本文的目標(biāo)讀者是正在從事技術(shù)工作的J2EE架構(gòu)師為了避免浪費(fèi)大家的才智，我會避免講述一些陳腐的最佳實(shí)踐，例如日常構(gòu)建（build daily）測試一切（test everything）和經(jīng)常集成（ integrate often） 任何具有稱職架構(gòu)師的項(xiàng)目都有分工明確的定義良好的團(tuán)隊(duì)結(jié)構(gòu)他們還為進(jìn)行編碼檢查構(gòu)建代碼（每日或在需要時(shí)）進(jìn)行測試（單元集成和系統(tǒng)的）部署和配置/釋放管理而具備已記錄的過程

我將跳過通常吹捧的最佳實(shí)踐，例如基于接口的設(shè)計(jì)使用著名的設(shè)計(jì)模型以及使用面向服務(wù)的架構(gòu)等相反，我將集中講述我曾學(xué)過并且使用了若干年的6（不是很多）個(gè)方面的in-the-trench課程最后，本文的目的是讓您思考一下自己的架構(gòu)，提供工作代碼示例或者解決方案超出了本文的范圍下面就讓我介紹一下這6課：

第1課：切勿繞過服務(wù)器端驗(yàn)證

作為一位軟件顧問，我曾有機(jī)會不但設(shè)計(jì)并實(shí)現(xiàn)了Web應(yīng)用程序，而且還評估/審核了許多Web應(yīng)用程序在復(fù)雜的并且用JavaScript客戶端封裝的應(yīng)用程序內(nèi)，我經(jīng)常遇到對用戶輸入信息執(zhí)行大量檢查的Web頁面即使HTML元素具有數(shù)據(jù)有效性的屬性也如此，例如MAXLENGTH只有在成功驗(yàn)證所有輸入信息后，才能提交HTML表單結(jié)果，一旦服務(wù)器端收到通知表單（請求），便恰當(dāng)?shù)卦贘2EE架構(gòu)中執(zhí)行業(yè)務(wù)邏輯。

在此，您發(fā)現(xiàn)問題了么？開發(fā)人員已經(jīng)做了許多重要的假設(shè)例如，他們假設(shè)所有的Web應(yīng)用程序用戶都同樣誠實(shí)開發(fā)人員還假設(shè)所有用戶將總是使用他們測試過的瀏覽器訪問Web應(yīng)用程序還有很多其他的假設(shè)這些開發(fā)人員忘記了利用可以免費(fèi)得到的工具，通過命令行很容易地模擬類似瀏覽器的行為事實(shí)上，通過在瀏覽器窗口中鍵入適當(dāng)?shù)腢RL，您可以發(fā)送任何posted表單，盡管如此，通過禁用這些頁面的GET請求，您很容易地阻止這樣的表單發(fā)送但是，您不能阻止人們模擬甚至創(chuàng)建他們自己的瀏覽器來入侵您的系統(tǒng)。

根本的問題在于開發(fā)人員不能確定客戶端驗(yàn)證與服務(wù)器端驗(yàn)證的主要差別兩者的主要差別不在于驗(yàn)證究竟發(fā)生在哪里，例如在客戶端或者在服務(wù)器端主要的差別在于驗(yàn)證背后的目的不同

客戶端驗(yàn)證僅僅是方便執(zhí)行它可為用戶提供快速反饋??使應(yīng)用程序似乎做出響應(yīng)，給人一種運(yùn)行桌面應(yīng)用程序的錯(cuò)覺

另一方面，服務(wù)器端驗(yàn)證是構(gòu)建安全Web應(yīng)用程序必需的不管在客戶端一側(cè)輸入的是什么，它可以確保客戶端送往服務(wù)器的所有數(shù)據(jù)都是有效的。

因而，只有服務(wù)器端驗(yàn)證才可以提供真正應(yīng)用程序級的安全許多開發(fā)人員陷入了錯(cuò)誤感覺的圈套：只有在客戶端進(jìn)行所有數(shù)據(jù)的驗(yàn)證才能確保安全下面是說明此觀點(diǎn)的一個(gè)常見的示例：

