Sichten für Sicherheit

Die Verwendung einiger Sicherheitsfunktionen von WebSphere Commerce setzt voraus, dass Sie zunächst die zugehörigen Sichten für Ihr Geschäft definieren. Nachfolgend wird die Definition der Sichten für die folgenden Sicherheitsfunktionen beschrieben:

Allgemeine Informationen zur Erstellung von Sichten und zur Entwicklung Ihres Schaufensters enthält das Handbuch IBM WebSphere Commerce Store Developer's Guide.


Zeitlimit für Anmeldung

Als Voraussetzung für die Verwendung dieser Sicherheitsfunktion müssen Sie die Sichten 'LoginTimeoutErrorView' und 'ReLogonFormView' für Ihr Geschäft definieren.

LoginTimeoutErrorView:

Wenn die Angaben zum Zeitlimit für die Anmeldung fehlerhaft sind, leitet WebSphere Commerce den Browser des Benutzers zu dieser Sicht um. Wenn dieser Fall eintritt, wurde wahrscheinlich das Cookie manipuliert.

Attribute:

ECConstants.EC_LOGIN_TIMEOUT_ERROR_MSGCODE 1 : Falscher Wert für den Ablaufzeitpunkt eingestellt
2 : Falscher Wert für den Anmeldezeitpunkt eingestellt
3 : Falscher Wert für Ablauf- oder Anmeldezeitpunkt eingestellt

ReLogonFormView

Diese Sicht wird Benutzern nach Ablauf ihrer Sitzung angezeigt. Sie muss ein Formular enthalten, in das der Benutzer seine Anmelde-ID und sein Anmeldekennwort eingeben kann. Der Knopf Abschicken ruft den Befehl 'Logon' auf. Außerdem sollte die Sicht einen Knopf zum Abbrechen enthalten, mit dem der Benutzer zu einer anderen Seite, in der Regel zur Schaufensterseite des Geschäfts, umgeleitet wird.

Attribute:

Keine.

Formularattribute:

ECUserConstants.EC_UREG_LOGONID Die Anmelde-ID des Benutzers.
ECUserConstants.EC_UREG_LOGONPASSWORD

 
Das Anmeldekennwort des Benutzers.
ECUserConstants.EC_RELOGIN_URL Die URL, die angezeigt wird, wenn die eingegebene Berechtigung ungültig ist. In der Regel ist dies der Name der Sicht.
ECConstants.EC_STORE_ID
 
Die Geschäftskennung.
ECConstants.EC_URL Die URL, die angezeigt wird, wenn die eingegebene Berechtigung einem anderen Benutzer zugeordnet ist. In der Regel sollte dies die Homepage eines Geschäfts sein oder dieselbe URL, die für die Anmeldeseite eines Geschäfts verwendet wird.

Aufhebung der Kennwortgültigkeit

Als Voraussetzung für die Verwendung dieser Sicherheitsfunktion müssen Sie die Sicht 'ChangePassword' für Ihr Geschäft definieren.

ChangePassword

Diese Sicht wird angezeigt, wenn das Kennwort des Benutzers abgelaufen ist. Sie sollte ein Formular enthalten, in das der Benutzer sein aktuelles (abgelaufenes) Kennwort und ein neues Kennwort eingeben kann. Der Knopf Abschicken ruft den Befehl 'ResetPassword' auf. Außerdem sollte die Sicht einen Knopf zum Abbrechen enthalten, mit dem der Benutzer zu einer anderen Seite, in der Regel zur Schaufensterseite des Geschäfts, umgeleitet wird.

Attribute:

ECConstants.EC_PASSWORD_EXPIRED_FLAG 1: Das Kennwort des Benutzers ist abgelaufen. Dieses Attribut ist als Unterscheidungsmerkmal für diese Sicht und die Sicht zur Kennwortänderung erforderlich, da die beiden Sichten identisch sind. Die Sicht zur Kennwortänderung könnte von einem Benutzer aufgerufen werden, und die der Sicht zugeordnete JSP sollte in beiden Fällen identisch sein. Die JSP muss nach dem Attribut suchen und dann entscheiden, welche Sicht angezeigt werden soll.

null: Das Attribut ist keine URL. Normales Verhalten bei Kennwortänderung.

