J2EE架構的6個最佳實踐
本文的目標讀者是正在從事技術工作的J2EE架構師為了避免浪費大家的才智,我會避免講述一些陳腐的最佳實踐,例如日常構建(build daily)測試一切(test everything)和經常集成( integrate often) 任何具有稱職架構師的項目都有分工明確的定義良好的團隊結構他們還為進行編碼檢查構建代碼(每日或在需要時)進行測試(單元集成和系統的)部署和配置/釋放管理而具備已記錄的過程
我將跳過通常吹捧的最佳實踐,例如基于接口的設計使用著名的設計模型以及使用面向服務的架構等相反,我將集中講述我曾學過并且使用了若干年的6(不是很多)個方面的in-the-trench課程最后,本文的目的是讓您思考一下自己的架構,提供工作代碼示例或者解決方案超出了本文的范圍下面就讓我介紹一下這6課:
第1課:切勿繞過服務器端驗證
作為一位軟件顧問,我曾有機會不但設計并實現了Web應用程序,而且還評估/審核了許多Web應用程序在復雜的并且用JavaScript客戶端封裝的應用程序內,我經常遇到對用戶輸入信息執行大量檢查的Web頁面即使HTML元素具有數據有效性的屬性也如此,例如MAXLENGTH只有在成功驗證所有輸入信息后,才能提交HTML表單結果,一旦服務器端收到通知表單(請求),便恰當地在J2EE架構中執行業務邏輯。
在此,您發現問題了么?開發人員已經做了許多重要的假設例如,他們假設所有的Web應用程序用戶都同樣誠實開發人員還假設所有用戶將總是使用他們測試過的瀏覽器訪問Web應用程序還有很多其他的假設這些開發人員忘記了利用可以免費得到的工具,通過命令行很容易地模擬類似瀏覽器的行為事實上,通過在瀏覽器窗口中鍵入適當的URL,您可以發送任何posted表單,盡管如此,通過禁用這些頁面的GET請求,您很容易地阻止這樣的表單發送但是,您不能阻止人們模擬甚至創建他們自己的瀏覽器來入侵您的系統。
根本的問題在于開發人員不能確定客戶端驗證與服務器端驗證的主要差別兩者的主要差別不在于驗證究竟發生在哪里,例如在客戶端或者在服務器端主要的差別在于驗證背后的目的不同
客戶端驗證僅僅是方便執行它可為用戶提供快速反饋??使應用程序似乎做出響應,給人一種運行桌面應用程序的錯覺
另一方面,服務器端驗證是構建安全Web應用程序必需的不管在客戶端一側輸入的是什么,它可以確保客戶端送往服務器的所有數據都是有效的。
因而,只有服務器端驗證才可以提供真正應用程序級的安全許多開發人員陷入了錯誤感覺的圈套:只有在客戶端進行所有數據的驗證才能確保安全下面是說明此觀點的一個常見的示例:
一個典型的登錄頁面擁有一個用來輸入用戶名的文本框和一個輸入密碼的文本框在服務器端,某人在接收servlet中可能遇到一些代碼,這些代碼構成了下面形式的SQL查詢:
"SELECT * FROM SecurityTable WHERE username = '" + form.getParameter("username") + "' AND password = '" + form.getParameter("password") + "';",并執行這些代碼如果查詢在結果集的某一行返回,則用戶登錄成功,否則用戶登錄失敗
第一個問題是構造SQL的方式,但現在讓我們暫時忽略它如果用戶在用戶名中輸入Alice'--會怎樣呢?假設名為Alice的用戶已經在SecurityTable中,這時此用戶(更恰當的說法是黑客)成功地登錄我將把找出為什么會出現這種情況的原因做為留給您的一道習題
許多創造性的客戶端驗證可以阻止一般的用戶從瀏覽器中這樣登錄但對于已經禁用了JavaScript的客戶端,或者那些能夠使用其他類似瀏覽器程序直接發送命令(HTTP POST和GET命令)的高級用戶(或者說黑客)來說,我們又有什么辦法呢?服務器端驗證是防止這種漏洞類型所必須的這時,SSL防火墻等都派不上用場了
第2課:安全并非是附加物
如第1課所述,我曾有幸研究過許多Web應用程序我發現所有的JavaServer Page(JSP)都有一個共同的主題,那就是具有類似下面偽代碼的布局:
- <%
- User user =
- session.getAttribute("User");
- if(user == null)
- {
- // redirect to
- // the logon page
- }
- if(!user.role.equals("manager"))
- {
- // redirect to the
- // "unauthorized" page
- }
- %>
- <!-
- HTML, JavaScript, and JSP
- code to display data and
- allow user interaction -->
在J2EE架構中,如果項目使用諸如Struts這樣的MVC框架,所有的Action Bean都會具有類似的代碼盡管最后這些代碼可能運行得很好,但如果您發現一個bug,或者您必須添加一個新的角色(例如,guest或者admin),這就會代表一場維護惡夢
此外,所有的開發人員,不管您多年輕,都需要熟悉這種編碼模式當然,您可以用一些JSP標簽來整理JSP代碼,可以創建一個清除派生Action Bean的基本Action Bean盡管如此,由于與安全相關的代碼會分布到多個地方,所以維護時的惡夢仍舊存在由于Web應用程序的安全是強迫建立在應用程序代碼的級別上(由多個開發人員),而不是建立在架構級別上,所以Web應用程序還是很可能存在弱點
很可能,根本的問題是在項目接近完成時才處理安全性問題最近作為一名架構師,我曾在一年多的時間里親歷了某一要實現項目的6個版本,而直到第四版時我們才提到了安全性??即使該項目會將高度敏感的個人數據暴露于Web上,我們也沒有注意到安全性為了更改發布計劃,我們卷入了與項目資助人及其管理人員的爭斗中,以便在第一版中包含所有與安全相關的功能,并將一些業務功能放在后續的版本中最終,我們贏得了勝利而且由于應用程序的安全性相當高,能夠保護客戶的私有數據,這一點我們引以為榮,我們的客戶也非常高興
遺憾的是,在大多數應用程序中,安全性看起來并未增加任何實際的商業價值,所以直到最后才解決發生這種情況時,人們才匆忙開發與安全相關的代碼,而絲毫沒有考慮解決方案的長期可維護性或者健壯性忽視該安全性的另一個征兆是缺乏全面的服務器端驗證,如我在第1課中所述,這一點是安全Web應用程序的一個重要組成部分
記住:J2EE Web應用程序的安全性并非僅僅是在Web.xml 和ejb-jar.xml文件中使用合適的聲明,也不是使用J2EE技術,如Java 認證和授權服務(Java Authentication and Authorization Service,JAAS)而是經過深思熟慮后的設計,且實現一個支持它的架構
第3課:國際化(I18N)不再是紙上談兵
當今世界的事實是許多英語非母語的人們將訪問您的公共Web應用程序隨著電子政務的實行,由于它允許人們(某個國家的居民)在線與政府機構交互,所以這一點特別真實這樣的例子包括換發駕照或者車輛登記證許多第一語言不是英語的人們很可能將訪問這樣的應用程序國際化(即:i18n,因為在internationalization這個單詞中,字母i和字母n之間一共有18個字母)使得您的應用程序能夠支持多種語言
顯然,如果您的JSP 頁面中有硬編碼的文本,或者您的Java代碼返回硬編碼的錯誤消息,那么您要花費很多時間開發此Web應用程序的西班牙語版本然而,在Web應用程序中,為了支持多種語言,文本不是惟一必須具體化的部分因為許多圖像中嵌有文字,所以圖形和圖像也應該是可配置的在極端的情況下,圖像(或者顏色)在不同的文化背景中可能有完全不同的意思類似地,任何格式化數字和日期的Java代碼也必須本地化但問題是:您的頁面布局可能也需要更改
