亚洲熟女少妇一区二区,亚洲综合在线一区二区三区,亚洲a∨无码一区二区

(转蝲)WebLogic Server 之安�?架构��?

Wed, 11 Oct 2006 02:50:00 GMT

WebLogic Server 之安�?架构��?

本文来自http://www.chinaitpower.com/2005Nov/2005-11-23/209281.html
安全的变化可是WebLogic Server�q�期版本(7.0,8.1)最大的变化之一�Q�全新的安全体系架构�Q�既易于客户化安全解��x��案的变化�Q�又能实现细节和应用基础架构分离�Q��安全更易于部�|Ԍ��理�Q�维护和�Ҏ��需求变�?同时也是支持最新的J2EE的标准和规范。本文试图从架构斚w��详细讲解WebLogic Server 7.0的安全体�p�d��其相关细节，希望读者能对其机制有个框架层次和深度上的了解，文档参照了WebLogic Server 7.0的英文版手册�Q�表�q�C��当的地方�Q�希望大家一��h��讨。BTW,新出的WebLogic Server 8.1的安全架构完全和WebLogic Server 7.0一致�?b>

WebLogic Security的基本特�?/b>

开放，灉|��的架构�?br />1. ��Z��标准�Q�易于理解的设计
2. ��Z��WebLogic Server应用的端对端的安全（从主机到��览器）
3. 能与已存在的安全规则(Scheme)�q�行集成�Q�从而有利于保护企业投资�?br />4. 安全的工具集成到一个灵�z�，�l�一架构的系�l�以便于在企业��q�行安全��理
5. 通过��公司的业务规则和安全policies的对应，能方便实现根据业务需求客户化应用安全
6. 易于Security Policy的更新�?br />7. 易于客户化安全解��x��案的变化�?br />8. 因�ؓ��h��模块化的架构�Q�因此安全架构能�Ҏ��不同公司的特�D�需求不断变�?br />9. 能够配置多个Security Provider
10. 安全实现�l�节和应用基��架构分离�Q��安全更易于部�|Ԍ��理�Q�维护和�Ҏ��需求变�?br />11. 当前的WebLogic Security providers提供了和应用无关的可行的安全规则。（Scheme�Q?br />12. 使用WebLogic custom security provider�q�行客户化工�?br />13. 通过��理控制台进行统一的安全规�?Rule),Security Policy和Security Provider的统一��理
14. �Ҏ��新的J2EE安全技术的支持�Q�包括JAAS(Java Authentication and Authorization Service),JSSE(java Secure Sockets Extensions),and JCE(java Cryptography Extensions)

易于使用�Q?/b>�Ҏ��l�用戯��言�Q�只需要登陆一�ơ，��p��讉K��所有资源（SSO�Q�，�Q�限制在WebLogic Domain�Q?br />可管理：提供WebLogic security Provider,当前的Provider支持所有需要的安全功能�Q�Security Data存放在WebLogic Server提供的LDAP Server�?br />客户�? WebLogic Security API,JAAS,JSSE custom security provider through SSPIs(WebLogic Server Security Service Provider Interfaces)

WebLogic Server Security�?.x�?.0的变�?

WebLogic Server 6.x	WebLogic Server70
安全的API	非常多的已存在API不推荐��用，BEA��使用��Z��J2EE规范的标准接口实现应�?
JAAS认证	JAAS认证增强已提供对于IIOP和t3客户端访问的LoginModules
审计	无需实现WebLogic.security.Audit接口已在你的应用中加入审计功能，WebLogic Auditing provider已提供�?
定义weblogic.xml和weblogic-ejb-jar.xml和weblogic-ra.xml中的安全需�?	增强可以通过��理控制台定�?
�pȝ��密码	没有指定的系�l��̎�?
ACL	ACL已经不推荐��用，�q�由security policy代替
用户和组	仍然存在�Q��ƈ通过security policy��weblogic resouce赋予user,group或security role
6.x安全Realm	不推荐��用，但仍存在Realm Adapter当你�q�行安全的�{换时
	支持多个Security Provider
SSL	支持JSSE标准和TLS v1(Transport Layer Security)协议
	支持J2EE JKS keystores

安全基础
Audit(审计):
提供�Ҏ��作请求和��h��输出的搜集，存储和发布，提供了对计算��为的电子�U�录�?br />在Security operations happens的前后，WebLogic调用Auditing Provider对特�D�事�Ӟ��Z��audit criteria or serverity level�Q�进行纪录同时写入LDAP Server,数据库或文�g�pȝ��中�?

Authentication(认证)
通过使用username/password�l�合来判断用��h��否是一个系�l�的合法用户�Q�主要回�{?Who Are You?"的问题�?br />

1. Principal & Subject

Principal认证通过后赋予用��h��l�的�w�䆾�Q�Identity�Q�Subject JAAS 要求通过subject�Q�Container知道客户信息�Q�包括pricipals

·Relationships Among Users, Groups, Principals and Subjects

成功的认证后�Q�principal�{�֐�同时存在一个subject中，principal validation provider�{�֐��Q��ƈ且Authentication Provider的LoginModule存放pricipal到subject中，当caller试图讉K��存在subject中的pricipal�Ӟ��principal validation provider认证pricipal自签名后没有改变�Q�然后principal回给caller.

2. JAAS
JAAS实现了java版本的PAM模块�Q�允许应用和后层采用的认证技术，同时允许再不更改应用的情况下采用更新的或者变化了的安全认证技术�?br />WebLogic sever使用JAAS在胖客户端认证和内部认证,因此�Q�只有客户化Authentication Provider的开发者和�q�程胖客��L��需要直接��用JAAS, Thin 客户端和在container内的胖客��L��(EJB throgh servelt)不需要直接��用JAAS.

·JAAS LoginModules
认证用户�Q�发布Subject.不用于perimeter authentication

·JAAS Control Flags
Multiple Authentication provider configured
REQUIRED : 必须成功�Q�如果失败，authentication�l�箋其他的LoginModule(当前)
REQUISITE:必须成功�Q�成功��l�，不成功，��返回应用�?br />SUFFICIENT�Q�不需要成功，如果成功�Q�返回应用，如果��p�|�Q��l�LoginModule List
OPTIONAL:允许成功或失败，但必��通过一个LoginModule

·CallBackHandlers
CallbackHandler 是�ؓ��参数或复杂对象传入�Ҏ��中的一�U�高度灵�zȝ��规范。包括NameCallback:return username
PasswordCallback:return password
TextInputCallback: return 用户在Login form中输入的数据�?br />Security service��不同的Callback传入CallbackHandler要求获取不同�c�d��的信息，CallbackHandler的实现决定如何根据不同的Callback获取和显�C��?/p>

·Mutual Authentication
客户端和服务端都需要相互认证，WebLogic Server支持2-way SSL

·Identity Assertion Providers and LoginModules
当和LoginModules一起��用时�Q�Identity Assertion provider支持Sigle-sign-on,LoginModule包含�Q?br />

�?客户化开发的Authentication Provider
�?BEA 开发的WebLogic Authentication Provider
�?�W�三方的Authentication Provider

·Identity Assertion and Tokens
Identity Assertion Provider支持用户名的mapping,对应到weblogic server中的一个正��的token,能够开发Identitty Assertion Provider已支持多�U�token�c�d��Q�但只有一�U��ؓActive状态，同时只有一�U�Identity Assertion provider最�l�执行这一mapping的操作�?

Authentication�c�d��
WebLogic authentication provider支持的认证类型有�Q?br />

用户�?口��o认证:SSL,HTTPS
CA(Certification Authentication):当SSL或HTTPS客户��h��发�v�Ӟ��WebLogic Server回应客户一个数字认证（digital certification�Q�，客户证实�q�个数字认证从而徏立SSL联结�Q�数字认证是�׃��证机构CA发放�?br />Perimeter Authentication
主要用于应用服务器外的远�E�用��L��认证�q�程
�q�程用户指定assert identity和相应得材料来完成�?br />Authentication agent能采用各�U�格式，VPN,Firewall,企业�U�认证服务�?br />Authentication agent处理认证�q�程同时��D��artifact和token产生。Identity assertion的概联��weblogic server能��用perimeter authentication schemes提供的认证机�Ӟ��比如Checkpoint's OPSEC,the emerging Security Assertion Markup Language(SAML), enhancement of Common Secure Interoperability(CSI)v2完成功能�?/td>

3. Authorization

Authorization在用户和weblogic 控制的资源中交互的进�E�，��Z��用户�w�䆾或其他信息�?br />Authorization主要回答的问题是"What can you access"

WebLogic resource:包含
��理资源
应用资源
COM资源
EIS资源
EJB
JDBC
JMS
JNDI
Server资源
URL资源
Web Service资源

·Security Policy
代替ACL,主要回答的问题是�Q�Who have access to WebLogic resource?
当你��weblogic resource和用��P��l�，security role相关联时�Q�Security Policy产生�?br />Security Policy存储在Authorization Provider的数据库中，当前的WebLogic Authorization provider存在LDAP Server�?br />BEA推荐在security role上徏立security policy.

·ContextHandlers
从resource container中获取context和有关container的信息，为security provider做出讉K��或权限mapping军_��的提供信息�?br />

·Access Decisions
回答�?is access allowed?"的问�?Access Decision�l�果为PERMIT,DENY,ABSTAIN

·Adjudication
解决了当多个Authorization Provider提供授权时��生的冲突问题。Adjudication Server权衡多个Access Decision的结果，�q�且军_��最�l�permit或者deny的结果。当唯一的Authorization provider�q�回�l�果为ABSTAIN�Ӟ��Adjudication provider军_��怎样处理�?/p>

·SSL
当前WebLogic Server支持1-way方式的SSL认证�Q��用管理控制台�Q�能够配�|?-way的SSL.
需要配�|�privite key,包括public key的数字证�?digital certificate)�Q�和臛_��׃��个CA认证的数字证�?digital certificate),有可能需要安装root trusted CA's digital certificate.

