB应用服务器应用服务器 信息系统分析与设计10第二节第二节 基于基于WEB的信息系统软件运行环境的信息系统软件运行环境 数据库管理系统数据库管理系统 数据库管理系统是由建立、管理和维
17、护数据库的数据库管理系统是由建立、管理和维护数据库的一组程序组成的复杂软件系统。一组程序组成的复杂软件系统。 数据库管理系统的主要功能包括:数据库管理系统的主要功能包括:定义数据库。包括定义数据的整体逻辑结构(模定义数据库。包括定义数据的整体逻辑结构(模式)、局部逻辑结构(外模式)、存储结构(内模式)、局部逻辑结构(外模式)、存储结构(内模式)。式)。 管理数据库。包括控制数据库系统的运行,控制用管理数据库。包括控制数据库系统的运行,控制用户的并发性访问,执行对数据库的安全性、保密性户的并发性访问,执行对数据库的安全性、保密性和完整性检验,实施对数据的检索、插入、删除和和完整性检验,实施对数据
18、的检索、插入、删除和修改等操作。修改等操作。 信息系统分析与设计11维护数据库。包括初始时装入数据库,运行时记录维护数据库。包括初始时装入数据库,运行时记录工作日志、监视数据库性能、在性能变坏时修改和工作日志、监视数据库性能、在性能变坏时修改和更新数据库,在系统软硬件发生变化时修改和更新更新数据库,在系统软硬件发生变化时修改和更新数据库。在软硬件系统出现故障时恢复数据库。数据库。在软硬件系统出现故障时恢复数据库。 数据通信。负责数据传输工作,通常与操作系统协数据通信。负责数据传输工作,通常与操作系统协同完成。此外,实现分时系统和远程作业输入的接同完成。此外,实现分时系统和远程作业输入的接口。口
19、。 第二节第二节 基于基于WEB的信息系统软件运行环境的信息系统软件运行环境信息系统分析与设计12 表表6-3 几种常用的数据库管理系统几种常用的数据库管理系统第二节第二节 基于基于WEB的信息系统软件运行环境的信息系统软件运行环境数据库管理数据库管理系统名称系统名称 开发者开发者 适用平台适用平台 主要特点主要特点 Microsoft SQL Server 微软公微软公司司 Windows Server 图形管理界面;图形管理界面;与与Windows Server紧密集成紧密集成 Oracle Oracle公司公司 Unix、Linux和和Windows Server等等 可移植、可兼容和可
20、联接性强;支持可移植、可兼容和可联接性强;支持多用户和高性能的事务处理多用户和高性能的事务处理 Sybase Sybase公司公司 Unix、Linux和和Windows Server等等 高性能的、具有开放的、可扩展体系高性能的、具有开放的、可扩展体系结构和易于使用的事务处理系统;并结构和易于使用的事务处理系统;并支持异构支持异构DBMS间的复制间的复制 DB2 IBM公公司司 Unix、Linux和和Windows Server等等 具有高性能、可伸缩性和高度可用性具有高性能、可伸缩性和高度可用性的大型的大型DBMS 信息系统分析与设计13第三节第三节 基于基于WEBWEB的信息系统开发技
21、术的信息系统开发技术 基于基于WEBWEB的信息系统开发技术主要包括三个方面:的信息系统开发技术主要包括三个方面:WEBWEB网络协议;网络协议;WEBWEB页面技术和数据库连接技术。页面技术和数据库连接技术。 信息系统分析与设计14第三节第三节 基于基于WEBWEB的信息系统开发技术的信息系统开发技术 WEBWEB网络协议网络协议 网络协议是网络中各台计算机进行通信的一种语网络协议是网络中各台计算机进行通信的一种语言基础和规范准则,它定义了计算机进行信息交换所言基础和规范准则,它定义了计算机进行信息交换所必须遵循的规则。基于必须遵循的规则。基于WEBWEB的信息系统采用了建立在传的信息系统采
22、用了建立在传输控制协议输控制协议/ /网间协议(网间协议(TCPTCPIPIP:Transmit Control Transmit Control ProtocolProtocolInternet Protoco1Internet Protoco1)基础上的)基础上的HTTPHTTP协议。协议。传输控制协议传输控制协议/ /网间协议(网间协议(TCP/IPTCP/IP协议)协议) TCPTCPIPIP协议最早是由美国国防部高级研究计协议最早是由美国国防部高级研究计划局(划局(ARPAARPA:Advanced Research Projects Advanced Research Projec
