萧逸闲侃

工作前几年，我是做企业应用开发。后来创业，进入的是电子商务领域，但一直在开发一线。三年了，但头一两年交了不少学费。现在想起来，除了对业务不熟悉外，主要还是项目管理，尤其是电子商务类型的项目管理。以前了解的项目过程管理，在这个领域很多都失效了，至少，我当时不会灵活应用和剪裁，比如RUP和需求分析方法。后来，我自己总结，根据项目特点和团队特点，经过两年多尝试，在最近一年，感觉很轻松了，虽然

摘要：虽然session机制在web应用程序中被采用已经很长时间了，但是仍然有很多人不清楚session机制的本质，以至不能正确的应用这一技术。本文将详细讨论session的工作机制并且对在Java web application中应用session机制时常见的问题作出解答。目录：一、术语session二、HTTP协议与状态保持三、理解cookie机制四、理解session机制

在构建能够灵活地进行水平扩展、高可用性的Java Web应用程序时候，对http session的处理策略很大程度决定了应用程序的扩展性、可用性。一般而言对http session有如下的处理方案：1、在服务器端不保存Session，完全无状态     对于不需要保持用户状态的Web应用，采用Stateless是最为恰当的，因此就不存在Session共享的问题。REST (Represen

Session是一种服务器端技术，Session对象在服务器端创建，通常采用散列表来存储信息，例如，Tomcat的Session实现采用HashMap对象来存储属性名和属性值。Cookie是由Netscape公司发明的、用于跟踪用户会话的一种方式。Cookie是由服务器发送给客户的片段信息，存储在客户端浏览器的内存中或硬盘上，在客户随后对该服务器的请求中发回它。Session与Co

1、Cookie文件的实质Cookie实际上是Web服务端与客户端（典型的是浏览器）交互时彼此传递的一部分内容，内容可以是任意的，但要在允许的长度范围之内。客户端会将它保存在本地机器上（如IE便会保存在本地的一个txt文件中），由客户端程序对其进行管理，过期的Cookie会自动删除。每当客户端访问某个域下某个目录中的网页时，便会将保存在本地并且属于那个域下对应目录的有效Cookie信息附在

问题描述：在一个比较复杂的网站环境下。有多个产品向外提供服务。每个产品下 都有自己的用户登录界面。现在需要设计一个统一的登录界面。当用户在这个界面登录后就可以自由的使用各个产品和服务。同时意味着用户用一个帐号可以在不同 服务里登录，另一方面就是在一个服务里面登录后可以无障碍的漫游到其他服务里面去。实际应用：Sohu的Passport将 focus.cn，17173.com，sogou.co

1. SSO需求单点登录（Single Sign On, SSO）是企业应用集成中最常见的需求。异构系统间往往都有各自的用户管理和身份验证机制，为避免用户在进行系统切换时频繁输入用户名和密码，因此必须要实现单点登录。2. SSO原理说到SSO的原理，先得说一般Web应用的身份验证原理。Web身份验证之所以能成为问题主要在于HTTP协议的无状态性，这导致了每次HT

这里所说的跨域，是指跨二级域名，而且这些域名对应的应用都在同一个app上, 比如我有以下3个域名:www.vinceruan.infoblog.vinceruan.infobbs.vinceruan.info我要在这三个域名直接共享cookie或者共享session，如何实现呢？在tomcat下又如何实现呢？首先我们来了解下cookie，顾名思义，小甜心，少食即可，多吃无益

1. SSO需求单点登录（Single Sign On, SSO）是企业应用集成中最常见的需求。异构系统间往往都有各自的用户管理和身份验证机制，为避免用户在进行系统切换时频繁输入用户名和密码，因此必须要实现单点登录。2. SSO原理说到SSO的原理，先得说一般Web应用的身份验证原理。Web身份验证之所以能成为问题主要在于HTTP协议的无状态性，这导致了每次HT

需求：系统A与系统B分别部署在不同域的两台服务器中，但它们的身份都统一在身份认证服务器中；身份认证信息以Session方式存贮于各自系统中，并辅以cookie进行使用。当用户在A系统登录后，访问B系统时，由于是跨域访问，导致身份信息不能正确的传递到B系统中，从而致使用户需在B系统中重新登录。解决方案：处理这类跨域访问时，我们最先使用从B系统向C通过HttpR

一、教程前言教程目的：从头到尾细细道来单点登录服务器及客户端应用的每个步骤单点登录（SSO）：请看百科解释猛击这里打开本教程使用的SSO服务器是Yelu大学研发的CAS(Central Authentication Server)，官网：http://www.jasig.org/cas本教程环境：Tomcat6.0.29JDK6CAS Server版本：cas-server

国外很有多优秀的HTML5前端开发框架相信大家都耳熟能详：JQuery Mobile，Twitter Bootstrap， Schena Touch,  BackBone等等。同样，也存在很多国内比较优秀的前端开发框架，其中中国互联网三巨头贡献了近一半：腾讯，阿里巴巴，百度。框架不是万能的，选择和项目匹配的框架可以显著提高开发效率，但是也有可能带来代码的臃肿，本着“write less,

很多开发中涉及到用户的Session验证很保留的问题，这个问题比较有意思，总结了几种方案，只供参考。　　[  问题提出 ]　　为了满足足够大的应用，满足更多的客户，于是我们架设了N台Web服务器（N>=2），在多台Web服务器的情况下，我们会涉及到一个问题：用户登陆一台服务器以后，如果在跨越到另一台服务器的时候能够继续使用客户的Session？　　（以下描述方案只是针对Linux/

下面部分将讨论更多的攻击者可能执行的命令，连同被请求的文件，以及如果你有远程执行命令的缺陷，应该怎样检查发现它。这部分只是给你个好的思路，并告诉你的系统发生了什么，攻击者尝试攻击你的系统的痕迹，但并不能列举所有的攻击者使用的命令和请求的方式。  "/bin/ls"  这个命令请求整个路径，在很多的web应用程序中都有这个漏洞，如果你在日志中很多地方都看到这种请求，很大的可能性是存在远程执行

做电子商务网站，一般都涉及到前后台，前台是给用户用的(营销+销售系统)，后台给公司员工用的(业务支撑系统)。 在项目开发初期，技术负责人往往倾向于，将它们混在一起。我曾经也是这样，但问题在后期就慢慢凸显了。 我曾经写过电子商务网站和企业应用开发的区别(12)，和这个一起看，应该会比较好理解我的观点。一、从系统部署的角度考虑 在项目开发阶段，因为基本上很少涉及部署(迁移到

前段时间，我写过一篇该主题的博客，但写完了，我觉得还是没有谈到本质，这篇文章算是续篇。互联网应用(网站或app)，和企业应用的本质区别，应该从用户谈起。 互联网是陌生用户，网站对于他们来说是自助系统(类似于ATM取款机)，不需要、也不可能对他们强制培训，比如用户注册。所以它们要做得绝对的弱智化，尽量降低学习成本。 企业应用是公司员工，带有强制性，而且上岗前、或系统上线前，一

在这篇文章前，再次感谢朋友们的关怀。我十月份要休假，到时也许不会再回信答复大家的问题，但是，我想到了一个不错的主意，晚一些就会让大家知道。:)　　另外，这个博客也开辟了一些新的供朋友们互动的平台，包括我的微博：http://t.sina.com.cn/webanalytics, CWA的微群：http://t.house.sina.com.cn/g/36476，以及CWA的两个QQ群：1002

访问量 Visits访问量指的是某一段时间内网站被访问的总次数。这无疑是网站流量最重要的指标之一，它体现了网站推广手法的总体效果。流量分析软件都可以按时间，比如每天或每星期，显示出访问数。很多软件还可以以图形方式显示，就更加直观。在进行了某项特定营销活动后，检验效果如何的第一个指标当然就是看所带来的访问数。比如网站的文章被社会化网络大量转载，都经常会带来访问数的急剧提高，但通常在一两天