��取数字证书，自己生成public key,private key和认证签名请�?CSR)(包含public key),同时��CSR发到认证机构已得到签名的证书�?br />Public key存放在WebLogic domain目录下的文�g�pȝ��?br />Private key和通过认证的证书能存放在文件系�l�或通过WebLogic keystore provider提供的keystore中�?/p>

SSL提供
1�Q?应用间沟通的机制便于认证双方的��n�?br />2�Q?应用间交换数据的加密�?/p>

Server authentication:WebLogic Server使用�l�过CA�{�֐�的数字证书，向客戯��证。当客户不需要向Server证明自己的数字证书时�Q�这�U�联接的方式�?-way SSL认证�?br />Client Identity Verification:可选的�Q�客户必��d��WebLogic Server出示数字证书,WebLogic Server证实数字证书由CA发放同时建立SSL联结�Q�这�U�方式叫2-way SSL认证�?br />Confidentiality所有客��L��h��和Server的相应在�|�络上的传输都加密�?br />数据完整�?客户端和服务端传输的数据受保护�?/p>

SSL Tunneling
SSL是在��Z��IP协议上Tuneled.意味着每个SSL�U�录被封装同时有使它在其他协议上发送的header来包装�?/p>

One-way/Two-way SSL认证
在One-way情况下，客户端通过两种方式��查数字认�?br />1�Q?��查数字认证在它的可信任认证机构中(CA)
2�Q?��查认证中的主机名和Server一致�?br />

Domestic SSL和Exportable SSL

Exportable SSL支持512位证书和40-�?0-位数据加密（标准支持�Q?br />Domestic SSL支持768位和 1024位证书和128位数据加�?Ask BEA Sales)

Security Realm�Q�安全域�Q?
Security Realm 包含整套保护WebLogic资源的机�Ӟ��׃��p�d��配置好的Security Provider,用户�Q�组�Q�security role,和security policy构成

·用户
当用戯��问WebLogic Server�Ӟ��通过JAAS LoginModule到认证提供者，如果通过认证�Q�weblogic server通过一个线�E�将principal和用��L��联，在用��L��E�开始执行代码前�Q�WebLogic Server��查WebLogic resource的policy和principal以确认用户取得相应的要求的权限�?

当定义一个用��h��Q�WebLogic 对用��L��密码�q�行加密�Q�同时当WebLogic接收到客戯��求时�Q�客��L��h��的密码被hash加密,同时和以存在的加密密码比较以判断是否�W�合�?/p>·�l?br />�l�是用户的逻辑�l�合。在一个Security Realm中，所有的用户和组必须唯一�?

·Security Role
动态赋予用户和�l�，�Ҏ��用户名，�l�的成员或一天中的某个时间�?
能在一个WebLogic server的域中，针对单个应用定义资源�?/p>

在weblogic 6.x中，security role只能赋予web application �?EJB, �?70版本中，用户的security role能扩展到所有的WebLogic资源�?/p>·Security Policy
Policy是WebLogic资源和用��P��l�，和Security Role的关联。用以保护WebLogic资源不收不被授权的用戯��问。它代替�?.x中用的ACL

·Security Provider
对应用提供安全服务的模块�Q�用以保护WebLogic资源�Q�客戯��够直接��用WebLogic Server直接提供的security provider,也能购买�W�三方的产品�q�行集成�Q�或者开发自��q��security provider.

Security Provider数据�?br />Security Provider数据库包含用��P��l�，role和policy,以及有些安全提供者��用的密码。比如Authentication provider要求用户和组的信息。Authorization provider要求安全policy斚w��的信息，Role Mapping Provider要求安全Role斚w��的信息，Credential Mapping provider要求resource Adapter用于联结后台的EIS�pȝ��的密码信息。这些信息都存放在数据库中�?/p>

Security provider的数据库在递一�ơ��用security provider时候被初始化，所做的工作�?br />当WebLogic实例重�v�?
当一个security provider的Mbean被调用�?/p>

当你在一个security realm中配�|�了多个security provider,那么�q�些security provider��是用同一个security provider数据库。当你在不同的security realm中配�|�两个security provider或两个相同的security provider,他们��用不同的provider database.,在一个时间只有一个security Realm处在�Ȁ�zȝ��态�?br />
·Embedded LDAP Server
Embedded LDAP Server被当前的WebLogic security provider使用作�ؓ数据库存储用��P��l�，role和policy. 是一个完整的LDAP Server,支持的操作有�Q?br />在LDAP Server中访问和修改
使用LDAP browser导入或导出安全的数据
被WebLogic security provider��d��讉K��?br />WebLogic Server不支持在Embedded LDAP Server中加入属�?Attribute)

WebLogic Security Provider	Embedded LDAP Server Usage
Authentication	Stores user and group information.
Identity Assertion	Stores user and group information.
Authorization	Stores security roles and security policies.
Adjudication	None.
Role Mapping	Supports dynamic role associations by obtaining a computed set of roles granted to a requestor for a given WebLogic resource.
Auditing	None.
Credential Mapping	Stores Username-Password credential mapping information.

·Security Provider的类�?br />Authentication Provider
主要用于:
用户�?密码的认�?br />直接和WebLogic Server��Z��证书的认�?br />通过外部的web server��Z��HTTP证书的认证代�?/p>

Identity Assertion Provider主要用于处理��Z��perimeter的认证和多个安全另牌(token)�c�d��和协议�?/p>

在安全域中必��至��有一个Authentication provider,同时你可以配�|�多个Authentication Provider,意味着你有多个LoginModules,每个处理不同的认证。管理员配置不同的provider以便于当用户登陆�pȝ��时多个LoginModules怎样被调用�?br />Identity Assertion Provider
使用客户提供的可能存在于��h��外的Token识别客户的��n份�?br />

WebLogic Security Service Architecture(架构)

Security Framwork

security framework提供的应用API被security和应用开发者定义安全服务��用，同时做�ؓweblogic Container(Web和EJB),资源 Container和安全提供者间的中间层�?/p>

下面详细描述各层间的交互

·认证�q�程

当用户通过username/passwd�l�和登陆�pȝ��Ӟ��WebLogic建立信�Q同时对于每个JAAS��h��回送包含principal的subject�?/p>

通过认证后，一个authentication context建立�?/p>

·Identity Assertion Process

主要用于perimeter authentication�q�程�Q�当使用perimeter authentication�Ӟ��外部�pȝ��传入token�l�Identity Assertion Provider.如果通过�Q�Identity Assertion provider��token对应到相应的username,�q�将回送username到weblogic server,然后由WebLogic Server��username送回到JAAS的CallbackHandler�q�传递到每个配置的Authentication Provider的LoginModule模块�Q�最后LoginModule能��生包含正��principal的Subject.

·Principal Validation Process

WebLogic��subject传递给principal validation Provider,后者将对principal�q�行�{�֐��q��过WebLogic Server把他回送客��L��应用。以后principal validation provider��用来证明经�q�签名的subject中的principal没有被别人改�q��?/p>
Authorization process

Authenorization process最初由用户或系�l�要求��用WebLogic Server资源时触发。Resource Container处理被请求的资源�?Resource Container调用WebLogic Security Framwork同时传递给它相应的��h��subject和请求resource的信息。WebLogic framework调用配置的role mapping provider,同时��传递的信息转换成相应的格式�Q�由Role Mapping provider回送role的列表给WebLogic security framework, Authorization provider军_��subject是否有访问相兌��源的权限�Q�如果配有多个Authorization provider,WebLogic security framework军_��M��有冲�H�的讉K��判断传递给Adjudication Provider,最后由Adjudication Provider军_��最�l�的讉K��许可�?

·Role Mapping Process

WebLogic security framework调用每个role mapping provider以得到请求的role list�Q�如果security policy指定��h��赋予相应的role,role��p��加入到subject可用的role list中，同时role list �q�回�l�WebLogic security framwork做�ؓ下一步访问控制的判断�?br />
·Auditing Process

Authentication Provider除了提供认证服务外，需要发送audit事�g�Q�初始化AuditEvent对象�Q�包含audit的event�c�d��和audit的��别）,Authentication Provider随后调用Audit Provider,同时传递AuditEvent对象�Q�当AuditEvent和Auditing Provider配置的需要Audit的信息相同时�Q�将被记录到文�g�pȝ��Q�数据库或其他存储介质中�?br />
·Credential Mapping Process

最初由应用�l��g�Q�包括jsp,ejb,resource adapter�Q�访问EIS�pȝ��Q�包括Oracle,SQL Server或其他）调用 WebLogic security framework时引发。应用组件传递subject(who),weblogic resource(what)和需要的credential。WebLogic security framework��请求传递给credential mapping provider,credential mapping provider处理��h��Q��ƈ��数据库中的credential回送weblogic security framework,最后将credential�q�回�l�组件层�Q�组件层使用credential以访问EIS�pȝ��?br />
·weblogic security provider

�~�省自带的security provider,如果不能满��你的需求，可以自己开发客户化的security provider.
�?从weblogic.security.spi包中实现正确的SSPIs(security service provider interface)以生成security provider.
�?建立Mbean的定义文�Ӟ��MDF�Q?使用Weblogic MbeanMaker工具生成Mbean�c�d��?br />

weblogic authentication provider

代替�?.xFile realm的功能，支持用户�?密码认证�Q�利用embedded LDAP Server存储用户和组的信息�?/p>

支持LDAP Authentication讉K��外部的LDAP 存储�Q�Open LDAP,Netscape iPlanet,Microsoft Active Directory,Novell NDS�Q?/p>

WebLogic Identity Assertion Provider

支持X.509认证和CSIv2(CORBA Common Secure Interoperability version 2)�w�䆾认证�?br />WebLogic Identity Assertion provider验证token 的类型，然后��X.509数字认证和x.501的单一的名字和WebLogic 的用户名相对应。同��h��定一信�Q的客户principal列表便于CSIv2的��n份确认。统配符*用于指定所有的信�Q的principal.如果客户没有列入��C��ȝ��principal中，CSIv2 Identity Assertion��失败�?br />支持的token�c�d��?br />

�?AU_TYPE -- WebLogic authenticationdUser
�?X509_TYPE X.509客户�?br />�?CSI_PRINCIPAL_TYPE CSIV2 principal name
�?CSI_ANONYMOUS_TYPE CSIV2 anonymous identity
CSI_X509_CERTCHAIN_TYPE CSIv2 X.509 certificate chain identity
�?CSI_DISTINGUISHED_NAME_TYPE CSIv2 distinguished name identity

WebLogic principal validation provider
WebLogic authorization provider
WebLogic adjudication provider
WebLogic role mapping provider
·WebLogic auditing provider
WebLogic credential mapping provider
以上provider功能在前面已�l�做了基本介�l�。在此省略�?br />
·Weblogic keystore provider
使用sun公司sdk提供的keystore实现�Q�利用标准的JKS keystore�c�d��Q�将keystore做�ؓ文�g�Q�每台机一个）来保存。有两种keystore 文�g
�?一个文件保存CA认证(CA certificates)
�?另一个文件保存server的private key

·WebLogic realm adapter provider
主要用来提供�?.x安全域的兼容。Realm Adapter提供
Authentication(include Identity Assertion Provider)
Authorization
Auditing
Adjudication

仅仅用于升��且不��使用�?br />

作者简�?/span>
	聂健是（dev2dev ID: ericnie�Q?Horizon Software Ltd. 技术顾�?/td>

柳随�?/a> 2006-10-11 10:50 发表评论

�Q��{载）自定义WebLogic LDAP Authentication Provider

Wed, 11 Oct 2006 02:45:00 GMT

自定义WebLogic LDAP Authentication Provider

旉��Q?005-04-20
作者：马晓�?/a>
��览�ơ数�Q? 152611
本文关键字：

1 J2EE Security �?LDAP Security
2 JAAS和WebLogic Security Framework
3 了解WebLogic LDAP Authentication Provider
4 定制自己的Custom LDAP Authentication Provider
5 部��v中的注意事项
 6 �l�束�?/a>
7 参考资�?/a>

　　从WebLogic Server 7.0开始，WebLogic Server的安全机制有了全面的改变�Q�实��C��一个更加规范的��Z��JAAS的Security Framework�Q�以及提供了一�p�d��设计良好的Security Service Provider Interface。这��h��们可以根据自��q��具体需求，通过Custom Security Authentication Provider来实现安全上的定制功能�?/p>

　　本文��以WebLogic�Q�WebLogic Server 8.1�Q?Security�?LDAP为基��Q�介�l�Custom LDAP Authentication Provider如何�l�我们带来更多的灉|��性，和系�l�安全设计上更多的空��_��以及讨论如何实现一个Custom LDAP Authentication Provider和部�|�过�E�中的一些良好经验�?/p>

　　�׃��本文涉及到的范围太广�Q�不可能一一详细讨论�Q��ؓ了��没有相关基础的读者也能够阅读理解本文�Q�因此我��在文章前半部分�Q�试��N��过最��z�扼要的描述�Q�来使大家对于J2EE Security�Q�WebLogic Security Framework以及LDAP �{�有一个初步的清晰认识�Q�进而可以开发出自己的LDAP Authentication Provider。因此很多地方做了比较有限的描述或者介�l�，更多详细的内容可以参考文后附带的参考资料或者文中给出的链接�?a id="1" name="1">

1 J2EE Security �?LDAP Security
　　Sun J2EE推出以来�Q�其安全部分的规范就一直倍受��x��。我们最常见到安全规范的两个斚w��分别是Servlet Security �?EJB Security。目前绝大多数的Servlet容器�Q�J2EE容器都能很好的支持这些安全规范�?/p>

　　WebLogic Server作�ؓ业界领先的J2EE服务器对J2EE Security的支持是非常优秀的。我们这里将�l�合WebLogic Security和��用越来越�q�泛的LDAP做一个简要的介绍�Q�这些是设计开发Custom LDAP Authentication Provider的技术基��?/p>

1.1 Authentication 和Authorization
　　�q�里需要大家先明确安全上的两个重要名词�Q�一个是认证�Q�Authentication�Q�，一个是授权�Q�Authorization�Q�。认证是回答�q�个人是谁的问题�Q�即完成用户名和密码的匹配校验；授权是回�{�这个�h能做什么的问题。我们讨论的J2EE Security包括Declarative Authorization和Programmatic Authorization�Q�即一个是通过web.xml�Q�ejb-jar.xml�{�部�|�描�q�符中的安全声明通过容器提供的服务来完成权限控制的；一个是通过HttpServletRequest.isUserInRole()和EJBContext.isCallerInRole()�q�样的编�E�接口在应用中自己完成权限控制的�?/p>

1.2 资源�Q�Resource�Q�和Security Role
　　资源原本只包�?Web Resource和EJB Resource�Q�但在WebLogic Security中扩展到几乎��M��一个WebLogic Platform中的资源�Q�具体可以参�?a target="_blank">http://e-docs.bea.com/wls/docs81/secwlres/types.html#1213777。授权就是针对资源的讉K��控制�?/p>

　　J2EE Security是基于Security Role的。我们可以将一�l�资源与一个Security Role�q�行兌��来达到控制的目的——只有拥有该Role权限的用��h��能够讉K��q�些资源。简单的��_��我们可以通过�l�用户分配不同的Security Role来完成权限的控制。复杂的情况下包括用�?用户�l�，以及Principal和Role的映��关�pȝ��{�。下面是一个声明性安全在web application�Q�war包中WEB-INF/web.xml�Q�中的示例：

Success

/welcome.jsp

GET

POST

webuser

BASIC

default

webuser

　　只有拥有角色webuser的用��h��能够讉K��welcome.jsp��面�Q�否则容器会�q�回401无权讉K��的错误。更多信息请参�?a target="_blank">http://e-docs.bea.com/wls/docs81/security/index.html�?/p>

　　同时我们需要在weblogic.xml�Q�war包中WEB-INF/weblogic.xml�Q�中对security role和principal�q�行映射关系的配�|�：

PayrollAdmin

Tanya

　　�q�样拥有Principal “Tanya”的用户�Q�Principal��封装到Subject中，用户��和Subject兌��Q�将会拥有PayrollAdmin的权限�?/p>

　　注意�Q�一般情况下��Z��化设计，本文中将假设security role��x��principal name�Q�如果不配置security-role-assignment�Q�WebLogic会默认做此假设）。即上例中Principal-name也�ؓPayrollAdmin�?/i>

1.3 LDAP Security
　　LDAP是轻量��目录服务�Q�Lightweight Directory Access Protocol�Q�。越来越多的应用开始采用LDAP作�ؓ后端用户存储。在安全上，LDAP Security是基于ACL�Q�Access Control List�Q�的�Q�它通过�l�一个用��L��分配LDAP 操作资源�Q�比如对一个子树的查询�Q�修改等�Q�来最�l�完成权限的控制。因此在LDAP中，授权工作是以用户�l��ؓ单位�q�行的。一个用��L��一般来说是拥有如下一�l�属性的LDAP Entry�Q?/p>

�?-3-1

　　其中objectclass可以为groupOfUniqueNames或者groupOfNames�Q�它们对应的�l�成员属性分别是uniquemember和member。如果是动态组�Q�objectclass为groupOfURLs。动态组一般应用在成员可以通过某种业务逻辑�q�算来决定的情况下。比如，�l�理为ZHANGSAN的全部员工。下面是一个典型的动态组�Q�memberURL属性定义了哪些entry属于该组�Q?/p>

�?-3-2

　　从图1-3-1中我们可以看出，用户WANTXIAOMING�Q�ZHANGSAN�Q�LISI属于�l�HR Managers。这�U�组和成员的关系是通过属性uniquemember来决定的。同时LADP Group 支持嵌套�Q�即一个组可以是另外一个组的成员，比如我们��Accounting Managers�l�分配给HR Managers�l�作为其成员�Q?/p>

�?-3-3

　　�q�样��表�C�Accounting Managers中的成员�Q�同时也是组HR Managers的成员。通过�q�种层��关系可以使权限分配变的更加灵�z�R�?/p>

　　下面是一些名词的解释�Q�希望大家对LDAP有更好的理解�Q?br />　　a) Objectclass —�?LDAP对象�c�，抽象上的概念�c�M��与一般我们理解的class。根据不同的objectclass�Q�我们可以判断这个entry是否属于某一个类型。比如我们需要找出LDAP中的全部用户�Q?objectclass=person)再比如我们需要查询全部的LDAP�l�：(objectclass=groupOfUniqueNames)

　　b) Entry —�?entry可以被称为条目，或者节点，是LDAP中一个基本的存储单元�Q�可以被看作是一个DN和一�l�属性的集合�?属性可以定义�ؓ多值或者单倹{�?br />
　　c) DN —�?Distinguished Name�Q�LDAP中entry的唯一辨别名，一般有如下的�Ş式：uid=ZHANGSAN, ou=staff, ou=people, o=examples。LDAP中的entry只有DN是由LDAP Server来保证唯一的�?/p>

　　d) LDAP Search filter ——��用filter对LDAP�q�行搜烦�?Filter一般由 (attribute=value) �q�样的单元组成，比如�Q?&(uid=ZHANGSAN)(objectclass=person)) 表示搜烦用户中，uid为ZHANGSAN的LDAP Entry�Q�再比如�Q?&(|(uid= ZHANGSAN)(uid=LISI))(objectclass=person))�Q�表�C�搜索uid为ZHANGSAN, 或者LISI的用��P��也可以��?来表�C�Z�Q意一个��|�� 比如(uid=ZHANG*SAN)�Q�搜索uid��g�� ZHANG开头SAN�l�尾的Entry。更�q�一步，�Ҏ��不同的LDAP属性匹配规则，可以有如下的Filter�Q?(&�Q�createtimestamp>=20050301000000�Q?createtimestamp<=20050302000000))�Q�表�C�搜索创建时间在20050301000000�?0050302000000之间的entry�?br />　　Filter�?�?amp;�?表示“与”；�?”表�C�“非”；“|”表�C�“或”。根据不同的匚w��规则�Q�我们可以��用�?”，“~=”，�?gt;=”以及�?lt;=”，更多关于LDAP Filter读者可以参考LDAP相关协议�Q?a target="_blank">http://www.ietf.org/rfc/rfc2254.txt�?/p>

　　e) Base DN —�?执行LDAP Search时一般要指定basedn�Q�由于LDAP是树状数据结构，指定basedn后，搜烦��从BaseDN开始，我们可以指定Search Scope为：只搜索basedn�Q�base�Q�，basedn直接下��Q�one level�Q�，和basedn全部下��Q�sub tree level�Q��?/p>

　　下面是一个典型的LDAP Tree�l�构�Q�右侧显�C�Entry uid=ZHANGSAN, ou=staff, ou=people, o=examples的属性，该entry代表了一个名字叫张三的用��P��

�?-3-4

2 JAAS和WebLogic Security Framework
　　现在��来��多的�h开始了解JAAS�Q��用JAAS。WebLogic Security Framework��是��Z��JAAS的。因此我们需要对此有一个非常准��的理解才能够设计开发Custom Authentication Provider�?/p>

　　下面我们从几个名词入手，了解JAAS�?WebLogic Security Framework的关键之处：

2.1 Principal�Q�Subject和LoginModule
　　a) Principal
　　当用��h��功验证后�Q�系�l�将会生成与该用户关联的各种Principal。我们这里将Principal�q�行��化的设计�Q�认��Z��个Principal��是用户��d��帐号和它所属于的组�Q�LDAP Group�Q�。这样当用户��d��成功后，我们��会在LDAP中执行搜索，扑և�用户属于哪些�l�，�q�将�q�些�l�的名字�Q�或者其标识作�ؓPrincipal�q�回。这��P��当用户在LDAP中属于某一个组�Q��ƈ且这个组的名字对应到 web.xml �Q�或者ejb-jar.xml�Q�中的Security role�Q�那么这个用户就可以看作拥有讉K��q�个Security Role定义的资源的权限�?br />　　在WebLogic Security Framework中，�q�个LDAP Group的名字（Principal�Q�和Security Role的映��关�p�，可以通过一�?Role Mapping Provider来实现动态的匚w��Q�即用户的动态权限控制。比如在�q�行时根据某一个业务逻辑来决定用��h��否拥有某一个权限。关于Role Mapping Provider�Q�读者可以参考下面链接的内容�Q?a target="_blank">http://e-docs.bea.com/wls/docs81/dvspisec/rm.html#1145542�?/p>

　　b) Subject
　　JAAS规定由Subject��装用户以及用户认证信息�Q�其中包括Principals。下面是WebLogic Security Framework中Subject的组成图�C�：

�?-1-1

　　�q�样当用戯��图访问一个受限的J2EE资源�Ӟ��比如一个web URL�Q�或者一�?EJB Method�Q�可以在web.xml或者ejb-jar.xml中定义，由Security Role控制�Q�，WebLogic Security Framework��会通过 Authorization Provider��查用户当前的Subject中是否包含有是否可以讉K��受限资源的Principals。由于Principals��和J2EE Security Role在weblogic.xml中定义一个映��关�p�（或者通过其他业务逻辑来确定这�U�关�p�）�Q�因此通过�q�样的关�p�，可以最�l�知道用��h��否有某一个J2EE Resource的访问权限�?/p>

　　c) LoginModule
　　JAAS LoginModule是一个Authentication Provider必须的组成部分。LoginModule是认证的核心引擎�Q�它负责对用戯��n份进行验证，同时��返回与用户兌��的Principals�Q�用��L��录帐��P��以及LDAP Groups�Q�，然后攑օ�Subject中，供后�l�的讉K��控制使用�?br />　　我们��在LoginModules中完成LDAP的相兌��证，查询操作�Q�将用户在LDAP中所属于的组搜烦出来�Q�作��证后的结果封装到Subject中返回�?/p>

2.2 WebLogic Authentication认证�q�程
　　下面我们了解一下WebLogic的认证过�E�。以下图片来�?a target="_blank">http://e-docs.bea.com/wls/docs81/dvspisec/atn.html 我将其中主要部分�q�行说明�?/p>

�?-2-1

　　Security Framework在WebLogic Server启动时初始化Authentication Provider�Q?�Q�。当有认证请求进入时�Q�Security Framework首先��通过AuthenticationProvider.getLoginModuleConfiguration()来获取一个AppConfigurationEntry对象。通过AppConfigurationEntry�Q�详�?a target="_blank">http://java.sun.com/security/jaas/apidoc/javax/security/auth/login/AppConfigurationEntry.html �Q�可以初始化一个LoginModule。初始化LoginModule的方法�ؓ�Q�public void initialize(Subject subject, CallbackHandler callbackHandler, Map sharedState, Map options)�Q�可以看到里面有Subject, CallbackHandler�{�等重要参数�?br />　　被实例化的JAAS LoginModule��完成用��L��一�p�d��验证��d��。验证完成后�Q�在�Q?a�Q�中principals��被Principal Validation Provider�{�֐��Q�在�Q?6b�Q�中存放��C��用户兌��的Subject里面。Security Framework最后将拿着该用��L��Subject��d��成其他权限控制等��d��?a id="3" name="3">

3 了解WebLogic LDAP Authentication Provider
　　现在我们有信心了解一下WebLogic LDAP Authentication Provider的工作原理了。这里将以WebLogic提供的iPlanet Authentication Provider的配�|��ؓ例进行说明。在�q�里也需要明��说明一下，��Z��方便�q�行描述�Q�我们将实际属于LoginModule的行��Z��一�q�归�l�到Provider中。没有单独将两个的行为分开�Q�目的是��Z��H�出整个完整的过�E��?/p>

3.1 iPlanet Authentication Provider配置

�?-1-1

　　从上囑֏�以看出我们需要指定LDAP服务器的地址�Q�端口，�q�接LDAP使用的Principal�Q�不同于前面讨论的Principal�Q�这个Principal实际是一个连接LDAP的用��P��也就是一个LDAP 中用户Entry�?DN�Q�它必须要有相关的LDAP 搜烦�{�权限）和Credential�Q�一般来说就是口令）�?br />　　再看下面关于Users的配�|�：

�?-1-2

3.1.1 User Object Class —�?前面已经对objectclass�q�行�q�说明，指明LDAP Entry属于哪一�c?br />3.1.2 User Name Attribute —�?用户��d��帐号在LDAP Entry中的属性，一般�ؓUID或者cn
3.1.3 User Base DN —�?所有的用户��会攄��到这个子树下面，因此在Provider中对用户�q�行的搜索将会从�q�个basedn开�?br />3.1.4 User Search Scope —�?指定搜烦范围为Basedn的直接一�U�或者全部下�U?br />3.1.5 User From Name Filter —�?使用�q�个filter可以搜烦出用户信息。其�?u��会被用戯��入的��d��帐号替换�Q�从而查询中LDAP中的用户信息

�?-1-3

3.1.6 Group Base DN —�?从该Base DN开始搜索用��L��
3.1.7 Group From Name Filter —�?%g��会被组的名字替换，通过该filter可以搜烦出符合条件的LDAP Group
3.1.8 Static group name attribute —�?�l�名字的属性，属性cn对应的值就是组的名�?/p>

�?-1-4

3.1.9 Static Member DN Attribute —�?静态成员属性，通过该属性可以判断一个Entry是否属于一个组
3.1.10 Static Group DNs From Member DN Filter —�?通过该filter可以扑և�用户属于哪些�l?br />3.1.11 Dynamic Group —�?动态组是在�q�行时根据某�U�业务逻辑�Q�来军_��成员隶属关系的LDAP Group

3.2 iPlanet Authentication Provider的工作原�?/b>
　　从上面配�|�的介绍中可以看出，后端存储为LDAP的情况下�Q�在Console中我们需要配�|�的参数已经清楚的表明它所要完成工作的内容�?br />　　首先�Q�它使用配置的User BaseDN和Filter�Q�来�Ҏ��用户输入的登录帐可��行搜索，扑և�存放在LDAP中的用户Entry。如果找��C��个用��P��那么Provider��׃��用该用户的DN和用戯��入的口��o�Q�进行验证。验证可以��用LDAP Bind和LDAP Compare�Q�这需要根据不同LDAP的特�Ҏ��q�行选择�?br />
　　A. LDAP Bind —�?��当前的LDAP Connection�l�定��C��个用戯��n份上。这样后�l�的使用该Connection的LDAP Operation都将以该�w�䆾�q�行。LDAP Bind需要两个重要参敎ͼ�一个是用户Entry的DN�Q�一个是该用��L��口��o�?/i>

　　B. LDAP Compare —�?LDAP Compare是一个�ؓ兼容X.500的古老操作，它用于检查一个属性值是否包含在指定Entry中的属性里。这��h��们可以在知道用户password存放在哪个属性的前提下，对该属性进行compare。如果成功，表明口��o正确。如果属性��gؓ散列后的口��o�Q�绝大多数情况）�Q�有的LDAP Server支持�q�样的验证，有的不支持，比如iPlanet LDAP Server 5�?/i>

　　验证成功后，Provider��用Console中关于Groups和Memberships中的配置�Q�查扄��户属于哪些LDAP Group�Q�而且�׃��q�些�l�本�w�可能会有一些嵌套，因此对于搜烦到的�l�还需要进行查询。即使用filter�Q?(&�Q�uniquemember=uid=ZHANGSAN,ou=staff,ou=people,o=examples�Q?objectclass=groupOfUniqueNames))从Group Base DN开始搜索，��返回用��h��属的�W�一层次Group�Q�然后对于这些返回的�l�DN�Q�仍焉��要��用上面的Filter�q�行搜烦�Q�uniquemember值替换�ؓ�l�的DN�Q�，扑և�嵌套关系�Q�直到查询完成没有组嵌套为止�Q�此处需要防止陷入嵌套的循环中，比如Group A 包含了Group B�Q?Group B又包含了Group A�Q�有的LDAP Server可以自动��出�Q�有的需要我们程序来判断�Q��?br />
　　然后��用��L��录的帐号�Q�用��h��属组的名字（属性CN的值或其他�Q�，攑օ�Subject中。最后调用Principal Validator Provider�Q�对Subject中的principals�q�行�{�֐��Q�来表明该Subject是这个Provider生成的。这样防止其他攻击者伪造Subject以及Principal�q�行�ƺ骗。此处也可以解释��Z��在不同的WLS Domain间不能够传递Subject�Q�我们可以通过讄��域信��L��完成�q�种Subject的传递。设�|�域信�Q使用的Credential��是�{�֐�用的Key�?br />
　　�?-1-5表明了如何设�|�WebLogic Domain Credential�Q�默认情况下WebLogic Server会在启动的时候随即生成一个Credentials�Q�在WLS6.1�Ӟ��q�个值就是system用户的口令）�Q?/p>