一個(gè)典型的登錄頁面擁有一個(gè)用來輸入用戶名的文本框和一個(gè)輸入密碼的文本框在服務(wù)器端，某人在接收servlet中可能遇到一些代碼，這些代碼構(gòu)成了下面形式的SQL查詢：

"SELECT * FROM SecurityTable WHERE username = '" + form.getParameter("username") + "' AND password = '" + form.getParameter("password") + "';"，并執(zhí)行這些代碼如果查詢在結(jié)果集的某一行返回，則用戶登錄成功，否則用戶登錄失敗

第一個(gè)問題是構(gòu)造SQL的方式，但現(xiàn)在讓我們暫時(shí)忽略它如果用戶在用戶名中輸入Alice'--會怎樣呢？假設(shè)名為Alice的用戶已經(jīng)在SecurityTable中，這時(shí)此用戶（更恰當(dāng)?shù)恼f法是黑客）成功地登錄我將把找出為什么會出現(xiàn)這種情況的原因做為留給您的一道習(xí)題
許多創(chuàng)造性的客戶端驗(yàn)證可以阻止一般的用戶從瀏覽器中這樣登錄但對于已經(jīng)禁用了JavaScript的客戶端，或者那些能夠使用其他類似瀏覽器程序直接發(fā)送命令（HTTP POST和GET命令）的高級用戶（或者說黑客）來說，我們又有什么辦法呢？服務(wù)器端驗(yàn)證是防止這種漏洞類型所必須的這時(shí)，SSL防火墻等都派不上用場了

第2課：安全并非是附加物

如第1課所述，我曾有幸研究過許多Web應(yīng)用程序我發(fā)現(xiàn)所有的JavaServer Page（JSP）都有一個(gè)共同的主題，那就是具有類似下面?zhèn)未a的布局：

<%  
User user =   
session.getAttribute("User");  
if(user == null)  
{  
// redirect to   
// the logon page  
}   
if(!user.role.equals("manager"))  
{  
// redirect to the  
// "unauthorized" page  
}  
%> 
 
<!-  
HTML, JavaScript, and JSP  
code to display data and  
allow user interaction --> 

在J2EE架構(gòu)中，如果項(xiàng)目使用諸如Struts這樣的MVC框架，所有的Action Bean都會具有類似的代碼盡管最后這些代碼可能運(yùn)行得很好，但如果您發(fā)現(xiàn)一個(gè)bug，或者您必須添加一個(gè)新的角色（例如，guest或者admin），這就會代表一場維護(hù)惡夢

此外，所有的開發(fā)人員，不管您多年輕，都需要熟悉這種編碼模式當(dāng)然，您可以用一些JSP標(biāo)簽來整理JSP代碼，可以創(chuàng)建一個(gè)清除派生Action Bean的基本Action Bean盡管如此，由于與安全相關(guān)的代碼會分布到多個(gè)地方，所以維護(hù)時(shí)的惡夢仍舊存在由于Web應(yīng)用程序的安全是強(qiáng)迫建立在應(yīng)用程序代碼的級別上（由多個(gè)開發(fā)人員），而不是建立在架構(gòu)級別上，所以Web應(yīng)用程序還是很可能存在弱點(diǎn)

很可能，根本的問題是在項(xiàng)目接近完成時(shí)才處理安全性問題最近作為一名架構(gòu)師，我曾在一年多的時(shí)間里親歷了某一要實(shí)現(xiàn)項(xiàng)目的6個(gè)版本，而直到第四版時(shí)我們才提到了安全性??即使該項(xiàng)目會將高度敏感的個(gè)人數(shù)據(jù)暴露于Web上，我們也沒有注意到安全性為了更改發(fā)布計(jì)劃，我們卷入了與項(xiàng)目資助人及其管理人員的爭斗中，以便在第一版中包含所有與安全相關(guān)的功能，并將一些業(yè)務(wù)功能放在后續(xù)的版本中最終，我們贏得了勝利而且由于應(yīng)用程序的安全性相當(dāng)高，能夠保護(hù)客戶的私有數(shù)據(jù)，這一點(diǎn)我們引以為榮，我們的客戶也非常高興

