Salı, Temmuz 24, 2007

Authentication & Authorization

En kısa tanımı sanırım Güvenlik&Doğrulama olur.
Web sitesimizin güvenliği olarak kısaca tanımlayabiliriz.
Ufak bir örnekle neden sorun olduğunu anlatmak çok daha mantıklı olabilir.Bizim web sitemizde www.mywebsite.com/login.jsp adında bir giriş sayfamız varsa ve bu sitede de benim sevmediğim bir insan olduğu için onun kişisel sayfasına girmek ve değiştirmek istiyorum.Url tarafına(User yerine ‘aaa’ gibi kullanıcı isimleri yazılıyor) www.mywebsite.com/user yazarsam eğer doğrulama yoksa içerdeyim.Çok kötü bir durum bu aynı zamanda istenmeyen bir durumda.Çünkü doğrulama kontrolü yapmadığımız taktirde, kullanıcıdan yapmasını istediğimiz kullanıcı adı ve şifre girilmesi tamamiyle anlamsız olur.Doğrulama kontrolünü yaparsak büyük ihtimalle herhangi bir sorun kalmayacaktır.Nasıl uygulandığını gelmek gerekirse;Web sitelerinde account’u sürekli olarak taşımak için kullanılan “Session” adında bir metodumuz var.Session ne yapar.Biz session’a kayıdı tut dediğimiz andan kaydı tutmaya başlar.Bu bize en basitinden yukarıda örneğini verdiğim kayıtlı kullanıcı olmadığı halde o kullanıcının sayfasına girip değişikler yapabilmesi olayı gerçeklememiş olacak.Çünkü Login.jsp sayfasından tutacağımız Session’u kullanıcının girişine göre alırsak sonucunda istenmeyen bir durum ile karşılaşıldığı zaman çok küçük bir doğrulama yapacak.Bu doğrulamada,eğer login gerektiren bir sayfaya erişim yapılıyorsa ilk başta login.jsp’de session ile tutmasını belirttiğimiz kullanıcıyı kontrol eder.Eğer bu kullanıcı sessionda bulunan kullanıcılara denk değil ise hata sayfasına yönlendirerek iş çözülmüş olur.Peki session’larda kayıtlar nasıl tutulacak veya bizim login olduğumuz nasıl bilinecek.Bizim yapacağımız çok kolay bir çözüm yolu var.O da eğer bir kişi kullanılan internet tarayıcısından login olmadıysa session tutulmayacaktır.Login sayfasından giren kişilerin sessionları tutuldukları için rahatlıkla sitede dolaşabilecekler.

Hiç yorum yok: