Question

java webservice的身份验证原理(登录之后，才能进行访问)，最好能给出例子.

例子流程如下：服务器端有login()，add()两个方法。1，先login之后，在访问add()方法，等得正确的回应。2，直接访问add方法，不能回应...或者给出提示

Answer 1

一般WebService使用WS-Security处理安全性的问题，如用户令牌、数字签名等。可以参考下面的网页：http://www.ibm.com/developerworks/cn/java/j-jws4/

你说的那种方式如果一定要用，可以采用类似cookie的方式，login方法成功登录后返回一个加密后的字符串作为cookie，客户端记录这个字符串，再次调用add的时候需要将其作为add的一个惨素传回服务端，服务端对其进行验证，看是不是login生成的字符串，如果是则运行，如果不是则不回应。还可一在这个cookie字符串中加入时间信息，以实现登录时效，比如20分钟后无效。

Answer 2

login方法可以连接数据库，判断身份呀，如果有就执行add()方法呀

追问

我说的是，你要调用add方法时，需判断你登陆了没，如果你每次访问一个服务都要连接数据库的话，效率不是降低了吗