ECUserConstants.EC_UREG_LOGONID Die aktuelle Anmelde-ID des Benutzers.
ECConstants.EC_LOGIN_RETURN_URL Die URL, zu der der Browser nach erfolgreicher Kennwortänderung umgeleitet wird. Diese URL wird unter dem Namen ECConstants.EC_URL an einen Aktionsbefehl übermittelt.

Formularattribute:

ECUserConstants.EC_UREG_LOGONID Die Anmelde-ID des Benutzers. Die aktuelle Anmelde-ID wurde an die Sicht übergeben.
ECUserConstants.EC_UREG_LOGONPASSWORDOLD Das alte Kennwort.
ECUserConstants.EC_UREG_LOGONPASSWORD Das neue Kennwort.
ECUserConstants.EC_UREG_LOGONPASSWORDVERIFY Das neue Bestätigungskennwort.
ECConstants.EC_URL Die URL, zu der die Benutzer nach erfolgreicher Änderung des Kennworts umgeleitet werden. Der Wert wurde an die Sicht übergeben.
ECUserConstants.EC_RELOGIN_URL Die URL, zu der der Browser umgeleitet wird, wenn die Kennwortänderung nicht erfolgreich ist.

Kennwortgeschützte Befehle

Als Voraussetzung für die Verwendung dieser Sicherheitsfunktion müssen Sie die Sichten 'PasswordReEnterErrorView' und 'PasswordReEnterFormView' für Ihr Geschäft definieren.

PasswordReEnterErrorView

Diese Sicht wird in folgenden Szenarios verwendet:

  1. Ein Benutzer gibt nicht das richtige Kennwort ein und wird abgemeldet.
  2. Die Authentifizierung ist fehlgeschlagen.

In beiden Fällen sollte der Benutzer die Möglichkeit haben, über einen Link auf der aktuellen Seite zu einer anderen Seite zu gelangen.

Attribute:

ECConstants.EC_PASSWORD_REREQUEST_MSGCODE

 

>0: Bei dem Versuch, einen Benutzer zu authentifizieren, ist ein Problem aufgetreten.

null : Das Attribut ist keine URL. Der Benutzer hat nicht das richtige Kennwort eingegeben und wird abgemeldet.

PasswordReEnterFormView

Diese Sicht wird angezeigt, wenn der Benutzer versucht, einen kennwortgeschützten Befehl auszuführen. Sie sollte ein Formular enthalten, in das der Benutzer ein Kennwort eingeben kann. Für das Kennwort sollten zwei Eingabefelder vorgesehen sein.

Attribute:

ECConstants.EC_PASSWORD_REREQUEST_URL Die URL wird über den Knopf Abschicken im Formular aufgerufen.
ECConstants.EC_PASSWORD_REREQUEST_MSGCODE Der Nachrichtencode zur Angabe der Nachricht, die dem Benutzer angezeigt wird:

1: Die eingegebenen Kennwörter stimmen nicht überein.
2: Es wurde kein Kennwort eingegeben.
3: Es wurde ein falsches Kennwort eingegeben.

Formularattribute:

AKTION:  Die URL wird als Parameter mit dem folgenden Namen übergeben:

ECConstants.EC_PASSWORD_REREQUEST_PASSWORD1 Das erste Kennwort.
ECConstants.EC_PASSWORD_REREQUEST_PASSWORD2 Das zweite Kennwort.

Site-übergreifender Scripting-Schutz

Als Voraussetzung für die Verwendung dieser Sicherheitsfunktion müssen Sie die Sichten 'ProhibitedAttrsErrorView', 'ProhibitedCharacterErrorView' und 'ProhibCharEncodingErrorView' für Ihr Geschäft definieren.

ProhibitedAttrsErrorView

Diese Sicht wird dem Benutzer angezeigt, wenn die Anforderung nicht verarbeitet wird, da sie unzulässige Attribute enthielt.

ProhibitedCharacterErrorView

Diese Sicht wird dem Benutzer angezeigt, wenn die Anforderung nicht verarbeitet wird, da sie unzulässige Zeichen enthielt.

ProhibCharEncodingErrorView

Siehe 'ProhibitedCharacterErrorView' oben.

Verwandte Aufgaben

IBM Copyright