遺憾的是，在大多數(shù)應(yīng)用程序中，安全性看起來并未增加任何實(shí)際的商業(yè)價(jià)值，所以直到最后才解決發(fā)生這種情況時(shí)，人們才匆忙開發(fā)與安全相關(guān)的代碼，而絲毫沒有考慮解決方案的長期可維護(hù)性或者健壯性忽視該安全性的另一個(gè)征兆是缺乏全面的服務(wù)器端驗(yàn)證，如我在第1課中所述，這一點(diǎn)是安全Web應(yīng)用程序的一個(gè)重要組成部分

記?。篔2EE Web應(yīng)用程序的安全性并非僅僅是在Web.xml 和ejb-jar.xml文件中使用合適的聲明，也不是使用J2EE技術(shù)，如Java 認(rèn)證和授權(quán)服務(wù)（Java Authentication and Authorization Service，JAAS）而是經(jīng)過深思熟慮后的設(shè)計(jì)，且實(shí)現(xiàn)一個(gè)支持它的架構(gòu)

第3課：國際化（I18N）不再是紙上談兵

當(dāng)今世界的事實(shí)是許多英語非母語的人們將訪問您的公共Web應(yīng)用程序隨著電子政務(wù)的實(shí)行，由于它允許人們（某個(gè)國家的居民）在線與政府機(jī)構(gòu)交互，所以這一點(diǎn)特別真實(shí)這樣的例子包括換發(fā)駕照或者車輛登記證許多第一語言不是英語的人們很可能將訪問這樣的應(yīng)用程序國際化（即：i18n，因?yàn)樵趇nternationalization這個(gè)單詞中，字母i和字母n之間一共有18個(gè)字母）使得您的應(yīng)用程序能夠支持多種語言

顯然，如果您的JSP 頁面中有硬編碼的文本，或者您的Java代碼返回硬編碼的錯(cuò)誤消息，那么您要花費(fèi)很多時(shí)間開發(fā)此Web應(yīng)用程序的西班牙語版本然而，在Web應(yīng)用程序中，為了支持多種語言，文本不是惟一必須具體化的部分因?yàn)樵S多圖像中嵌有文字，所以圖形和圖像也應(yīng)該是可配置的在極端的情況下，圖像（或者顏色）在不同的文化背景中可能有完全不同的意思類似地，任何格式化數(shù)字和日期的Java代碼也必須本地化但問題是：您的頁面布局可能也需要更改

例如，如果您使用HTML表格來格式化和顯示菜單選項(xiàng)應(yīng)用程序題頭或注腳，則您可能必須為每一種支持的語言更改每一欄的最小寬度和表格其他可能的方面為了適應(yīng)不同的字體和顏色，您可能必須為每一種語言使用單獨(dú)的樣式表

顯然，現(xiàn)在創(chuàng)建一個(gè)國際化的Web應(yīng)用程序面臨的是架構(gòu)挑戰(zhàn)而不是應(yīng)用程序方面的挑戰(zhàn)一個(gè)架構(gòu)良好的Web應(yīng)用程序意味著您的JSP頁面和所有與業(yè)務(wù)相關(guān)的（應(yīng)用程序特有的）Java代碼都不知不覺地選擇了本地化要記住的教訓(xùn)是：不要因?yàn)镴avaJ2EE支持國際化而不考慮國際化您必須從第一天起就記住設(shè)計(jì)具有國際化的解決方案。#p#

第4課：在MVC表示中避免共同的錯(cuò)誤

J2EE開發(fā)已經(jīng)足夠成熟，在表示層，大多數(shù)項(xiàng)目使用MVC架構(gòu)的某些形式，例如Struts在這樣的項(xiàng)目中，我常見到的現(xiàn)象是對MVC模式的誤用下面是幾個(gè)示例