23、ts AgencyAgency)制定并加入到)制定并加入到InternetInternet中的。它提供了一中的。它提供了一个开放的环境,能够把各种计算机平台,包括大型个开放的环境,能够把各种计算机平台,包括大型机、小型机、工作站和机、小型机、工作站和PCPC机连接在一起,从而达到机连接在一起,从而达到不同网络系统互联的目的。目前,它已经成为网络不同网络系统互联的目的。目前,它已经成为网络互联的工业标准。互联的工业标准。信息系统分析与设计15第三节第三节 基于基于WEBWEB的信息系统开发技术的信息系统开发技术TCPTCPIPIP协议采用了层次体系结构,所涉及的层次协议采用了层次体系结构,所涉及
24、的层次包括数据链路层、网络层、传输层和应用层。包括数据链路层、网络层、传输层和应用层。 数据链路层。提供与各种物理网络的接口。数据链路层。提供与各种物理网络的接口。 网络层。网络层。IPIP协议提供协议提供IPIP地址管理、路由选择和数地址管理、路由选择和数据包分段与重组功能。据包分段与重组功能。 传输层。传输层。TCPTCP协议自动检测丢失的数据包并自动协议自动检测丢失的数据包并自动重传;过滤多个重复的数据包;负责计算机通信重传;过滤多个重复的数据包;负责计算机通信前的连接准备。前的连接准备。 应用层。提供计算机之间的各种应用服务。包含应用层。提供计算机之间的各种应用服务。包含的主要协议有:
25、的主要协议有:HTTPHTTP协议、协议、FTPFTP协议和协议和SMTPSMTP协议协议等。等。 信息系统分析与设计16第三节第三节 基于基于WEBWEB的信息系统开发技术的信息系统开发技术超文本传输协议(超文本传输协议(HTTPHTTP协议)协议) HTTPHTTP协议是协议是WEBWEB浏览器和浏览器和WEBWEB服务器间服务器间TCP/IPTCP/IP应用应用层通信协议。层通信协议。HTTPHTTP协议具有的六个重要特点:协议具有的六个重要特点: 以以WEBWEB为基础。支持浏览器与为基础。支持浏览器与WEBWEB服务器之间的通服务器之间的通信及数据传送。信及数据传送。 简易性。浏览器
26、要连接到服务器,只需发送请求简易性。浏览器要连接到服务器,只需发送请求方式和路径等少量信息。方式和路径等少量信息。信息系统分析与设计17第三节第三节 基于基于WEBWEB的信息系统开发技术的信息系统开发技术 灵活性与内容灵活性与内容类型(类型(Content-TypeContent-Type)标识。允)标识。允许传送任意类型的数据,内容许传送任意类型的数据,内容类型标识指示了类型标识指示了传输数据的类型。传输数据的类型。 无连接。每次连接只限处理一个请求。在完成一无连接。每次连接只限处理一个请求。在完成一个请求后,服务器不会继续为这个请求负责。个请求后,服务器不会继续为这个请求负责。 无状态。
27、后续事务处理如果需要以前事务处理的无状态。后续事务处理如果需要以前事务处理的信息就必须将这些信息在协议以外保存;信息就必须将这些信息在协议以外保存; 元信息。浏览器根据元信息确定服务器发来的内元信息。浏览器根据元信息确定服务器发来的内容、数据量以及数据是否完整。容、数据量以及数据是否完整。信息系统分析与设计18第三节第三节 基于基于WEBWEB的信息系统开发技术的信息系统开发技术 WEBWEB页面技术页面技术 基于基于WEBWEB的信息系统以的信息系统以WEBWEB页面作为系统和用户交互页面作为系统和用户交互的接口。因此,的接口。因此,WEBWEB页面技术是系统开发中最重要的技页面技术是系统开
28、发中最重要的技术。根据软件环境不同,将基于术。根据软件环境不同,将基于WEBWEB的信息系统页面技的信息系统页面技术分为浏览器端页面技术和术分为浏览器端页面技术和WEBWEB服务器端页面技术两类,服务器端页面技术两类,参见图参见图6-26-2。浏览器端页面技术浏览器端页面技术 超文本标记语言(超文本标记语言(HTMLHTML:Hyper Text Markup Hyper Text Markup LanguageLanguage) HTMLHTML是国际互联网联盟(是国际互联网联盟(W3CW3C:World Wide World Wide WEB ConsortiumWEB Consortiu