例如,如果您使用HTML表格來格式化和顯示菜單選項應用程序題頭或注腳,則您可能必須為每一種支持的語言更改每一欄的最小寬度和表格其他可能的方面為了適應不同的字體和顏色,您可能必須為每一種語言使用單獨的樣式表
顯然,現在創建一個國際化的Web應用程序面臨的是架構挑戰而不是應用程序方面的挑戰一個架構良好的Web應用程序意味著您的JSP頁面和所有與業務相關的(應用程序特有的)Java代碼都不知不覺地選擇了本地化要記住的教訓是:不要因為JavaJ2EE支持國際化而不考慮國際化您必須從第一天起就記住設計具有國際化的解決方案。#p#
第4課:在MVC表示中避免共同的錯誤
J2EE開發已經足夠成熟,在表示層,大多數項目使用MVC架構的某些形式,例如Struts在這樣的項目中,我常見到的現象是對MVC模式的誤用下面是幾個示例
常見的誤用是在模型層(例如,在Struts的Action Bean中)實現了所有的業務邏輯不要忘了,表示層的模型層仍然是表示層的一部分使用該模型層的正確方法是調用適當的業務層服務(或對象)并將結果發送到視圖層(view layer)用設計模式術語來說,MVC表示層的模型應該作為業務層的外觀(Fa?ade)來實現更好的方法是,使用核心J2EE模式(Core J2EE Patterns)中論述到的Business Delegate模式這段自書中摘錄的內容精彩地概述了將您的模型作為Business Delegate來實現的要點和優點:
Business Delegate起到客戶端業務抽象化的作用它抽象化,進而隱藏業務服務的實現使用Business Delegate,可以降低表示層客戶端和系統的業務服務.之間的耦合程度根據實現策略不同,Business Delegate可以在業務服務API的實現中,保護客戶端不受可能的變動性影響這樣,在業務服務API或其底層實現變化時,可以潛在地減少必須修改表示層客戶端代碼的次數
另一個常見的錯誤是在模型層中放置許多表示類型的邏輯例如,如果JSP頁面需要以指定方式格式化的日期或者以指定方式排序的數據,某些人可能將該邏輯放置在模型層,對該邏輯來說,這是錯誤的地方實際上,它應該在JSP頁面使用的一組helper類中當業務層返回數據時,Action Bean應該將數據轉發給視圖層這樣,無需創建模型和視圖之間多余的耦合,就能夠靈活支持多個視圖層(JSPVelocityXML等)也使視圖能夠確定向用戶顯示數據的最佳方式
最后,我見過的大多數MVC應用程序都有未充分應用的控制器例如,絕大多數的Struts應用程序將創建一個基本的Action類,并完成所有與安全相關的功能其他所有的Action Bean都是此基類的派生類這種功能應該是控制器的一部分,因為如果沒有滿足安全條件,則首先調用不應該到達Action Bean(即:模型)記住,一個設計良好的MVC架構的最強大功能之一是存在一個健壯的可擴展的控制器您應該利用該能力以加強自己的優勢
第5課:不要被JOPO束縛住手腳
我曾目睹許多項目為了使用Enterprise JavaBean而使用Enterprise JavaBean因為EJB似乎給項目帶來優越感和妄自尊大的表現,所以有時它是顯酷的要素(coolness factor)而其他時候,它會使J2EE和EJB引起混淆記住,J2EE和EJB不是同意詞EJB只是J2EE 的一部分,J2EE 是包含JSPservletJava 消息服務(JMS)Java數據庫連接(JDBC)JAAS Java管理擴展(JMX)和EJB在內的一系列技術,同樣也是有關如何共同使用這些技術建立解決方案的一組指導原則和模式
如果在不需要使用EJB的情況下使用EJB,它們可能會影響程序的性能與老的Web服務器相比,EJB一般對應用服務器有更多的需求EJB提供的所有增值服務一般需要消耗更大的內存和更多的CPU時間許多應用程序不需要這些服務,因此應用服務器要與應用程序爭奪資源
