5、基于Servlet和JSP开发Web应用及增强JSP功能

基于Servlet和JSP开发Web应用及增强JSP功能

1. 保护Web应用

在Web应用中，通常只允许特定用户访问特定页面。在保护Web应用之前，需要在应用服务器中设置安全域。安全域本质上是用户和安全组的集合，它允许应用服务器从某种永久存储中获取安全信息，这些信息可以存储在简单的平面文件、关系数据库、LDAP存储库或其他任何类型的持久存储中。作为应用开发者，我们只需配置应用使用已定义的安全域进行身份验证，而无需担心具体实现。

每个用户可以属于一个或多个安全组，Web应用中的安全页面仅特定安全组可访问。不同应用服务器设置安全域的过程不同，这里以预配置的GlassFish安全域“file”为例。

用户身份验证有四种方式：
| 验证方式 | 优点 | 缺点 |
| — | — | — |
| 基本身份验证（Basic Authentication） | 实现最简单 | 密码默认不加密，登录页面不美观，用户只能通过关闭浏览器窗口退出登录 |
| 摘要身份验证（Digest Authentication） | 密码在发送到服务器时加密 | 使用不广泛，许多应用服务器不支持 |
| 客户端证书身份验证 | 应用安全性高 | 颁发客户端证书费用高且不方便，使用不常见 |
| 基于表单的身份验证（Form-based Authentication） | 可自定义登录页面，用户名和密码可通过HTTPS轻松加密 | 无 |

2. 实现基于表单的身份验证

要实现基于表单的身份验证，需要遵循以下步骤：
1. 创建登录页面
以下是一个简单的登