29、m)从通用标记语言标准()从通用标记语言标准(SGMLSGML:Standard Generalized Markup LanguageStandard Generalized Markup Language)中抽)中抽取部分技术而制定的标准,是基本的取部分技术而制定的标准,是基本的WEBWEB页面开发页面开发语言。它定义了一个复杂的标记集,并通过使用语言。它定义了一个复杂的标记集,并通过使用“标记标记”字符串来表明字符串来表明WEBWEB页面的静态组成结构。页面的静态组成结构。信息系统分析与设计19第三节第三节 基于基于WEBWEB的信息系统开发技术的信息系统开发技术 使用使用HTMLHTM
30、L语言编写的语言编写的HTMLHTML文件存放在文件存放在WEBWEB服务器文件服务器文件目录中,并通过网络传送给浏览器,浏览器解释目录中,并通过网络传送给浏览器,浏览器解释HTMLHTML文件,并将其内容显示在浏览器上。下面是一个在浏文件,并将其内容显示在浏览器上。下面是一个在浏览器中显示绿色览器中显示绿色“Hello World!”Hello World!”的的HTMLHTML例子:例子: Hello World! Hello World! 信息系统分析与设计20第三节第三节 基于基于WEBWEB的信息系统开发技术的信息系统开发技术 可扩展标识语言(可扩展标识语言(XMLXML:Exten
31、ded Markup Extended Markup LanguageLanguage) 在在SGMLSGML简化的基础上,简化的基础上,19981998年年W3CW3C宣布了宣布了XML1.0XML1.0的标准。与的标准。与HTMLHTML相比,相比,XMLXML在三个方面进在三个方面进行了改进:行了改进:允许用户根据需要自行定义新的标记及属性允许用户根据需要自行定义新的标记及属性名;名;文件结构嵌套可以复杂到任意程度并能表示文件结构嵌套可以复杂到任意程度并能表示面向对象的等级层次;面向对象的等级层次;包括了一个语法描述,使应用程序可以对此包括了一个语法描述,使应用程序可以对此文件进行结构确
32、认。文件进行结构确认。 XMLXML文档包括两个部分:定义标记及其文档包括两个部分:定义标记及其相互关系的文档类型定义(相互关系的文档类型定义(DTDDTD:Document Type Document Type DefinitionDefinition)和文档内容。以下是部分)和文档内容。以下是部分DTDDTD和和XMLXML文档的例子:文档的例子:信息系统分析与设计21第三节第三节 基于基于WEBWEB的信息系统开发技术的信息系统开发技术DTDDTD文档(文档(ourstudents.dtd):):! DOCTYPE students Xml文档(文档(students.xml):): 9
33、90001 Mary 信息系统分析与设计22第三节第三节 基于基于WEBWEB的信息系统开发技术的信息系统开发技术 JavaScriptJavaScript和和VBScriptVBScript JavaScript JavaScript是网景公司推出的跨平台、面是网景公司推出的跨平台、面向对象的脚本语言。客户端的向对象的脚本语言。客户端的JavaScriptJavaScript被用于被用于控制浏览器的对象和文档对象模型(控制浏览器的对象和文档对象模型(DOMDOM:Document Object ModelDocument Object Model),响应鼠标移动、点),响应鼠标移动、点击事件
34、以及输入校验等功能。击事件以及输入校验等功能。 VBScriptVBScript是微软公司推出的以是微软公司推出的以Visual Visual BasicBasic语言为基础的脚本语言。它通过编写事件语言为基础的脚本语言。它通过编写事件驱动的客户端脚本来增强驱动的客户端脚本来增强HTMLHTML功能,客户端脚本功能,客户端脚本由浏览器解释执行,因此只有得到浏览器支持才由浏览器解释执行,因此只有得到浏览器支持才能正常执行。能正常执行。IEIE支持支持VBScriptVBScript,而,而NetscapeNetscape不支不支持持VBScriptVBScript。IEIE和和NetscapeN
35、etscape都支持都支持JavaScriptJavaScript。信息系统分析与设计23第三节第三节 基于基于WEBWEB的信息系统开发技术的信息系统开发技术 Java AppletJava Applet和和ActiveXActiveX控件控件 Java AppletJava Applet是用是用JavaJava编写的、含有可视化编写的、含有可视化内容的、并被嵌入内容的、并被嵌入WEBWEB页面中用来产生特殊页面页面中用来产生特殊页面效果的小程序。它可以为页面带来动态交互内容,效果的小程序。它可以为页面带来动态交互内容,如声音、动画等效果。如声音、动画等效果。 类似于类似于Java Appl