背景：1.我们在一台机器A里装了vm虚拟机(IP:192.168.1.23)，在虚拟机里面假设了网上交易系统服务器。           2.在另外一台机器B里也装了vm虚拟机(（IP:192.168.1.9)，作为客户端。               VM虚拟机都装的是win2003server环境。           3.192.168.1.9里访问internet网页的butt

在某些应用中,将本该由动态页面每次获取客户端请求时去调用数据的过程转换为在添加数据时即生成为静态页面，对服务器的压力，数据库检索的压力，以及搜索引擎收录，包括防止SQL注入都是由极大的好处的。常见的做法有很多种，包括web服务器启用rewrite，io操作生成文件等等,我正好有一段以前做j2ee开发时保留的一段io操作的方式生成html. 原理都很简单,主要是对模板的解析.so,我们先准备一

随着电子商务的成熟，国内涌出了很多B2C网站，我经常访问的有：当当网、1号店、京东商城、易迅网、为为网和新蛋网等。这类网站很好的利用了计算机技术、互联网技术、即时通信技术和物流渠道，实现整个商务过程中的电子化、数字化和网络化，让不少用户得以不出户购天下物。在访问这些网站的过程中，我发现其首页的信息架构拥有一些共同特点，也有各自的特色，遂以京东商城、新蛋网和易迅网为例，撰粗评一篇，拿来分享。

robots.txt基本介绍robots.txt是一个纯文本文件，在这个文件中网站管理者可以声明该网站中不想被robots访问的部分，或者指定搜索引擎只收录指定的内容。当一个搜索机器人（有的叫搜索蜘蛛）访问一个站点时，它会首先检查该站点根目录下是否存在robots.txt，如果存在，搜索机器人就会按照该文件中的内容来确定访问的范围；如果该文件不存在，那么搜索机器人就沿着链接抓取。另外，

有了样板，我们来分析这套程序中可能出现的各种web漏洞。     1、SQL注入漏洞         从SQL注入漏洞说起吧，在web漏洞里，SQL注入是最容易被利用而又最具有危害性的。怎么快速的找到呢？先分析流程，就拿用户查看文章这个流程为例：用户访问一个action，告诉它用户想看ID为7的文章，这个action就会继续完成前面所说的流程。         如果是ASP

web开发应用程序（网站），是目前应用最广泛的程序。但是开发者的水平参差不齐，导致了各种各样web漏洞的出现。本文站在分层架构的角度，分析一下如何在java web程序中找到可能出现的种种漏洞。         本文讨论的只是web程序上的漏洞，和其它漏洞，是相对独立的。这句话看似废话，实际上却说明了时常被忽略的因素，即：“很多人认为只要我开发web程序没有漏洞，web服务器就安全了”，事

web站点默认80为服务端口，关于它的各种安全问题不断的发布出来，这些漏洞中一些甚至允许攻击者获得系统管理员的权限进入站点内部，以下是Zenomorph对一些80端口攻击方式的痕迹的研究，和告诉你怎样从日志记录中发现问题。  [详细描述]  下面部分通过一些列子，展示对web服务器和其上的应用程序普遍的攻击，和其留下的痕迹，这些列子仅仅是代表了主要的攻击方式，并没有列出所有的攻击形式，这部

第一章 打开网站慢现状分析在公司访问部署在IDC机房的VIP网站时会感觉很慢。是什么原因造成的？为了缩短页面的响应时间，改进我们的用户体验，我们需要知道用户的时间花在等待什么东西上。       可以跟踪一下我们的登录页面，如下图所示    从上图我们可以分析知道，HTML文档只占了总响应时间的20%，其它80%响应时间用来下载JS、CSS、图片等组件。所以WEB前端有很大的优化空间，