首先,本文的目標讀者是正在從事技術工作的架構師。為了避免浪費大家的才智,我會避免講述一些陳腐的最佳實踐,例如"日常構建(build daily)"、"測試一切(test everything)"和"經常集成( integrate often)。 任何具有稱職架構師的項目都有分工明確的、定義良好的團隊結構。他們還為進行編碼檢查、構建代碼(每日或在需要時)、進行測試(單元、集成和系統的)、部署和配置/釋放管理而具備已記錄的過程。
其次,我將跳過通常吹捧的最佳實踐,例如"基於接口的設計"、"使用著名的設計模型"以及"使用面向服務的架構"等。相反,我將集中講述我曾學過並且使用了若干年的6(不是很多)個方面的in-the-trench課程。最後,本文的目的是讓您思考一下自己的架構,提供工作代碼示例或者解決方案超出了本文的范圍。下面就讓我介紹一下這6課:
第1課:切勿繞過服務器端驗證
作為一位軟件顧問,我曾有機會不但設計並實現了Web應用程序,而且還評估/審核了許多Web應用程序。在復雜的、並且用JavaScript客戶端封裝的應用程序內,我經常遇到對用戶輸入信息執行大量檢查的Web頁面。即使HTML元素具有數據有效性的屬性也如此,例如MAXLENGTH。只有在成功驗證所有輸入信息後,才能提交HTML表單。結果,一旦服務器端收到通知表單(請求),便恰當地執行業務邏輯。
在此,您發現問題了麼?開發人員已經做了許多重要的假設。例如,他們假設所有的Web應用程序用戶都同樣誠實。開發人員還假設所有用戶將總是使用他們測試過的浏覽器訪問Web應用程序。還有很多其他的假設。這些開發人員忘記了利用可以免費得到的工具,通過命令行很容易地模擬類似浏覽器的行為。事實上,通過在浏覽器窗口中鍵入適當的URL,您可以發送任何"posted"表單,盡管如此,通過禁用這些頁面的GET請求,您很容易地阻止這樣的"表單發送"。但是,您不能阻止人們模擬甚至創建他們自己的浏覽器來入侵您的系統。
根本的問題在於開發人員不能確定客戶端驗證與服務器端驗證的主要差別。兩者的主要差別不在於驗證究竟發生在哪裡,例如在客戶端或者在服務器端。主要的差別在於驗證背後的目的不同。
客戶端驗證僅僅是方便。執行它可為用戶提供快速反饋??使應用程序似乎做出響應,給人一種運行桌面應用程序的錯覺。
另一方面,服務器端驗證是構建安全Web應用程序必需的。不管在客戶端一側輸入的是什麼,它可以確保客戶端送往服務器的所有數據都是有效的。
因而,只有服務器端驗證才可以提供真正應用程序級的安全。許多開發人員陷入了錯誤感覺的圈套:只有在客戶端進行所有數據的驗證才能確保安全。下面是說明此觀點的一個常見的示例:
一個典型的登錄頁面擁有一個用來輸入用戶名的文本框和一個輸入密碼的文本框。在服務器端,某人在接收servlet中可能遇到一些代碼,這些代碼構成了下面形式的SQL查詢:
"SELECT * FROM SecurityTable WHERE username = '" + form.getParameter("username") + "' AND password = '" + form.getParameter("password") + "';",並執行這些代碼。如果查詢在結果集的某一行返回,則用戶登錄成功,否則用戶登錄失敗。
第一個問題是構造SQL的方式,但現在讓我們暫時忽略它。如果用戶在用戶名中輸入"Alice'--"會怎樣呢?假設名為"Alice"的用戶已經在SecurityTable中,這時此用戶(更恰當的說法是黑客)成功地登錄。我將把找出為什麼會出現這種情況的原因做為留給您的一道習題。
許多創造性的客戶端驗證可以阻止一般的用戶從浏覽器中這樣登錄。但對於已經禁用了JavaScript的客戶端,或者那些能夠使用其他類似浏覽器程序直接發送命令(HTTP POST和GET命令)的高級用戶(或者說黑客)來說,我們又有什麼辦法呢?服務器端驗證是防止這種漏洞類型所必須的。這時,SSL、防火牆等都派不上用場了。