36、etJava Applet,ActiveXActiveX控件是一个提控件是一个提供特定功能的二进制对象,具有属性、方法以及供特定功能的二进制对象,具有属性、方法以及外界可以捕获的事件。外界可以捕获的事件。ActiveXActiveX控件可以加入使控件可以加入使用用JavaScriptJavaScript和和VBScriptVBScript的的WEBWEB页面中,以增强页面中,以增强WEBWEB页面的功能,提供如交互性和动画等特殊的页面的功能,提供如交互性和动画等特殊的页面效果,并能与脚本语言实现互操作以完成特页面效果,并能与脚本语言实现互操作以完成特定的功能。定的功能。IEIE和和Netsca
37、peNetscape都支持都支持Java AppletJava Applet,只有只有IEIE支持支持ActiveXActiveX控件。控件。信息系统分析与设计24第三节第三节 基于基于WEBWEB的信息系统开发技术的信息系统开发技术WEBWEB服务器端页面技术服务器端页面技术 公共网关接口(公共网关接口(CGICGI:Common Gateway Common Gateway InterfaceInterface) CGICGI定义了定义了WEBWEB服务器与外部程序间通信的标服务器与外部程序间通信的标准,使外部程序能够生成准,使外部程序能够生成HTMLHTML文档和图像。这样,文档和图像。
38、这样,浏览器的浏览器的HTMLHTML页面就能通过页面就能通过CGICGI同同WEBWEB服务器进行服务器进行动态交互。动态交互。CGICGI开发简单、投入低。但性能不佳。开发简单、投入低。但性能不佳。 应用程序接口(应用程序接口(APIAPI:Application Programming Application Programming InterfaceInterface) APIAPI允许第三方软件开发者以标准方式编写允许第三方软件开发者以标准方式编写处理请求与返回动态内容的程序。与处理请求与返回动态内容的程序。与CGICGI不同,不同,APIAPI程序将保持装入程序将保持装入WEBWE
39、B服务器的地址空间,因此服务器的地址空间,因此运行效率大大优于运行效率大大优于CGICGI;但其开发困难、程序也;但其开发困难、程序也不够健壮。不够健壮。信息系统分析与设计25第三节第三节 基于基于WEBWEB的信息系统开发技术的信息系统开发技术 动态服务器页面(动态服务器页面(ASPASP:Active Server PagesActive Server Pages) ASPASP是微软是微软19961996年推出的进行动态、交互和年推出的进行动态、交互和高性能高性能WEBWEB页面开发的技术。它适用于微软的页面开发的技术。它适用于微软的WindowsWindows服务器平台,与服务器平台,
40、与IIS WEBIIS WEB服务器紧密集服务器紧密集成,采用成,采用VBScriptVBScript编写程序。编写程序。 ASPASP通过扩展名为通过扩展名为.asp.asp的的ASPASP文件来实现。这文件来实现。这些些.asp.asp文件位于文件位于WEBWEB服务器的文件目录下。当浏服务器的文件目录下。当浏览器向览器向WEBWEB服务器发出服务器发出.asp.asp文件请求时,文件请求时,WEBWEB服服务器解释执行务器解释执行ASPASP脚本,然后动态生成一个脚本,然后动态生成一个HTMLHTML页面发送给浏览器。页面发送给浏览器。信息系统分析与设计26第三节第三节 基于基于WEBW
41、EB的信息系统开发技术的信息系统开发技术 ASP ASP具有如下特点:具有如下特点:ASPASP脚本完全嵌入在脚本完全嵌入在HTMLHTML文件中;文件中;在在ASPASP脚本中可以方便地引用脚本中可以方便地引用ASPASP内置组件和内置组件和第三方组件,方便扩展第三方组件,方便扩展ASPASP的功能;的功能; 使用使用ADOADO组件作为数据库接口;组件作为数据库接口; 用户只需使用可解释用户只需使用可解释HTMLHTML代码的浏览器即可代码的浏览器即可浏览浏览ASPASP页面内容,页面内容,ASPASP的运行独立于浏览器;的运行独立于浏览器;ASPASP脚本在脚本在WEBWEB服务器端运行