　　可以惌��如果我们实现自己的Principal Validator Provider�Q�让它去一个集中的验证服务器中对Subject�q�行�{�֐��Q�或者验证Subject�Q�这样就可以实现域信任，�q�而完成Application�Q�EJB Tier�Q�层的SSO�?/p>

　　通过以上的讨论，我们对于实现自己的LDAP Authentication Provider是不是又增加了一份信心？

4 定制自己的Custom LDAP Authentication Provider
　　��Z��要定制自��q��Authentication Provider? �׃��WebLogic Server已经提供了很多默认的Authentication Provider在一般情况下我们��实没有必要实现自己的Provider。但是面�Ҏ��些针对安全方面的复杂需求时�Q�WebLogic Server提供的Provider很有可能不满��些需求，此时��需要我们定制自��q��Provider�?/p>

　　在这一章的开头部分中我需要简要讨论关于WebLogic MBean Types�Q�以及WebLogic Console扩展�{�内容，目的在于让读者了解到我们通过WebLogic Console可以完成对Custom Security Provider的配�|�和部��v�Q�我��以WebLogic 提供的Sample Security Provider为示例进行说明。详�l�的信息可以参考以下的一些资源：

http://e-docs.bea.com/wls/docs81/dvspisec/atn.html#1106272
http://e-docs.bea.com/wls/docs81/dvspisec/atn.html#1106241

　　上面两个链接描述了如何创建MBean Types以及在控制台上配�|�Custom Authentication Provider.下面�q�个链接中专门介�l�了WebLogic Console的扩展：

/techdoc/2005012102.html

　　读者可以从http://dev2dev.bea.com/codelibrary/code/security_prov81.jsp下蝲WLS提供的Sample Security Provider�?/p>

4.1 MBean Types和WebLogic Console
　　一般情况下�Q��h们可能更习惯通过WebLogic Console对Security Provider�q�行配置。这里我��简要描�q�这个过�E�，以及可以到达的一个效果。限于篇�q�就不详�l�讨��Z��?/p>

　　从weblogic.management.security.authentication.Authenticator扩展MBean Types�?MBean Types是MBean�Q�http://java.sun.com/products/JavaManagement/wp/�Q�的工厂�Q�我们扩展SampleSecurityProviders81 包中的SimpleSampleAuthenticator.xml�Q�MBean Definition File�Q�，增加一个我们自定义的参数LDAP Server IP�Q?/p>

　　Name = "LDAPServerIP"
　　Type = "java.lang.String"
　　Writeable = "true"
　　Default = ""127.0.0.1""
/>

　　�q�样在Provider中我们将通过MbeanMaker(WLS提供)生成的SimpleSampleAuthenticatorMBean中取到这个属性：SimpleSampleAuthenticatorMBean.getLDAPServerIP()。MBean��在初始化Provider的时候作为参��C��入。这��h��们就可以通过MBean中的参数控制Provider的行为�?/p>

　　当然�q�个参数是可以在WebLogic Console中设�|�的�Q�通过对MBean Types的扩展，在WebLogic Console上看到的画面如下�Q?/p>

�?-1-1

　　�q�样我们可以通过Console修改配置参数�Q�修改的Security Provider参数��保存在config.xml中，默认的值将保存在MBean Jar File中）�?/p>

4.2 ��Z��定制LDAP Authentication Provider
　　当我们面临越来越复杂的安全方面的业务需求时�Q�或者面临较高的性能要求�Q�需要根据目标LDAP做针�Ҏ��的优化�Ӟ��或者需要将我们已有的认证，或授权模块集成到WebLogic�q�_��Ӟ��WebLogic提供的现成的Provider往往不能满��我们的需求�?/p>

4.2.1 复杂的业务需�?br />　　当系�l�要求用户不仅仅输入用户名（j_username�Q�，口��o�Q�j_password�Q�，�q�需要输入其他信息，比如��d��的地点，�pȝ��的名字，用户的类型等�{�。如果是采用��Z��J2EE Form的验证方式， ��d��信息需要提交到j_security_check�Q�Servlet规范定义由容器负责实现的Servlet�Q�，��D��我们没法处理更多的信息�?/p>

　　�q�个时候，如果能够实现我们自己�?Authentication Provider�Q�那么我们就可以通过TextInputCallback来获取登录表单中更多的信息了�Q�进而通过�q�些信息在Provider中完成符合我们需要的处理�?/p>

　　比如搜狐的登录页面上需要选择用户的类型：

�?-2-1

4.2.2 性能需求或者调�?/b>
　　有时�Q�有的用户会比较困惑��Z��WebLogic LDAP Security Provider在压力测试中的表��C��很理惻I��用户需要较长时间的�{�待�Q�才能够��d��到系�l�中。由于这些Provider�?WebLogic产品的一部分�Q�因此缺乏对不同目标LDAP Server的有针对性的优化。这样就使得我们无法充分发挥具体LDAP Server的性能调优�?/p>

　　比如�Q�有的LDAP Server支持动态组�Q�LDAP Dynamic Group�Q�成员关�p�L��q�行时根据ldap server�Q�basedn�Q�filter�{�动态决定的�Q�，可以使用如下的Filter查询用户属于哪些动态组�Q?/p>

　　(uniquemember=uid=MAXQ,ou=staff,ou=people,o=examples)

　　有的LDAP Server虽然支持动态组�Q�但是支持的有限�Q�不能��用上面的Filter获取用户属于哪些动态组。在WebLogic iPlanet Authentication Provider的实��C��Q�它先是搜烦出全部的动态组�Q�然后再遍历�q�些动态组�Q�依�ơ去LDAP中检查用��h��否属于一个组�Q�很明显�Q�这栯��然最大程度的满��了不同LDAP Server的要求（从��品的角度讲可能是必须的）�Q�但是与LDAP交互的次数大增，�q�发用户量一大性能下降的比较明显�?/p>

　　此时�Q�如果系�l�中的LDAP支持上面的Filter或者有更好的搜索方式，那么完全可以通过定制Provider完成�Ҏ��能的优化�?/p>

4.2.3 已有权限控制的集�?/b>
　　如果�pȝ��中已�l�存在了现成的满��需求的认证模块�Q��ƈ且已�l�很好的工作�Q�在�pȝ��转向J2EE架构�Q��ƈ使用WebLogic Server做J2EE容器�Ӟ��我们可能会更愿意直接在Provider中加入这个认证模块�?/p>

　　�l�g��Q�我只是列�D了一些可以驱动我们开发自己Provider的需求，�怿�在读者实际工作中可能会面临更复杂的情况，开发自��q��Provider��是一个非常好的选择�?/p>

4.3 LDAP Authentication Provider实现
　　本文之前��Z��表述的方便没有单独提到LoginModule�Q�认为LoginModule的行为就是LDAP Authentication Provider的行为。到了目前的具体实现阶段�Q�我们必��d��开Authentication Provider和JAAS LoginModule。最�l�部�|�到WebLogic上的实际只是LDAP AuthenticationProvider Implements�?/p>

　　WebLogic SecurityFramework通过Authentication Provider获取具体的JAAS LoginModule。通过LoginModule完成最�l�登录的工作。因此我们必��d��实现一个AuthenticationProvider�?/p>

　　我们一般通过weblogic.security.spi.AuthenticationProvider 来实现自��q��AuthenticationProvider。这里介�l�其中的几个重要�Ҏ��Q?/p>

　　a) public void initialize(ProviderMBean mbean, SecurityServices services)
初始化一个Provider。通过参数MBean我们可以获取到在WebLogic Console中配�|�的各项参数。进而初始化我们的Provider�Q�然后通过Provider传递到LoginModule中�?/p>

　　b) public void shutdown()
释放一些与Provider�Q�LoginModule�{�相关的资源�?/p>

　　c) public AppConfigurationEntry getLoginModuleConfiguration()
�q�个�Ҏ��非常重要�Q�通过该方法，WebLogic Security Framework可以获取用于初始化LoginModule的AppConfigurationEntry。AppConfigurationEntry中存放了LoginModule的类名等信息�Q�比如��用如下代码返回一个AppConfigurationEntry:

　　return new AppConfigurationEntry(
　　　　"examples.security.providers.authentication.SampleLoginModuleImpl",
　　　　controlFlag,
　　options);

　　其中LoginModule Name��?/p>

�?examples.security.providers.authentication.SampleLoginModuleImpl"�Q�我们通过它就可以实例化一个LoginModule�q��过LoginModule.initialize()�Ҏ��q�行初始化�?/p>

　　d) public AppConfigurationEntry getAssertionModuleConfiguration()
该方法将�q�回一个与Identity Assertion Provider兌��的LoginModule。这个Assertion LoginModule�Q�将只会验证用户是否存在�Q�以及如果存在返回用��L��Principals�?该方法也比较重要�Q�需要正��实玎ͼ�比如我们使用CLIENT-CERT�q�种WEB认证方式�Q�该�Ҏ��׃��被调用�?/p>

　　Provider的实现比较简单，读者可以在http://dev2dev.bea.com/codelibrary/code/security_prov81.jsp下蝲WebLogic提供的Samples�Q�查看SampleAuthenticationProviderImpl的代码�?/p>

4.4 LDAP LoginModule 逻辑��程
　　实现了Provider后，必须拥有我们自己的LDAP LoginModule。下面是一个简单的用于演示的验证逻辑��程图。实际的一个LoginModule�׃��不同的业务需求，情况可能会复杂得多。这里只是描�q�C��最核心最基本的逻辑�Q��读者能有一个清晰的思�\。后面我��以�q�个��程��Z��q�行实现�?/p>