在某些情況下,不必要地使用EJB可能使應用程序崩潰例如,最近我遇到了一個在開源應用服務器上開發的應用程序業務邏輯封裝在一系列有狀態會話bean(EJB)中開發人員為了在應用服務器中完全禁用這些bean的鈍化費了很大的勁客戶端要求應用程序部署在某一商用應用服務器上,而該服務器是客戶端技術棧的一部分該應用服務器卻不允許關閉鈍化功能事實上,客戶端不想改變與其合作的應用服務器的設任何置結果,開發商碰到了很大的麻煩(似乎)有趣的事情是開發商自己都不能給出為什么將代碼用EJB(而且還是有狀態會話bean)實現的好理由不僅僅是開發商會遇到性能問題,他們的程序在客戶那里也無法工作
在Web應用程序中,無格式普通Java 對象(POJO)是EJB強有力的競爭者POJO是輕量級的,不像EJB那樣負擔額外的負擔在我看來,對許多EJB的優點,例如對象入池,估計過高POJO是您的朋友,不要被它束縛住手腳
第6課:數據訪問并不能托管O/R映射
我曾參與過的所有Web應用程序都向用戶提供從其他地方存取的數據,并且因此需要一個數據訪問層這并不是說所有的項目都需要標識并建立這樣一個層,這僅僅說明這樣層的存在不是隱含的就是明確的如果是隱含的數據層,數據層是業務對象(即:業務服務)層的一部分這適用于小型應用程序,但通常與大一些項目所接受的架構指導原則相抵觸
總之,數據訪問層必須滿足或超出以下四個標準:
具有透明性
業務對象在不知道數據源實現的具體細節情況下,可以使用數據源由于實現細節隱藏在數據訪問層的內部,所以訪問是透明的
易于遷移
數據訪問層使應用程序很容易遷移到其他數據庫實現業務對象不了解底層的數據實現,所以遷移僅僅涉及到修改數據訪問層進一步地說,如果您正在部署某種工廠策略,您可以為每個底層的存儲實現提供具體的工廠實現如果是那樣的話,遷移到不同的存儲實現意味著為應用程序提供一個新的工廠實現
盡量減少業務對象中代碼復雜性
因為數據訪問層管理著所有的數據訪問復雜性,所以它可以簡化業務對象和使用數據訪問層的其他數據客戶端的代碼數據訪問層,而不是業務對象,含有許多與實現相關的代碼(例如SQL語句)這樣給開發人員帶來了更高的效率更好的可維護性提高了代碼的可讀性等一系列好處
把所有的數據訪問集中在單獨的層上
由于所有的數據訪問操作現在都委托給數據訪問層,所以您可以將這個單獨的數據訪問層看做能夠將應用程序的其他部分與數據訪問實現相互隔離的層這種集中化可以使應用程序易于維護和管理。
注意:這些標準都不能明確地調出對O/R(對象到關系)映射層的需求O/R映射層一般用O/R映射工具創建,它提供對象對關系數據結構的查看和感知(look-and-feel)在我看來,在項目中使用O/R映射與使用EJB類似在大多數情況下,并不要求它對于包含中等規模的聯合以及多對多關系的關系型數據庫來說,O/R映射會變得相當復雜由于增加O/R 映射解決方案本身的內在復雜性,例如延遲加載(lazy loading)高速緩沖等,您將為您的項目帶來更大的復雜性(和風險)
為了進一步支持我的觀點,我將指出按照Sun Microsystem所普及的實體Bean(O/R映射的一種實現)的許多失敗的嘗試,這是自1.0版以來一直折磨人的難題在SUN的防衛措施中,一些早期的問題是有關EJB規范的開發商實現的這依次證明了實體Bean規范自身的復雜性結果,大多數J2EE架構師一般認為從實體Bean中脫離出來是一個好主意
大多數應用程序在處理他們的數據時,只能進行有限次數的查詢在這樣的應用程序中,訪問數據的一種有效方法是實現一個數據訪問層,該層實現執行這些查詢的一系列服務(或對象或API)如上所述,在這種情況下,不需要O/R映射當您要求查詢靈活性時,O/R映射正合適,但要記住:這種附加的靈活性并不是沒有代價的
就像我承諾的那樣,在本文中,我盡量避免陳腐的最佳實踐相反,關于J2EE項目中每一位架構師必須做出的最重要的決定,我集中講解了我的觀點最后,您應該記住:J2EE并非某種具體的技術,也不是強行加入到解決方案中的一些首字母縮寫相反,您應該在適當的時機,恰當的地方,使用合適的技術,并遵循J2EE架構的指導原則和J2EE中所包含的比技術本身重要得多的實踐
【編輯推薦】