42、,因此,服务器端运行,因此,ASPASP源代源代码不会泄露;码不会泄露; ASPASP脚本无需编译或链接即可解释运行。脚本无需编译或链接即可解释运行。 信息系统分析与设计27第三节第三节 基于基于WEBWEB的信息系统开发技术的信息系统开发技术一个处理用户登录的一个处理用户登录的ASPASP程序的部分代码:程序的部分代码:用户登录用户登录% 服务器端服务器端ASPASP脚本语句开始,建立数据库连接。脚本语句开始,建立数据库连接。set con=server.CreateObject (adodb.connection)con.Open “DSN=student; uid=; pwd=; dat
43、abase=student” 从上一个页面中获得用户输入的用户名和密码从上一个页面中获得用户输入的用户名和密码id=Request.Form(id) password=Request.Form(password) 信息系统分析与设计28第三节第三节 基于基于WEBWEB的信息系统开发技术的信息系统开发技术 超文本预处理器(超文本预处理器(PHPPHP:Hypertext PreprocessorHypertext Preprocessor) PHPPHP是运行于是运行于WEBWEB服务器端、内嵌于服务器端、内嵌于HTMLHTML中用来中用来实现动态实现动态WEBWEB页面的脚本语言。其源代码开
44、放并且页面的脚本语言。其源代码开放并且可以免费获得。它可以运行在可以免费获得。它可以运行在WindowsWindows、UnixUnix和和LinuxLinux多种操作系统平台上,支持多种操作系统平台上,支持IISIIS、ApacheApache等多等多种种WEBWEB服务器。服务器。 ServletServlet Servlet Servlet是是SunSun公司推出的运行在公司推出的运行在WEBWEB服务器端、服务器端、扩展扩展WEBWEB服务器功能的软件,其模式类似于服务器功能的软件,其模式类似于CGICGI,但,但ServletServlet内部以线程方式提供服务,执行效率比内部以线程
45、方式提供服务,执行效率比CGICGI高。同时,编写高。同时,编写ServletServlet的是的是JavaJava语言,所以语言,所以ServletServlet具有平台无关性。具有平台无关性。 信息系统分析与设计29第三节第三节 基于基于WEBWEB的信息系统开发技术的信息系统开发技术 JavaJava服务器页面(服务器页面(JSPJSP:Java Server PagesJava Server Pages) JSPJSP是是SUNSUN公司推出的动态页面开发技术。与公司推出的动态页面开发技术。与ASPASP相似,它是一个技术框架,能够生成动态的、相似,它是一个技术框架,能够生成动态的、交
46、互的和高性能的交互的和高性能的WEBWEB服务器端应用程序。另外,服务器端应用程序。另外,JSPJSP也提供了在也提供了在 HTML HTML 中混合程序代码并由语言中混合程序代码并由语言引擎解释执行程序代码的能力。引擎解释执行程序代码的能力。HTMLHTML代码负责描代码负责描述信息的显示样式,而程序代码则用来描述处理述信息的显示样式,而程序代码则用来描述处理逻辑。逻辑。 与与ASPASP不同的是:不同的是:JSPJSP使用使用JavaJava语言。另外,语言。另外,在在ASPASP中,中,VBScriptVBScript脚本直接被脚本直接被ASPASP引擎解释执行。引擎解释执行。而在而在J
47、SPJSP中,程序代码先被编译成中,程序代码先被编译成ServletServlet,然后,然后由由JavaJava虚拟机执行,这种编译操作仅在对虚拟机执行,这种编译操作仅在对JSPJSP页页面的第一次请求时发生。面的第一次请求时发生。 信息系统分析与设计30第三节第三节 基于基于WEBWEB的信息系统开发技术的信息系统开发技术 JSP JSP页面文件的扩展名是页面文件的扩展名是. .jspjsp。当。当WEBWEB服务器服务器和和JSPJSP引擎遇到访问引擎遇到访问JSPJSP页面的请求时,页面的请求时,JSPJSP引擎引擎将请求对象发送给服务器端的组件,如将请求对象发送给服务器端的组件,如J
48、ava Java BeanBean组件、组件、ServletServlet或企业级或企业级Java BeanJava Bean组件组件(EJBEJB:Enterprise Java BeanEnterprise Java Bean)等,然后由服)等,然后由服务器端组件处理这些请求,服务器端组件再将响务器端组件处理这些请求,服务器端组件再将响应对象返回应对象返回JSPJSP引擎。引擎。JSPJSP引擎将响应对象传递给引擎将响应对象传递给JSPJSP页面,根据页面,根据JSPJSP页面的页面的HTMLHTML格式完成数据编排,格式完成数据编排,最后最后WEBWEB服务器和服务器和JSPJSP引擎将