4.5 LoginModule代码�C�Z��和讲�?br />　　�q�里我将使用Netscape LDAP SDK for java作�ؓ开发工具实现LDAP相关的操作，读者可以到http://docs.sun.com/db/doc/816-6402-10 下蝲开发手册，�?a target="_blank">http://www.mozilla.org/directory/ 下蝲SDK 包。一般来说还可以通过JNDI来操作LDAP�Q�我个�h认�ؓSun LDAP JNDI Provider中关于Connection Pool的实现非�怼��U�。但不管使用哪种SDK�Q�对LDAP的编�E�原理上基本都是相同的（因�ؓ��Z��同样的LDAP协议�Q�，不同的可能仅仅是接口�Q�类的名字而已�?/p>

4.5.1 初始化Connection Pool
　　��Z��有效使用宝贵�Q��ƈ且有限的LDAP�q�接�Q�必��M��用连接池。下面的代码初始化了一个LDAP�q�接池：

/**
*
*/
static ConnectionPool pool;
/** * * LDAPException
*/ public LdapClient()
　　throws LDAPException
　　　　{
　　　　　　pool= new ConnectionPool(
　　　　　　　　1, 150, "127.0.0.1", 389, "cn=Directory Manager", "88888888");
}

　　Sun JNDI LDAP Service Provider�Q�JDK1.4�Q�中可以通过在环境变量中讄��具体的参数来启用�q�接池，辑ֈ�复用�q�接的目的。具体可以参考链接：http://java.sun.com/products/jndi/tutorial/ldap/connect/index.html�Q�下面是�C�Z��代码�Q?br />
Hashtable env= new Hashtable();
�?br />env.put("com.sun.jndi.ldap.connect.pool", "true");
DirContext ctx= new InitialDirContext( env);

4.5.2 �Ҏ��用户输入的登录帐��P��搜烦用户Entry
　　下面�q�个�Ҏ��实现了从LDAP中搜索用户Entry DN的最��单的�q�程。实际上我们可以在其中实现很多定制的功能。比如允许用户��用多于一个的帐号��d��Q�只要这些帐可��够通过LDAP Searche最�l�返回一个唯一的用户DN卛_��?/p>

*
   * LDAPException
   */
public String getUserDN( String uid) throws LDAPException{
    LDAPConnection conn= pool.getConnection();
    try {
      String[] attrs= new String[]
{};
      LDAPSearchResults sr= conn.search("o=examples", 2, "(uid="+ uid +")", attrs, false);
      if ( sr.hasMoreElements()) {
        LDAPEntry entry= sr.next();
        return entry.getDN();
}
    throw new LDAPException("No Such Object:"+ uid,
        LDAPException.NO_SUCH_OBJECT);
    }catch ( LDAPException ex) {
      throw ex;
    }finally {
      try {
        if (conn!= null) pool.close(conn);
      }catch ( Exception ex)
{}
    }
}

　　首先需要从池中获取一个LDAP�q�接�Q�然后��用LDAPConnection.search�Ҏ��q�行搜烦。我�q�里以一个典型的LDAP Search接口��Z��q�行说明�Q�其他API比如JNDI�{�，��Z��同样的LDAP协议�Q�接口中同样参数的含义都是相同的�?/p>

public LDAPSearchResults search(java.lang.String base,
　　int scope,
　　java.lang.String filter,
　　java.lang.String[] attrs,
　　boolean attrsOnly)

　　1) Base: 表明从该Basedn开始搜索，可以通过MBean获取

　　2) Scope: 搜烦的范��_��

　　　　a) LDAPv2.SCOPE_BASE�Q?只搜索basedn指定的entry
　　　　b) LDAPv2.SCOPE_ONE, 在basedn的下一�U�entry中搜索，不包括basedn
　　　　c) LDAPv3.SCOPE_SUB�Q�在basedn的全部下�U�entry中搜索，包括basedn

　　3) Filter�Q�过虑条件。比如uid=ZHANGSAN�Q�搜索UID为ZHANGSAN的用��P��再比如uid=ZHANG*�Q�搜�?ZHANG开头的帐号�Q�或者uid=Z*S�Q�搜索以Z开头S�l�尾的帐受��前面已�l�介�l�过�q�里��׃��多说了�?/p>

　　4) attrs�Q�返回该attrs数组中指定的属性，比如new String[]{“uid”}�Q�只�q�回属性uid�Q�其他属性将会不在结果中�q�回�?一般来说我们会要求开发�h员只��需要的属性返回，�q�样避免�q�回无用的属性，降低�|�络和Server�{�方面的资源开销�Q�而且如果存在一个有较大属性集合的Entry�Q��ƈ且你�q�不使用到这个较大的属性集合。�D个实际例子来��_��比如你的�pȝ��中拥有很多成员数目超�q?万或者更多的LDAP Groups�Q��ƈ且你希望通过LDAP Search扑և�某一个用户属于的�l�CN�Q�那么搜索结果只�q�回�l�的CN已经可以满��你的要求了，�q�时��没有必要将全部member属性也�q�回了。这在后面我会有代码来说明�?/p>

　　�q�里�q�有一点很重要的细节，�怿�对读者会有帮助。比如，你希望搜索到modifytimestamp�{�Operational Attributes。这些属性（LDAP Server自己负责�l�护的，用户无法修改的）必须要在参数attrs中指定，LDAP Server才会�q�回�l�客��L��。如果用户希望返回全部User Attributes的同�Ӟ��q�回指定�?Operational Attributes那该怎么办？不在attrs列表中的属性将不会被返回，一旦我指定了attrs�Q�是否需要将全部的属性都列在attrs参数中？实际上此时只需要传�?new String[]{ �?�? “createtimestamp”}�q�样的参数即可；�?”号即代表了全部的User Attributes。在Sun JNDI LDAP Service Provider中也是这��P��管��N��Sun关于JNDI的文档也找不到这��L��说明。LDAP协议�Ҏ��的说明在 http://www.ietf.org/rfc/rfc2251.txt �W?8��c�?/p>

　　5) attrsOnly�Q�只�q�回属性名�U�ͼ�不包含倹{��我们一般设�|��ؓfalse�?/p>

　　我们下面看一下Sun JNDI中关于LDAP Search的接口：

public NamingEnumeration search(String name,
　　String filter,
　　SearchControls cons)
　　throws NamingException
name参数��是上面的basedn�Q�SearchControls中封装更多的讄��Q�比如：SearchControls. setSearchScope(int scope)其中的scope对应上面�?)�Q?SearchControls.setReturningAttributes(String[] attrs)�Q�设�|�指定返回的属性，对应上面�?)�?/p>

　　其他的参数还包括Size Limit�Q�即限制搜烦�l�果的数目（LDAP�q�回的Entry一般情况下是没有排序的�Q�除非��用一些Sort Control�Q�，当你的搜索可能会�q�回成千上万的Entry�Ӟ��限制搜烦的数目是非常明智也是必须的。关于这些，读者可以参考API文档或者LDAP协议�?/p>

4.5.3 �Ҏ��用户的Entry DN�Q�和用户输入的口令完成��n份验�?br />　　下面的方法实��C��到LDAP的��n份验证。LDAP中的用户实际上就是一个LDAP Entry�Q�一�ơ验证实际是��Connection与这个Entry�q�行�l�定�Q�因此验证时我们需要两个必��ȝ��参数�Q�一个是Entry的DN�Q�一个是口��o。LDAP的��n份验证方式有多种�Q�包括SASL以及��Z��证书的验证等�Q�我们这里只介绍Simple Authentication。关于SASL更多信息读者可以参考：http://www.ietf.org/rfc/rfc2222.txt�?/p>

/**
   *
   * dn
   * pwd
   *
   * LDAPException
   */
public boolean authentication( String dn, String pwd) throws LDAPException {
    LDAPConnection conn= pool.getConnection();
    try {
      conn.authenticate( dn, pwd);
      return true;
    }catch ( LDAPException ex) {
      if ( ex.getLDAPResultCode()== LDAPException.INVALID_CREDENTIALS) {
        return false; // 用户口��o错误 }
      if ( ex.getLDAPResultCode()== LDAPException.NO_SUCH_OBJECT) {
        return false; // 用户不存�?}
      throw ex;
    }finally {
      try {
        if ( conn!= null) pool.close(conn);
      }catch ( Exception ex) {
      }
    }
}

　　我们�q�里使用 LDAP Bind操作完成对用��L��w�䆾验证。本文前面曾提到也可以��用LDAP Compare�Q�通过比较口��o属性（userpassword�Q�中的值来完成验证。我们需要根据不同的LDAP Server选择合适的验证�Ҏ��?/p>

　　比如iPlanet LDAP Server 5�Q�只能通过Bind完成认证�Q�而Oracle Internet Directory可以通过LDAP Compare完成验证�Q�而且�q�支持口令策略�?/p>

　　如果我们使用了连接池�Q�连接池中的�q�接一般都是��用权限较大的用户初始化的�Q�这栯��些连接才可以完成对LDAP的搜索操作；而当通过�q�些�q�接�Ҏ��通用戯��行��n份验证时�Q�如果通过验证�Q�连接的�w�䆾��被改变为普通的用户�Q�或�U�Cؓ与普通用��L��w�䆾兌��Q�。普通用户很可能没有除了bind以外的�Q何权限，所以在�q�接被放入池中前�Q�我们必��要恢复�q�接的��n份�?/p>

　　�q�样我们必须执行两次LDAP Bind�Q�一�ơ用于对普通用户验证��n份；一�ơ用于恢复连接的较大权限的用戯��n份。我们看到这��h��率是比较低的�Q�可能你在LDAP Server端统计有2万次bind��h��Q�实际上只有1万�h�ơ登录�?/p>

　　对于特定的LDAP Server�Q�比�?Oracle Internet Directory�Q�可以通过LDAP Compare对用戯��n份进行验证，�q�且不会改变�q�接兌��的用戯��n份。这��h��在��用池的情况下只需要一�ơLDAP Compare卛_��。效率有很大提高。如果不通过定制LDAP Authentication Provider�Q�这��L��调优是没法实现的�?/p>

　　Netscape LDAP SDK的ConnectionPool的实��C��Q�在�q�接攑օ�池中前会��查连接的�w�䆾�Q�如果��n份被改变�Q�那么会重新�q�行bind。所以我们没有必要在代码中再做bind�?/p>