第2課:安全並非是附加物
如第1課所述,我曾有幸研究過許多Web應用程序。我發現所有的JavaServer Page(JSP)都有一個共同的主題,那就是具有類似下面偽代碼的布局:
HTML, JavaScript, and JSP
code to display data and
allow user interaction -->
如果項目使用諸如Struts這樣的MVC框架,所有的Action Bean都會具有類似的代碼。盡管最後這些代碼可能運行得很好,但如果您發現一個bug,或者您必須添加一個新的角色(例如,"guest"或者"admin"),這就會代表一場維護惡夢。
此外,所有的開發人員,不管您多年輕,都需要熟悉這種編碼模式。當然,您可以用一些JSP標簽來整理JSP代碼,可以創建一個清除派生Action Bean的基本Action Bean。盡管如此,由於與安全相關的代碼會分布到多個地方,所以維護時的惡夢仍舊存在。由於Web應用程序的安全是強迫建立在應用程序代碼的級別上(由多個開發人員),而不是建立在架構級別上,所以Web應用程序還是很可能存在弱點。
很可能,根本的問題是在項目接近完成時才處理安全性問題。最近作為一名架構師,我曾在一年多的時間裡親歷了某一要實現項目的6個版本,而直到第四版時我們才提到了安全性??即使該項目會將高度敏感的個人數據暴露於Web上,我們也沒有注意到安全性。為了更改發布計劃,我們卷入了與項目資助人及其管理人員的爭斗中,以便在第一版中包含所有與安全相關的功能,並將一些"業務"功能放在後續的版本中。最終,我們贏得了勝利。而且由於應用程序的安全性相當高,能夠保護客戶的私有數據,這一點我們引以為榮,我們的客戶也非常高興。
遺憾的是,在大多數應用程序中,安全性看起來並未增加任何實際的商業價值,所以直到最後才解決。發生這種情況時,人們才匆忙開發與安全相關的代碼,而絲毫沒有考慮解決方案的長期可維護性或者健壯性。忽視該安全性的另一個征兆是缺乏全面的服務器端驗證,如我在第1課中所述,這一點是安全Web應用程序的一個重要組成部分。
記住:J2EE Web應用程序的安全性並非僅僅是在Web.xml 和ejb-jar.xml文件中使用合適的聲明,也不是使用J2EE技術,如Java 認證和授權服務(Java Authentication and Authorization Service,JAAS)。而是經過深思熟慮後的設計,且實現一個支持它的架構。
第3課:國際化(I18N)不再是紙上談兵
當今世界的事實是許多英語非母語的人們將訪問您的公共Web應用程序。隨著電子政務的實行,由於它允許人們(某個國家的居民)在線與政府機構交互,所以這一點特別真實。這樣的例子包括換發駕照或者車輛登記證。許多第一語言不是英語的人們很可能將訪問這樣的應用程序。國際化(即:"i18n",因為在"internationalization"這個單詞中,字母i和字母n之間一共有18個字母)使得您的應用程序能夠支持多種語言。
顯然,如果您的JSP 頁面中有硬編碼的文本,或者您的Java代碼返回硬編碼的錯誤消息,那麼您要花費很多時間開發此Web應用程序的西班牙語版本。然而,在Web應用程序中,為了支持多種語言,文本不是惟一必須"具體化"的部分。因為許多圖像中嵌有文字,所以圖形和圖像也應該是可配置的。在極端的情況下,圖像(或者顏色)在不同的文化背景中可能有完全不同的意思。類似地,任何格式化數字和日期的Java代碼也必須本地化。但問題是:您的頁面布局可能也需要更改。
例如,如果您使用HTML表格來格式化和顯示菜單選項、應用程序題頭或注腳,則您可能必須為每一種支持的語言更改每一欄的最小寬度和表格其他可能的方面。為了適應不同的字體和顏色,您可能必須為每一種語言使用單獨的樣式表。