49、格式化后的引擎将格式化后的JSPJSP页面页面返回浏览器。返回浏览器。 信息系统分析与设计31第三节第三节 基于基于WEBWEB的信息系统开发技术的信息系统开发技术一个处理学生登录的一个处理学生登录的JSPJSP程序的部分代码:程序的部分代码: html学生登录学生登录% / =gb2312% java.sql.Connection Conn% java.sql.Connection Conn; ; /建立数据库连接对象建立数据库连接对象 java.sqljava.sql.Statement Stmt; .Statement Stmt; /建立语句对象建立语句对象 /读取上一页面表单中输入的账
50、号密码读取上一页面表单中输入的账号密码 String user=request.getParameter(dlyhmString user=request.getParameter(dlyhm).trim();).trim(); String password=request.getParameter(dlmmString password=request.getParameter(dlmm).trim();).trim(); 信息系统分析与设计32第三节第三节 基于基于WEBWEB的信息系统开发技术的信息系统开发技术 数据库连接技术数据库连接技术 基于基于WEBWEB信息系统的数据库连接技术
51、主要包括:开信息系统的数据库连接技术主要包括:开放数据互联(放数据互联(ODBCODBC:Open Database ConnectionOpen Database Connection)、对)、对象连接嵌入数据库(象连接嵌入数据库(OLE DBOLE DB:Object Linking and Object Linking and Embedding DatabaseEmbedding Database)和)和Java Java 数据库互联(数据库互联(JDBCJDBC:Java Database ConnectivityJava Database Connectivity)三种。参见图)三
52、种。参见图6-26-2。 ODBCODBC和和OLE DBOLE DB ODBC ODBC和和OLE DBOLE DB都是微软提供的访问数据库的编都是微软提供的访问数据库的编程接口。程接口。ODBCODBC主要针对访问关系型数据库。主要针对访问关系型数据库。OLE DBOLE DB除了可以访问关系型数据库,还可以访问非关系型除了可以访问关系型数据库,还可以访问非关系型数据库、电子邮件系统、电子表格和文本文件等数数据库、电子邮件系统、电子表格和文本文件等数据源。据源。 信息系统分析与设计33第三节第三节 基于基于WEBWEB的信息系统开发技术的信息系统开发技术JDBCJDBC JDBC JDBC
53、是用于执行是用于执行SQLSQL语句的语句的JavaJava应用程序接口。应用程序接口。它由一组它由一组JavaJava语言编写的类和接口组成。语言编写的类和接口组成。JDBCJDBC是一种是一种规范,其目的是让各数据库开发商为规范,其目的是让各数据库开发商为JavaJava程序员提供程序员提供标准的数据库访问类和接口。使用标准的数据库访问类和接口。使用JDBCJDBC,用户可以很,用户可以很容易地把容易地把SQLSQL语言传送到绝大部分关系数据库中,实语言传送到绝大部分关系数据库中,实现对数据库的访问。现对数据库的访问。JDBCJDBC的连接方式有三种:的连接方式有三种: JDBCJDBC本
54、地驱动程序。本地驱动程序。JDBCJDBC提供与提供与DBMSDBMS客户端的通客户端的通信方法,与信方法,与DBMSDBMS服务器的通信依赖服务器的通信依赖DBMSDBMS客户端。客户端。 JDBC-ODBCJDBC-ODBC桥接方式。桥接方式。JDBCJDBC架构于架构于ODBCODBC上,通过上,通过JDBC-ODBCJDBC-ODBC桥访问桥访问DBMSDBMS。 JDBCJDBC网络连接方式。网络连接方式。DBMSDBMS的一个空闲端口设置一的一个空闲端口设置一个进程来侦听数据库操作请求。个进程来侦听数据库操作请求。 信息系统分析与设计34第四节第四节 基于基于WEBWEB的信息系统