4.5.4 �Ҏ��用户的DN搜烦用户属于的组列表
　　有了上面的基��后，�q�个�Ҏ��很�Ҏ��理解了。下面我们来看看如何�q�回用户所属的�l��?/p>

/**
   *
   * groupbasedn
   * memberDn
   *
   * LDAPException
   */
public List getGroupMembership( String groupbasedn, String memberDn) throws LDAPException {
    LDAPConnection conn= pool.getConnection();
    try {
      LDAPSearchResults sr= conn.search(
          groupbasedn,
          2,
          "(uniquemember="+ memberDn +")",
          new String[] {"cn"},
          false);
      List groups= new java.util.ArrayList();
      while ( sr.hasMoreElements()) {
        LDAPEntry entry= sr.next();
        LDAPAttribute attr= entry.getAttribute("cn");
        if ( attr!= null) {
          String[] values= attr.getStringValueArray();
          if ( values!= null && values.length>0) groups.add( values[0]);
        }
      }
      return groups;
    }catch ( LDAPException ex) {
      throw ex;
    }finally {
      try {
        if ( conn!= null) pool.close(conn);
      }catch ( Exception ex) {
      }
    }
}

　　成员和组的membership主要是通过uniquemember或�?member属性来定义的。成员不仅仅可以使用用户�Q�也可以是组�Q�因为组可以嵌套�?br />
　　a) 上面的方法中只实��C��一个层�ơ的搜烦�Q�即用户——组的搜索，而组间的嵌套搜烦没有实现。读者可以根据系�l�内的具体情况，在此处也可以做一些优化�?/p>

　　b) �l�成员的数量可能比较大，��Z��避免不必要的开销�Q�我们指定只�q�回�l�的cn属性�?/p>

　　c) 动态组的优化。在WebLogic默认的实��C��Q�Provider�Q�实际�ؓLoginModule�Q�会不断的拿动态组中定义的URL中的filter和用��L��DN去LDAP做搜索，来看用户是否属于该组。本文前面也讨论了，�q�样效率很低�Q�完全可以放在Provider本地实现URL和Entry的匹配�?/p>

4.5.5 LoginModule中的login()�Ҏ��实现
　　一切准备就�l�后�Q�我们就可以完成LoginModule.login()�q�个最核心的方法了。下面我�Ҏ��代码中的注释逐条说明�?/p>

// A
boolean loginSucceeded;
// B
List principals= new java.util.ArrayList();
/**
   *
   *
   * LoginException
   */
public boolean login() throws LoginException {
    // C
    Callback[] callbacks= new Callback[] {
        new NameCallback("username: "),
        new PasswordCallback("password: ",false)};
    try {
      callbackHandler.handle( callbacks);
    }catch (IOException e) {
      throw new LoginException(e.toString());
    }catch (UnsupportedCallbackException e) {
      throw new LoginException(e.toString() + " " +e.getCallback().toString());     }
    //
    String userName = ((NameCallback)callbacks[0]).getName();
    if ( userName== null || userName.length()== 0) {
      throw new LoginException("User login name is empty!");
    }
    //
    PasswordCallback passwordCallback= (PasswordCallback)callbacks[1];     char[] password = passwordCallback.getPassword();
    passwordCallback.clearPassword();
    if ( password== null || password.length== 0) {
      throw new LoginException("User password is empty!");
    }
    try {
      // D
      String dn= this.getUserDN( userName);
      if ( dn== null) {
        throw new LoginException("User "+ userName +" doesn't exist.");
      }
      // E
      boolean authResult= this.authentication( dn, String.valueOf( password));       if ( authResult== false) {
        throw new FailedLoginException("User login failed.");
      }
      // F
      principals.add( new WLSUserImpl( userName));
      // G
      List groups= this.getGroupMembership( "ou=groups,o=examples", dn);       for ( int i=0, n=groups.size(); i       String cn= String.valueOf(groups.get(i));
        // H
        principals.add( new WLSGroupImpl(cn));
      }
    }catch ( LDAPException ex) {
      java.io.StringWriter sw = new java.io.StringWriter();
     ex.printStackTrace(new java.io.PrintWriter(sw));
      sw.flush();
      throw new LoginException( sw.toString());
    }
       return loginSucceeded= true;
}

　　a) 用于保存验证�l�果�Q�在后箋�Ҏ��Q�commit�{�）中��?br />
　　b) 用于保存和用户关联的Principal�Q�在后箋�Ҏ��Q�commit�{�）中��?br />
　　c) 在JAAS中通过CallbackHandler来完成用户和底层安全认证�pȝ��间信息的交换�Q�这里我们通过CallbackHandler获取用户输入的登录帐号和口��o。CallbackHandler��在初始化LoginModule时由WebLogic Security Framework传入。读者可能会问，我是否可以在此要求WebLogic Security Framework传入我自己实现的CallbackHandler�Q�进而获取更多的信息�Q�支持更多的Callback�Q�很遗憾�Q�不可以。只有在一�U�情况下�Q�本文前面也提到�Q�有一个变通，��是在Web应用中，通过Form Based�q�种认证方式�q�行用户�w�䆾验证�Ӟ��可以获取更多的登录表单中提交的cgi变量�?/p>

　　下面的代码将演示�q�种技术：

Callback[] callbacks= new Callback[] {
        new NameCallback("username: "),
        new PasswordCallback("password: ",false),
        new TextInputCallback("my_hidden_field")};
    try {
      callbackHandler.handle( callbacks);
    }catch (IOException e) {
      throw new LoginException(e.toString());
    }catch (UnsupportedCallbackException e) {
      throw new LoginException(e.toString() + " " +e.getCallback().toString());     }
    String value= ((TextInputCallback)callbacks[2]).getText();

　　�q�样我们通过((TextInputCallback)callbacks[2]).getText()来获取表单中更多的信息。其中TextInputCallback的Prompt必须要和表单中对应域的名字一��_��否则取不��C��息。如果有多个域，则需要传入多个TextInputCallback�?/p>

　　同时如果��d��表单中没有这些对应TextInputCallback的域�Q�或者��用JNDI方式验证�Q�那么会抛出UnsupportedCallbackException�?/p>

　　下面是一个符合Servlet安全规范的登录表单，其中域my_hidden_field的值将通过CallbackHandler传递到的TextInputCallback中：

　　d) 生成一个用于存放Principal的集合对�?br />　　e) 通过��d��帐号获取LDAP中的Entry DN
　　f) 通过DN和用户口令进行��n份验�?br />　　g) ��通过验证的用户名加入到Principal列表中，�q�些以后都将代表用户的一定权�?br />　　h) 查找用户属于哪些�l?br />　　i) ��这些组的名字加入到Principal列表�?/p>

4.5.6 LoginModule中的commit()和abort()�Ҏ��实现
　　完成了以上的验证后，我们需要通过LoginModule.commit()�Ҏ��提交验证�l�果�Q�或者abort()�Ҏ��取消验证�l�果�?/p>

// A
private Subject subject;
/**
   *
   *
   * LoginException
   */
public boolean commit() throws LoginException { if (loginSucceeded) {
// B
      subject.getPrincipals().addAll(principals);
      return true;
    }else {
      return false;
    }
}
/**
   *
   *
   * LoginException
   */
public boolean abort() throws LoginException {
    // C
    subject.getPrincipals().removeAll(principals);
    return true;
}

　　我这里仍焉��过代码中的注释�q�行相应的说明：

　　a) JAAS Subject�Q�在LoginModule初始化时�Q�由WebLogic Security Framework负责传入�Q�用��L��权限信息�Q�Principals�{�）都将��装到该Subject中。同时Principal Validator会对Subject中的Principals�q�行�{�֐��Q�防止被黑客�U�改�?/p>

　　b) 用户认证成功的情况下�Q�将用户兌��的Principals加入到Subject中。这��L��户在�q�行后箋的访问时�Q�WebLogic Security Framework会检查与用户兌��的Subject中是否有可以讉K��受限资源的Principal�?/p>

　　c) 用户��d��p�|的情况下�Q�有可能是其他的LoginModule��D��的整体登录失败，具体参考JAAS Control Flag�Q�，我们在commit中添加的Principals必须从Subject中删除�?/p>

　　通过上面的描�q�和讨论�Q�相信读者已�l�对如何实现一个LDAP AuthenticationProvider/LoginModule有了比较清楚的了解。限于篇�q�省略了很多�l�节�Q�对此有需要的读者可以根据文中给出的相关链接做进一步的了解�Q�或者与我交��。从�q�里我们也可以看到核心的逻辑�q�是比较��单的。其中将LDAP Group作�ؓ用户的Principal�Q�是J2EE Security与LDAP Security�l�合的非帔R��要的一步。通过�q�种�l�合�Q�我们可以将LDAP作�ؓ后端�Q�设计出��Z��J2EE�Q�JAAS的用戯��n份验证，权限��理�{�系�l��?a id="5" name="5">

5 部��v中的注意事项
　　开发完成LDAP Authentication Provider后，需要将通过WebLogic MBean Maker生成的MBean Jar File攑ֈ�/server/lib/mbeantypes目录下。由于WebLogic Server在启动时会加载这些Provider�Q�因此在一个分布式的环境中�Q�WebLogic Domain内的全部WLServer�Q�包括Managed Server�Q�均需要部�|�该Jar包�?/p>

　　同时�׃��使用了Provider MBean�Q�因此，当你删除了MBean Types中定义的�Q��ƈ且通过修改保存在config.xml�Q�WebLogic Domain配置文�g�Q�中的属性时�Q�重新部�|�的Jar包会��D��WebLogic Server无法正常启动�Q�因为它没有办法按照config.xml中配�|�的属性初始化MBean。此旉��要手工修改config.xml�Q�删除相关的属性即可�?/p>

　　ControlFlag="OPTIONAL"
　　Name="Security:Name=myrealmSimpleSampleAuthenticator"
　　UserBaseDN="ou=people, o=examples" Realm="Security:Name=myrealm"/>

　　比如UserBaseDN已经不需要通过MBean来管理，�q�且在MBean Types中已�l�删除，那么直接删除�q�里的UserBaseDN="ou=people, o=examples" ��可以了�?a id="6" name="6">