顯然,現在創建一個國際化的Web應用程序面臨的是架構挑戰而不是應用程序方面的挑戰。一個架構良好的Web應用程序意味著您的JSP頁面和所有與業務相關的(應用程序特有的)Java代碼都不知不覺地選擇了本地化。要記住的教訓是:不要因為Java、J2EE支持國際化而不考慮國際化。您必須從第一天起就記住設計具有國際化的解決方案。
第4課:在MVC表示中避免共同的錯誤
J2EE開發已經足夠成熟,在表示層,大多數項目使用MVC架構的某些形式,例如Struts。在這樣的項目中,我常見到的現象是對MVC模式的誤用。下面是幾個示例。
常見的誤用是在模型層(例如,在Struts的Action Bean中)實現了所有的業務邏輯。不要忘了,表示層的模型層仍然是表示層的一部分。使用該模型層的正確方法是調用適當的業務層服務(或對象)並將結果發送到視圖層(view layer)。用設計模式術語來說,MVC表示層的模型應該作為業務層的外觀(Fa?ade)來實現。更好的方法是,使用核心J2EE模式(Core J2EE Patterns)中論述到的Business Delegate模式。這段自書中摘錄的內容精彩地概述了將您的模型作為Business Delegate來實現的要點和優點:
Business Delegate起到客戶端業務抽象化的作用。它抽象化,進而隱藏業務服務的實現。使用Business Delegate,可以降低表示層客戶端和系統的業務服務.之間的耦合程度。根據實現策略不同,Business Delegate可以在業務服務API的實現中,保護客戶端不受可能的變動性影響。這樣,在業務服務API或其底層實現變化時,可以潛在地減少必須修改表示層客戶端代碼的次數。
另一個常見的錯誤是在模型層中放置許多表示類型的邏輯。例如,如果JSP頁面需要以指定方式格式化的日期或者以指定方式排序的數據,某些人可能將該邏輯放置在模型層,對該邏輯來說,這是錯誤的地方。實際上,它應該在JSP頁面使用的一組helper類中。當業務層返回數據時,Action Bean應該將數據轉發給視圖層。這樣,無需創建模型和視圖之間多余的耦合,就能夠靈活支持多個視圖層(JSP、Velocity、XML等)。也使視圖能夠確定向用戶顯示數據的最佳方式。
最後,我見過的大多數MVC應用程序都有未充分應用的控制器。例如,絕大多數的Struts應用程序將創建一個基本的Action類,並完成所有與安全相關的功能。其他所有的Action Bean都是此基類的派生類。這種功能應該是控制器的一部分,因為如果沒有滿足安全條件,則首先調用不應該到達Action Bean(即:模型)。記住,一個設計良好的MVC架構的最強大功能之一是存在一個健壯的、可擴展的控制器。您應該利用該能力以加強自己的優勢。
第5課:不要被JOPO束縛住手腳
我曾目睹許多項目為了使用Enterprise JavaBean而使用Enterprise JavaBean。因為EJB似乎給項目帶來優越感和妄自尊大的表現,所以有時它是顯酷的要素(coolness factor)。而其他時候,它會使J2EE和EJB引起混淆。記住,J2EE和EJB不是同意詞。EJB只是J2EE 的一部分,J2EE 是包含JSP、servlet、Java 消息服務(JMS)、Java數據庫連接(JDBC)、JAAS、 Java管理擴展(JMX)和EJB在內的一系列技術,同樣也是有關如何共同使用這些技術建立解決方案的一組指導原則和模式。
如果在不需要使用EJB的情況下使用EJB,它們可能會影響程序的性能。與老的Web服務器相比,EJB一般對應用服務器有更多的需求。EJB提供的所有增值服務一般需要消耗更大的內存和更多的CPU時間。許多應用程序不需要這些服務,因此應用服務器要與應用程序爭奪資源。