55、安全的信息系统安全 从基于从基于WEBWEB的信息系统组成结构来看,基于的信息系统组成结构来看,基于WEBWEB的信息的信息系统安全主要包括:浏览器安全、系统安全主要包括:浏览器安全、WEBWEB服务器(包括硬服务器(包括硬件和软件)安全和件和软件)安全和WEBWEB传输安全三个方面。传输安全三个方面。 WEBWEB服务器的安全策略服务器的安全策略 周密定制安全政策。包括:定义安全资源并进行重周密定制安全政策。包括:定义安全资源并进行重要等级划分;进行风险评估,权衡各类安全资源的要等级划分;进行风险评估,权衡各类安全资源的价值和对它们保护所需要的费用;制定安全策略的价值和对它们保护所需要的费用
56、;制定安全策略的基本原则,为系统定义预期的安全级别;建立安全基本原则,为系统定义预期的安全级别;建立安全培训制度;具有意外事件的处理措施。培训制度;具有意外事件的处理措施。 认真选择认真选择WEBWEB服务器。包括:在已知的服务器。包括:在已知的WEBWEB服务器服务器(软硬件)漏洞中,针对该类型的最少;对服务器(软硬件)漏洞中,针对该类型的最少;对服务器的管理操作只能由授权用户执行;拒绝通过的管理操作只能由授权用户执行;拒绝通过WEBWEB访访问不公开的信息;禁止内嵌不必要的网络服务;控问不公开的信息;禁止内嵌不必要的网络服务;控制各种形式的可执行程序的访问;对某些制各种形式的可执行程序的访
57、问;对某些WEBWEB操作操作进行日志记录;具有一定容错性。进行日志记录;具有一定容错性。信息系统分析与设计35第四节第四节 基于基于WEBWEB的信息系统安全的信息系统安全仔细配置仔细配置WEBWEB服务器。包括:将服务器与内部网络服务器。包括:将服务器与内部网络分隔开;维护安全的分隔开;维护安全的WEBWEB备份;合理配置服务器操备份;合理配置服务器操作系统;合理配置作系统;合理配置WEBWEB服务器软件。服务器软件。 谨慎组织谨慎组织WEBWEB服务器的内容。包括:查看链接路径服务器的内容。包括:查看链接路径所提供的内容是否和网页描述的一致;防止非法用所提供的内容是否和网页描述的一致;防
58、止非法用户恶意使用户恶意使用CGICGI程序。程序。 安全管理安全管理WEBWEB服务器。包括:采用安全方式更新服服务器。包括:采用安全方式更新服务器内容;经常审查日志;必要的数据备份;定期务器内容;经常审查日志;必要的数据备份;定期安全检查,安全检查;使用辅助工具。安全检查,安全检查;使用辅助工具。跟踪最新安全指南。避免继续使用存在漏洞的软件;跟踪最新安全指南。避免继续使用存在漏洞的软件;了解最新发现的安全漏洞和新的攻击工具的特点;了解最新发现的安全漏洞和新的攻击工具的特点;了解、掌握最新的安全保护技术和工具;修订原来了解、掌握最新的安全保护技术和工具;修订原来的安全策略,引进必要的安全工具
59、。的安全策略,引进必要的安全工具。 信息系统分析与设计36第四节第四节 基于基于WEBWEB的信息系统安全的信息系统安全 利用防火墙增强利用防火墙增强WEBWEB服务器的安全性服务器的安全性 防火墙是放在网间的一个组件和系统的聚集体,防火墙是放在网间的一个组件和系统的聚集体,所有从内到外或从外到内的通信流量都必须通过它;所有从内到外或从外到内的通信流量都必须通过它;仅仅被本地安全策略定义的且被授权的通信量才允许仅仅被本地安全策略定义的且被授权的通信量才允许通过。通过。 根据采用的技术不同,防火墙有三种基本类型:根据采用的技术不同,防火墙有三种基本类型: 包过滤型。网络上的数据都以包过滤型。网络
60、上的数据都以“包包”为单位进行传为单位进行传输,每一个数据包包含诸如数据源地址、目标地址、输,每一个数据包包含诸如数据源地址、目标地址、TCP/UDPTCP/UDP源端口地址和目标端口地址等特定信息。源端口地址和目标端口地址等特定信息。包过滤型防火墙通过读取数据包中的地址信息并通包过滤型防火墙通过读取数据包中的地址信息并通过与系统管理员制定的规则表进行对比来判断数据过与系统管理员制定的规则表进行对比来判断数据包是否来自可信任的安全地点,并自动将来自危险包是否来自可信任的安全地点,并自动将来自危险地点的数据拒之门外。地点的数据拒之门外。信息系统分析与设计37第四节第四节 基于基于WEBWEB的信
