我在那裏完成一個小的Java Web應用程序管理客戶端的影片庫趕牛任務。這項任務是爲了使用cookie對應用程序提供一些安全性,以便「黑客」不能猜測導致應用程序另一部分的URL之一。用戶將被引導到登錄到網站,而不是被允許瀏覽其他頁面,直到登錄Java的Web應用程序安全使用cookie
的Web應用程序的部分是:
1. index.html
2. VideoServlet
3. listvideos.jsp
4. addvideo.jsp
5. videologin,jsp
入口點是請求的URL http://localhost:8080/videos,這加載index.html文件。此頁面只有一個鏈接,可將用戶重定向到VideoServlet。從那裏開始,servlet將HTTP請求和響應轉發給listvideos.jsp,如果用戶想這樣做,它有一個鏈接來添加視頻。我無法理解如何使用Cookie來實現安全,而在MVC2模式藏在心裏
(該servlet是控制器,JSP的是視圖)。
這裏是我想出的程序流程,但我想我錯過了點某處:
用戶輸入URL http://localhost:8080/videos,默認情況下拉動index.html文件。
index.html文件基本上將HTTP Get至VideoServlet。該servlet以某種方式知道用戶尚未登錄,因此將請求/響應轉發給videologin.jsp。
登錄提出並要求用戶輸入密碼(這是一個標準的HTML形式)。用戶輸入密碼並點擊提交。這會將一個HTTP Post發送到servlet。
這個servlet檢查密碼,如果正確,用戶登錄並且servlet轉發到listvideos.jsp。
我不明白哪裏餅乾進來或者他們如何能幫助防止黑客猜測URL,並獲得直接訪問,例如,addvideos.jsp。是否使用cookie來驗證用戶是否已經登錄?