常見的誤用是在模型層（例如，在Struts的Action Bean中）實(shí)現(xiàn)了所有的業(yè)務(wù)邏輯不要忘了，表示層的模型層仍然是表示層的一部分使用該模型層的正確方法是調(diào)用適當(dāng)?shù)臉I(yè)務(wù)層服務(wù)（或?qū)ο螅┎⒔Y(jié)果發(fā)送到視圖層（view layer）用設(shè)計(jì)模式術(shù)語來說，MVC表示層的模型應(yīng)該作為業(yè)務(wù)層的外觀（Fa?ade）來實(shí)現(xiàn)更好的方法是，使用核心J2EE模式（Core J2EE Patterns）中論述到的Business Delegate模式這段自書中摘錄的內(nèi)容精彩地概述了將您的模型作為Business Delegate來實(shí)現(xiàn)的要點(diǎn)和優(yōu)點(diǎn)：

Business Delegate起到客戶端業(yè)務(wù)抽象化的作用它抽象化，進(jìn)而隱藏業(yè)務(wù)服務(wù)的實(shí)現(xiàn)使用Business Delegate，可以降低表示層客戶端和系統(tǒng)的業(yè)務(wù)服務(wù).之間的耦合程度根據(jù)實(shí)現(xiàn)策略不同，Business Delegate可以在業(yè)務(wù)服務(wù)API的實(shí)現(xiàn)中，保護(hù)客戶端不受可能的變動(dòng)性影響這樣，在業(yè)務(wù)服務(wù)API或其底層實(shí)現(xiàn)變化時(shí)，可以潛在地減少必須修改表示層客戶端代碼的次數(shù)
另一個(gè)常見的錯(cuò)誤是在模型層中放置許多表示類型的邏輯例如，如果JSP頁面需要以指定方式格式化的日期或者以指定方式排序的數(shù)據(jù)，某些人可能將該邏輯放置在模型層，對該邏輯來說，這是錯(cuò)誤的地方實(shí)際上，它應(yīng)該在JSP頁面使用的一組helper類中當(dāng)業(yè)務(wù)層返回?cái)?shù)據(jù)時(shí)，Action Bean應(yīng)該將數(shù)據(jù)轉(zhuǎn)發(fā)給視圖層這樣，無需創(chuàng)建模型和視圖之間多余的耦合，就能夠靈活支持多個(gè)視圖層（JSPVelocityXML等）也使視圖能夠確定向用戶顯示數(shù)據(jù)的最佳方式

最后，我見過的大多數(shù)MVC應(yīng)用程序都有未充分應(yīng)用的控制器例如，絕大多數(shù)的Struts應(yīng)用程序?qū)?chuàng)建一個(gè)基本的Action類，并完成所有與安全相關(guān)的功能其他所有的Action Bean都是此基類的派生類這種功能應(yīng)該是控制器的一部分，因?yàn)槿绻麤]有滿足安全條件，則首先調(diào)用不應(yīng)該到達(dá)Action Bean（即：模型）記住，一個(gè)設(shè)計(jì)良好的MVC架構(gòu)的最強(qiáng)大功能之一是存在一個(gè)健壯的可擴(kuò)展的控制器您應(yīng)該利用該能力以加強(qiáng)自己的優(yōu)勢

第5課：不要被JOPO束縛住手腳

我曾目睹許多項(xiàng)目為了使用Enterprise JavaBean而使用Enterprise JavaBean因?yàn)镋JB似乎給項(xiàng)目帶來優(yōu)越感和妄自尊大的表現(xiàn)，所以有時(shí)它是顯酷的要素（coolness factor）而其他時(shí)候，它會使J2EE和EJB引起混淆記住，J2EE和EJB不是同意詞EJB只是J2EE 的一部分，J2EE 是包含JSPservletJava 消息服務(wù)（JMS）Java數(shù)據(jù)庫連接（JDBC）JAAS Java管理擴(kuò)展（JMX）和EJB在內(nèi)的一系列技術(shù)，同樣也是有關(guān)如何共同使用這些技術(shù)建立解決方案的一組指導(dǎo)原則和模式

