充分利用EJB使移动工作群体变得强大 - 编程入门网

我应该考虑哪些安全问题？

一些电话不支持使用POST方法发送表单数据。因此，用户名和密码必须通过GET方法发送。在 WAP 网关上，如果日志功能被激活并且请求已被记录，管理员就有能看到用户名和密码。如果网关是由 ISP 或其它第三方提供的，这个问题就会特别突出。

即使一个安全的连接也不能完全消除安全隐患。那些发送到 WAP 网关的数据使用 WTLS（Wireless Transport Layer Security）加密，它使用与标准 TLS 相同的算法。然而，发送到 WAP 网关的数据是二进制的编码格式（对 WAP），所以这些加密后的数据必须用 TLS 解密和再加密以适用于因特网。经过一段时间以后，敏感数据在 WAP 网关上以明文的形式出现。黑客则会在适当的时刻，将内存中的信息转储出来，进而成功地访问这些敏感数据。

按照注释，解决该问题的一种办法是在自己公司（而不是在 ISP）设一个 WAP 网关。在这种情况下，一个可信的人可以操作网关，并且可以关闭日志功能。

您也可以用 WMLScript 来编写自定义的加密算法，以对客户端的用户名和密码进行加密。这只有在使用简单的算法时才有可能实现；在支持 DES 类的算法上，WMLScript 不够强大。

我怎样保持 Session？

WAP 客户端不支持 Cookie。这样，当用户在您的站点的不同页面之间穿梭时，为了在服务器端保留关于客户端的信息，在向服务器发送每个请求的同时，一个 Session ID 必须被当作参数传递。Session ID 的参数名根据 Servlet 引擎的不同而不同。

有时，缺省的 Session ID 长度很大幅度地增加了每个请求的长度。结果导致客户端或 WAP 网关可能将此请求看作一个无效的 URL 而拒绝。这样有必要缩短 Session ID 的长度。请查看一下您正在使用的 Servlet 引擎的说明文档中关于 Session ID 参数名的部分。如果您碰到过无效 URL 的错误，这个说明文档也应提供有关缩短 Session ID 值长度的指南。

构造样本应用

XYZ Ltd. 是一家生产 PDA，可佩戴的计算机，及其它普及计算设备的公司。公司的销售人员拜访客户，提供 XYZ 产品的现场演示；某些演示要求销售人员必须跑很远的路去客户那里。那么在路上，他们是怎么收到客户列表和其它重要数据的呢？

为此使用电子邮件会需要体积较大且昂贵的便携式电脑或无休止的 Internet cafés 的搜索；在客户端使用传真机则更不切实际。取而代之的是 XYZ 的销售人员会通过支持 WAP 功能的设备接收数据，例如手机或 PDA。使用移动设备，销售人员能在拜访客户时向公司提供及时的反馈。公司就能马上安排给客户及时发货并维护目前的销售统计信息。

我们的应用有两个主要目标。首先，我们流动的销售人员应该能使用它在 WAP 设备上查看客户列表。第二，如果一个客户希望买货，那么销售人员应能使用设备来下订单。此外，任何 WAP 应用的一个重要目标应该是减少用户必要的按键数目。由于受手持设备的用户界面限制，用户需要输入的数据量应控制在最少。

这是一张显示我们系统的体系结构的流程示意图

图 3 — 应用流程示意图

充分利用EJB使移动工作群体变得强大(3)

用户首先必须登录以访问系统；然后他们能浏览客户列表和每个客户的详细信息。如果他们希望为某一特定的客户下订单，那么系统会提供他们一个产品列表，他们可以从中为该客户选择一个特定的产品。

在本文余下的大多数内容中，我们会讨论实现该应用的 Servlet 和 JSP 代码，并会考察 JSP 和 Servlet 一起工作的方式。关于每个 JavaServer Page 的讨论还配有图解，显示了 JSP 在设备屏幕上的输出。

清单 1，Login.jsp接受用户名和密码，并把它们作为参数来调用LoginServlet。对这个和其它所有的 JSP 来

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!