在某些情況下,不必要地使用EJB可能使應用程序崩潰。例如,最近我遇到了一個在開源應用服務器上開發的應用程序。業務邏輯封裝在一系列有狀態會話bean(EJB)中。開發人員為了在應用服務器中完全禁用這些bean的"鈍化"費了很大的勁。客戶端要求應用程序部署在某一商用應用服務器上,而該服務器是客戶端技術棧的一部分。該應用服務器卻不允許關閉"鈍化"功能。事實上,客戶端不想改變與其合作的應用服務器的設任何置。結果,開發商碰到了很大的麻煩。(似乎)有趣的事情是開發商自己都不能給出為什麼將代碼用EJB(而且還是有狀態會話bean)實現的好理由。不僅僅是開發商會遇到性能問題,他們的程序在客戶那裡也無法工作。
在Web應用程序中,無格式普通Java 對象(POJO)是EJB強有力的競爭者。POJO是輕量級的,不像EJB那樣負擔額外的負擔。在我看來,對許多EJB的優點,例如對象入池,估計過高。POJO是您的朋友,不要被它束縛住手腳。
第6課:數據訪問並不能托管O/R映射
我曾參與過的所有Web應用程序都向用戶提供從其他地方存取的數據,並且因此需要一個數據訪問層。這並不是說所有的項目都需要標識並建立這樣一個層,這僅僅說明這樣層的存在不是隱含的就是明確的。如果是隱含的數據層,數據層是業務對象(即:業務服務)層的一部分。這適用於小型應用程序,但通常與大一些項目所接受的架構指導原則相抵觸。
總之,數據訪問層必須滿足或超出以下四個標准:
具有透明性
業務對象在不知道數據源實現的具體細節情況下,可以使用數據源。由於實現細節隱藏在數據訪問層的內部,所以訪問是透明的。
易於遷移
數據訪問層使應用程序很容易遷移到其他數據庫實現。業務對象不了解底層的數據實現,所以遷移僅僅涉及到修改數據訪問層。進一步地說,如果您正在部署某種工廠策略,您可以為每個底層的存儲實現提供具體的工廠實現。如果是那樣的話,遷移到不同的存儲實現意味著為應用程序提供一個新的工廠實現。
盡量減少業務對象中代碼復雜性
因為數據訪問層管理著所有的數據訪問復雜性,所以它可以簡化業務對象和使用數據訪問層的其他數據客戶端的代碼。數據訪問層,而不是業務對象,含有許多與實現相關的代碼(例如SQL語句)。這樣給開發人員帶來了更高的效率、更好的可維護性、提高了代碼的可讀性等一系列好處。
把所有的數據訪問集中在單獨的層上
由於所有的數據訪問操作現在都委托給數據訪問層,所以您可以將這個單獨的數據訪問層看做能夠將應用程序的其他部分與數據訪問實現相互隔離的層。這種集中化可以使應用程序易於維護和管理。
注意:這些標准都不能明確地調出對O/R(對象到關系)映射層的需求。O/R映射層一般用O/R映射工具創建,它提供對象對關系數據結構的查看和感知(look-and-feel)。在我看來,在項目中使用O/R映射與使用EJB類似。在大多數情況下,並不要求它。對於包含中等規模的聯合以及多對多關系的關系型數據庫來說,O/R映射會變得相當復雜。由於增加O/R 映射解決方案本身的內在復雜性,例如延遲加載(lazy loading)、高速緩沖等,您將為您的項目帶來更大的復雜性(和風險)。
為了進一步支持我的觀點,我將指出按照Sun Microsystem所普及的實體Bean(O/R映射的一種實現)的許多失敗的嘗試,這是自1.0版以來一直折磨人的難題。在SUN的防衛措施中,一些早期的問題是有關EJB規范的開發商實現的。這依次證明了實體Bean規范自身的復雜性。結果,大多數J2EE架構師一般認為從實體Bean中脫離出來是一個好主意。
大多數應用程序在處理他們的數據時,只能進行有限次數的查詢。在這樣的應用程序中,訪問數據的一種有效方法是實現一個數據訪問層,該層實現執行這些查詢的一系列服務(或對象、或API)。如上所述,在這種情況下,不需要O/R映射。當您要求查詢靈活性時,O/R映射正合適,但要記住:這種附加的靈活性並不是沒有代價的。
就像我承諾的那樣,在本文中,我盡量避免陳腐的最佳實踐。相反,關於J2EE項目中每一位架構師必須做出的最重要的決定,我集中講解了我的觀點。最後,您應該記住:J2EE並非某種具體的技術,也不是強行加入到解決方案中的一些首字母縮寫。相反,您應該在適當的時機,恰當的地方,使用合適的技術,並遵循J2EE的指導原則和J2EE中所包含的比技術本身重要得多的實踐。