如果在不需要使用EJB的情況下使用EJB，它們可能會影響程序的性能與老的Web服務(wù)器相比，EJB一般對應(yīng)用服務(wù)器有更多的需求EJB提供的所有增值服務(wù)一般需要消耗更大的內(nèi)存和更多的CPU時(shí)間許多應(yīng)用程序不需要這些服務(wù)，因此應(yīng)用服務(wù)器要與應(yīng)用程序爭奪資源

在某些情況下，不必要地使用EJB可能使應(yīng)用程序崩潰例如，最近我遇到了一個(gè)在開源應(yīng)用服務(wù)器上開發(fā)的應(yīng)用程序業(yè)務(wù)邏輯封裝在一系列有狀態(tài)會話bean（EJB）中開發(fā)人員為了在應(yīng)用服務(wù)器中完全禁用這些bean的鈍化費(fèi)了很大的勁客戶端要求應(yīng)用程序部署在某一商用應(yīng)用服務(wù)器上，而該服務(wù)器是客戶端技術(shù)棧的一部分該應(yīng)用服務(wù)器卻不允許關(guān)閉鈍化功能事實(shí)上，客戶端不想改變與其合作的應(yīng)用服務(wù)器的設(shè)任何置結(jié)果，開發(fā)商碰到了很大的麻煩（似乎）有趣的事情是開發(fā)商自己都不能給出為什么將代碼用EJB（而且還是有狀態(tài)會話bean）實(shí)現(xiàn)的好理由不僅僅是開發(fā)商會遇到性能問題，他們的程序在客戶那里也無法工作

在Web應(yīng)用程序中，無格式普通Java 對象（POJO）是EJB強(qiáng)有力的競爭者POJO是輕量級的，不像EJB那樣負(fù)擔(dān)額外的負(fù)擔(dān)在我看來，對許多EJB的優(yōu)點(diǎn)，例如對象入池，估計(jì)過高POJO是您的朋友，不要被它束縛住手腳

第6課：數(shù)據(jù)訪問并不能托管O/R映射

我曾參與過的所有Web應(yīng)用程序都向用戶提供從其他地方存取的數(shù)據(jù)，并且因此需要一個(gè)數(shù)據(jù)訪問層這并不是說所有的項(xiàng)目都需要標(biāo)識并建立這樣一個(gè)層，這僅僅說明這樣層的存在不是隱含的就是明確的如果是隱含的數(shù)據(jù)層，數(shù)據(jù)層是業(yè)務(wù)對象（即：業(yè)務(wù)服務(wù)）層的一部分這適用于小型應(yīng)用程序，但通常與大一些項(xiàng)目所接受的架構(gòu)指導(dǎo)原則相抵觸

總之，數(shù)據(jù)訪問層必須滿足或超出以下四個(gè)標(biāo)準(zhǔn)：

具有透明性

業(yè)務(wù)對象在不知道數(shù)據(jù)源實(shí)現(xiàn)的具體細(xì)節(jié)情況下，可以使用數(shù)據(jù)源由于實(shí)現(xiàn)細(xì)節(jié)隱藏在數(shù)據(jù)訪問層的內(nèi)部，所以訪問是透明的

易于遷移

數(shù)據(jù)訪問層使應(yīng)用程序很容易遷移到其他數(shù)據(jù)庫實(shí)現(xiàn)業(yè)務(wù)對象不了解底層的數(shù)據(jù)實(shí)現(xiàn)，所以遷移僅僅涉及到修改數(shù)據(jù)訪問層進(jìn)一步地說，如果您正在部署某種工廠策略，您可以為每個(gè)底層的存儲實(shí)現(xiàn)提供具體的工廠實(shí)現(xiàn)如果是那樣的話，遷移到不同的存儲實(shí)現(xiàn)意味著為應(yīng)用程序提供一個(gè)新的工廠實(shí)現(xiàn)