61、息系统安全的信息系统安全代理型。也称为代理服务器或应用网关,位于客户代理型。也称为代理服务器或应用网关,位于客户机与服务器之间,阻隔两者之间直接的数据交流。机与服务器之间,阻隔两者之间直接的数据交流。当客户机需要使用服务器上的数据时,首先将数据当客户机需要使用服务器上的数据时,首先将数据请求发送给代理服务器,代理服务器检查访问用户请求发送给代理服务器,代理服务器检查访问用户是否有权访问该服务器以及是否能够执行所要求的是否有权访问该服务器以及是否能够执行所要求的应用,然后根据检测的请求向服务器索取数据,服应用,然后根据检测的请求向服务器索取数据,服务器将数据再由代理服务器传送给客户机。代理服务器
62、将数据再由代理服务器传送给客户机。代理服务是在应用层实现的,因此能够对应用层协议进行务是在应用层实现的,因此能够对应用层协议进行过滤,如,过滤,如,HTTPHTTP、FTPFTP、TelnetTelnet、SMTPSMTP等。等。 监测型。能够对各层数据进行主动的、实时地监测,监测型。能够对各层数据进行主动的、实时地监测,并在对这些数据加以分析的基础上,有效地判断出并在对这些数据加以分析的基础上,有效地判断出各层中的非法侵入。各层中的非法侵入。 信息系统分析与设计38第四节第四节 基于基于WEBWEB的信息系统安全的信息系统安全 WEBWEB安全传输安全传输安全套接层(安全套接层(SSLSSL
63、:Secure Socket LayerSecure Socket Layer) SSLSSL最初是由网景公司针对最初是由网景公司针对WEBWEB服务器和浏览器间服务器和浏览器间信息安全传输而提出的协议。它处于信息安全传输而提出的协议。它处于TCPTCP协议层和协议层和应用层之间,为上层协议,如:应用层之间,为上层协议,如:HTTPHTTP和和FTPFTP等提供等提供服务和加密方案。它的主要功能有:服务和加密方案。它的主要功能有: 服务器认证(客户端核对服务器身份)和客户认服务器认证(客户端核对服务器身份)和客户认证(服务器核对客户端身份);证(服务器核对客户端身份); 加密的数据传输;加密的
64、数据传输; 可靠的数据传输。所有传输信息都包含一段它自可靠的数据传输。所有传输信息都包含一段它自身的完整性校验和信息认证码(身的完整性校验和信息认证码(MACMAC:Message Message Authentication CodeAuthentication Code)。)。信息系统分析与设计39第四节第四节 基于基于WEBWEB的信息系统安全的信息系统安全SSLSSL协议的操作分为两个阶段:协议的操作分为两个阶段: 握手阶段:发送方和接收方协商并确定加密算法握手阶段:发送方和接收方协商并确定加密算法和密钥;和密钥; 数据加密传输阶段:以第一阶段商定的密钥加密数据加密传输阶段:以第一阶段
65、商定的密钥加密数据。数据。传输层安全协议(传输层安全协议(TLSPTLSP:Translate Layer Secure Translate Layer Secure ProtocolProtocol) TLSPTLSP的目的在于为基于网络传输的应用提供私的目的在于为基于网络传输的应用提供私有性和数据完整性,它由两个协议层构成:有性和数据完整性,它由两个协议层构成: TLSTLS记录协议层。封装记录协议层。封装TLSTLS握手协议等上层协议,握手协议等上层协议,提供具有私有和可靠的连接安全。提供具有私有和可靠的连接安全。 TLSTLS握手协议层。提供服务器和客户机间相互认握手协议层。提供服务器
66、和客户机间相互认证的机制,并允许双方在应用层协议传输或接收证的机制,并允许双方在应用层协议传输或接收之前协商加密算法和交换密钥,提供具有三个基之前协商加密算法和交换密钥,提供具有三个基本特征的安全连接:本特征的安全连接:信息系统分析与设计40第四节第四节 基于基于WEBWEB的信息系统安全的信息系统安全通信双方的身份可以通过非对称加密技术进通信双方的身份可以通过非对称加密技术进行认证;行认证;双方共享机密的协商过程是秘密的(不能被双方共享机密的协商过程是秘密的(不能被窃听);窃听);协商过程是可靠的(任何对协商信息的非授协商过程是可靠的(任何对协商信息的非授权篡改都将被发现)。权篡改都将被发现)。安全超文本传输协议(安全超文本传输协议(SHTTPSHTTP:Secure HTTPSecure HTTP) SHTTPSHTTP是由是由Enterprise Integration Enterprise Integration TechnologiesTechnologies设计的方案,该协议是一个高层次的设计的方案,该协议是一个高层次的协议,向后兼容协议,向后兼容HTTPHTTP协议。协议