盡量減少業(yè)務(wù)對象中代碼復(fù)雜性

因?yàn)閿?shù)據(jù)訪問層管理著所有的數(shù)據(jù)訪問復(fù)雜性，所以它可以簡化業(yè)務(wù)對象和使用數(shù)據(jù)訪問層的其他數(shù)據(jù)客戶端的代碼數(shù)據(jù)訪問層，而不是業(yè)務(wù)對象，含有許多與實(shí)現(xiàn)相關(guān)的代碼（例如SQL語句）這樣給開發(fā)人員帶來了更高的效率更好的可維護(hù)性提高了代碼的可讀性等一系列好處

把所有的數(shù)據(jù)訪問集中在單獨(dú)的層上

由于所有的數(shù)據(jù)訪問操作現(xiàn)在都委托給數(shù)據(jù)訪問層，所以您可以將這個(gè)單獨(dú)的數(shù)據(jù)訪問層看做能夠?qū)?yīng)用程序的其他部分與數(shù)據(jù)訪問實(shí)現(xiàn)相互隔離的層這種集中化可以使應(yīng)用程序易于維護(hù)和管理。

注意：這些標(biāo)準(zhǔn)都不能明確地調(diào)出對O/R（對象到關(guān)系）映射層的需求O/R映射層一般用O/R映射工具創(chuàng)建，它提供對象對關(guān)系數(shù)據(jù)結(jié)構(gòu)的查看和感知（look-and-feel）在我看來，在項(xiàng)目中使用O/R映射與使用EJB類似在大多數(shù)情況下，并不要求它對于包含中等規(guī)模的聯(lián)合以及多對多關(guān)系的關(guān)系型數(shù)據(jù)庫來說，O/R映射會變得相當(dāng)復(fù)雜由于增加O/R 映射解決方案本身的內(nèi)在復(fù)雜性，例如延遲加載（lazy loading）高速緩沖等，您將為您的項(xiàng)目帶來更大的復(fù)雜性（和風(fēng)險(xiǎn)）

為了進(jìn)一步支持我的觀點(diǎn)，我將指出按照Sun Microsystem所普及的實(shí)體Bean（O/R映射的一種實(shí)現(xiàn)）的許多失敗的嘗試，這是自1.0版以來一直折磨人的難題在SUN的防衛(wèi)措施中，一些早期的問題是有關(guān)EJB規(guī)范的開發(fā)商實(shí)現(xiàn)的這依次證明了實(shí)體Bean規(guī)范自身的復(fù)雜性結(jié)果，大多數(shù)J2EE架構(gòu)師一般認(rèn)為從實(shí)體Bean中脫離出來是一個(gè)好主意

大多數(shù)應(yīng)用程序在處理他們的數(shù)據(jù)時(shí)，只能進(jìn)行有限次數(shù)的查詢在這樣的應(yīng)用程序中，訪問數(shù)據(jù)的一種有效方法是實(shí)現(xiàn)一個(gè)數(shù)據(jù)訪問層，該層實(shí)現(xiàn)執(zhí)行這些查詢的一系列服務(wù)（或?qū)ο蠡駻PI）如上所述，在這種情況下，不需要O/R映射當(dāng)您要求查詢靈活性時(shí)，O/R映射正合適，但要記?。哼@種附加的靈活性并不是沒有代價(jià)的

就像我承諾的那樣，在本文中，我盡量避免陳腐的最佳實(shí)踐相反，關(guān)于J2EE項(xiàng)目中每一位架構(gòu)師必須做出的最重要的決定，我集中講解了我的觀點(diǎn)最后，您應(yīng)該記?。篔2EE并非某種具體的技術(shù)，也不是強(qiáng)行加入到解決方案中的一些首字母縮寫相反，您應(yīng)該在適當(dāng)?shù)臅r(shí)機(jī)，恰當(dāng)?shù)牡胤?，使用合適的技術(shù)，并遵循J2EE架構(gòu)的指導(dǎo)原則和J2EE中所包含的比技術(shù)本身重要得多的實(shí)踐

【編輯推薦】

1. J2EE系統(tǒng)架構(gòu)和過程淺析
2. J2EE 的四層模型
3. J2EE基礎(chǔ)知識 理解J2EE的概念
4. 商業(yè)J2EE中間件價(jià)值何在？
5. J2EE的核心API與組件