6 �l�束�?/b>
　　本文所讨论的内�Ҏ��些过于广泛，从我个�h角度�Ԍ��写�v来也比较困难�Q�很多技术问题没有进行深入的讨论。其实只是希望通过本文�Q�能够帮助读者对WebLogic Security�Q�J2EE Security�Q�LDAP Security以及JAAS有一个初步的认识�Q�能够给希望实现LDAP Authentication Provider�Q�或者被WebLogic LDAP Authentication Provider困惑的读者一些启�C�。只要能够对读者有所帮助�Q�本文的目的��q��辑ֈ�了�?/p>

　　限于��幅�Q�本文很多地方的表述可能�q�不清晰�Q�也可能会有一些错误，如果在阅读过�E�中产生��M��疑问或者有��M��看法都可以通过E-mail来与我交��，我也非常希望能和大家交流�?a id="7" name="7">

7 参考资�?/b>
a) http://e-docs.bea.com/wls/docs81/secwlres/types.html#1213777 关于WebLogic Resource的更多说�?br />b) http://e-docs.bea.com/wls/docs81/security/index.html 关于WebLogic Security的全部内�?br />c) http://e-docs.bea.com/wls/docs81/dvspisec/rm.html#1145542 关于Role Mapping Provider的更多内�?br />d) http://dev2dev.bea.com.cn/techdoc/2005012102.html 关于WebLogic Console的扩�?br />e) http://dev2dev.bea.com/codelibrary/code/security_prov81.jsp Custom Seuciryt Provider的Samples
f) http://java.sun.com/products/JavaManagement/wp/ 更多关于Sun JMX
g) http://java.sun.com/products/jndi/tutorial/ldap/connect/index.html 关于如何使用Sun JNDI LDAP Service Provider中提供的�q�接�?br />h) http://www.ietf.org/rfc/rfc2254.txt 更多关于LDAP Filter
i) http://www.ietf.org/rfc/rfc2251.txt LDAP V3协议
j) http://www.ietf.org/rfc/rfc2222.txt 更多关于SASL

柳随�?/a> 2006-10-11 10:45 发表评论

Tue, 26 Sep 2006 07:14:00 GMT

本文完全转自http://www.tkk7.com/hiswing/archive/2006/08/25/65764.html
　我们知道�Q�Java利用ClassLoader��类载入内存�Q��ƈ且在同一应用中，可以有很多个ClassLoader�Q�通过委派机制�Q�把装蝲的�Q务传递给上��的装载器的，依次�c�L��Q�直到启动类装蝲器（没有上��c�装载器�Q�。如果启动类装蝲器能够装载这个类�Q�那么它会首先装载。如果不能，则往下传递。当父类为null�Ӟ��JVM内置的类(�U�Cؓ:bootstrap class loader)��׃��充当父类。想想眼下的��来��多用XML文�g做配�|�文件或者是描述�W�、部�|�符。其实这些通过XML文档描述的配�|�信息最�l�都要变成Java�c�，基实都是通过ClassLoader来完成的。URLClassLoader是ClassLoader的子�c�，它用于从指向 JAR 文�g和目录的 URL 的搜索�\径加载类和资源。也��是��_��通过URLClassLoader��可以加载指定jar中的class到内存中�?/p>
下面来看一个例子，在该例子中，我们要完成的工作是利用URLClassLoader加蝲jar�q�运行其中的�cȝ��某个�Ҏ��?/p>
首先我们定义一个接口，使所有��承它的类都必��d��现action�Ҏ��Q�如下：

public interface ActionInterface {
     public String action();
}

完成后将其打包�ؓtestInterface.jar文�g�?/p>
接下来新��Z��工程�Q��ؓ了编译通过�Q�引入之前打好的testInterface.jar包。�ƈ创徏TestAction�c�，使它实现ActionInterface接口。如下：

public class TestAction implements ActionInterface {
     public String action() {
         return " com.mxjava.TestAction.action " ;
    }
}

完成后将其打包�ؓtest.jar�Q�放在c盘根目录下。下面要做的��是利用URLClassLoader加蝲�q�运行TestAction的action�Ҏ��Q��ƈ��返回的值打印在控制��C��?/p>
新徏一工程�Q�引入testInterface.jar包。�ƈ创徏一可执行类�Q�main�Ҏ��Q�，在其中加入如下代码：

URL url = new URL(“file:C: / test.jar�?;
URLClassLoader myClassLoader = new URLClassLoader( new URL[] { url } );
Class myClass = myClassLoader.loadClass(“com.mxjava.TestAction�?;
ActionInterface action = (ActionInterface)myClass.newInstance();
System.out.println(action.action());

　　在上面的例子中，首先利用URLClassLoader加蝲了C:\test.jar包，��其中的com.mxjava.TestAction�c�蝲入内存，��其强制转型为testInterface包中的ActionInterface�c�d��Q�最后调用其action�Ҏ��Q��ƈ打印到控制台中�?/p>
　　执行�E�序后，在控制台上如期打印出我们惌��的内宏V��但是，事情�q�没有那么简单，当我们将该代码移动web应用中时�Q�就会抛出异常。原来，Java为我们提供了三种可选择的ClassLoader�Q?br />1. �pȝ��c�d��载器或叫作应用类加蝲�?(system classloader or application classloader)
2. 当前�c�d��载器
3. 当前�U�程�c�d��载器

　　在上例中我们使用javac命��o来运行该�E�序�Q�这时候��用的是系�l�类加蝲�?(system classloader)。这个类加蝲器处�?-classpath下的�c�d��载工作，可以通过ClassLoader.getSystemClassLoader()�Ҏ��调用�?ClassLoader 下所有的 getSystemXXX()的静态方法都是通过�q�个�Ҏ��定义的。在代码中，应该��量��地调用�q�个�Ҏ��Q�以其它的类加蝲器作��Z��理。否则代码将只能工作在简单的命��o行应用中。当在web应用中时�Q�服务器也是利用ClassLoader来加载class的，�׃��ClassLoader的不同，所以在强制转型时JVM认定不是同一�c�d��。（在JAVA中，一个类用其完全匚w��c�d��(fully qualified class name)作�ؓ标识�Q�这里指的完全匹配类名包括包名和�c�d��。但在JVM中一个类用其全名和一个加载类ClassLoader的实例作为唯一标识。因此，如果一个名为Pg的包中，有一个名为Cl的类�Q�被�c�d��载器KlassLoader的一个实例kl1加蝲�Q�Cl的实例，即C1.class在JVM中表�C�Zؓ(Cl, Pg, kl1)。这意味着两个�c�d��载器的实�?Cl, Pg, kl1) �?(Cl, Pg, kl2)是不同的�Q�被它们所加蝲的类也因此完全不同，互不兼容的。）��Z��能够使程序正��运行，我们首要解决的问题就是，如何��URLClassLoader加蝲的类�Q�同当前ClassLoader保持在同一�c�d��载器中。解��x��法很��单，利用java提供的第三种ClassLoader—当前线�E�类加蝲器即可。jdk api文档��׃��发现�Q�URLClassLoader提供了三�U�构造方式：

// 使用默认的委托父 ClassLoader 为指定的 URL 构造一个新 URLClassLoader。�?/span>
URLClassLoader(URL[] urls)
// 为给定的 URL 构造新 URLClassLoader。�?/span>
URLClassLoader(URL[] urls, ClassLoader parent)
// 为指定的 URL、父�c�d��载器和 URLStreamHandlerFactory 创徏斊W�URLClassLoader�?/span>
URLClassLoader(URL[] urls, ClassLoader parent, URLStreamHandlerFactory factory)

接下来要做的��是�Q�在构造URLClassLoader�Ӟ��当前线�E�类加蝲器置入即可。如下：

URLClassLoader myClassLoader = new URLClassLoader( new URL[] { url } , Thread.currentThread().getContextClassLoader());

�ȝ��Q?br />　　Java是利用ClassLoader来加载类到内存的�Q�ClassLoader本��n是用java语言写的�Q�所以我们可以扩展自��q��ClassLoader。利用URLClassLoader可以加蝲指定jar包中的类到内存。在命行上利用URLClassLoader加蝲jar�Ӟ��是��用系�l�类加蝲器来加蝲class的，所以在web环境下，��׃��出错。这是因为JVM中一个类用其全名和一个加载类ClassLoader的实例作为唯一标识的。我们只要利用URLClassLoader的第二种构造方法�ƈ传入当前�U�程�c�d��载器卛_��解决�?br />
参考：
http://www.tkk7.com/sharajava/archive/2006/07/25/59946.html
http://kb.csdn.net/java/Articles/200510/a1843d60-05b1-456f-9f72-811cb45ea4ae.html

柳随�?/a> 2006-09-26 15:14 发表评论

oracle 9i 应用�pȝ��优化

Fri, 22 Sep 2006 02:01:00 GMT
     摘要: 最�q�单位要求写技术�ȝ��Q�我�Ҏ��《ORACLE9i_优化设计与系�l�调�?》以及网上相��x��章，主要�l�合自己的实际工作经历，写了一��《oracle 9i 应用�pȝ��优化�?本�h水��^有限�Q�如果有误的话请多多指正�Q�避免误��g��人，同时也希望大家共享相关的�l�验�Q�让我也学习学习。写�q�篇文章�q�是�׃��不少旉��Q�如果�{载的话请注明出处。Oracle9i 应用�pȝ��优化1、优化前提应用系�l�方案制定准��，对应用系�l�运行环境分�?..  阅读全文

柳随�?/a> 2006-09-22 10:01 发表评论

Fri, 07 Jul 2006 06:19:00 GMT

�Q�－�?font color="#ff0000">http://www.oradb.net/转蝲�q�来

Oracle在执行一个SQL之前,首先要分析一下语句的执行计划,然后再按执行计划��L��行。分析语句的执行计划的工作是�׃��化器(Optimizer)来完成的。不同的情况,一条SQL可能有多�U�执行计�?但在某一时点,一定只有一�U�执行计划是最优的,��p��旉��是最��的。相信你一定会用Pl/sql Developer、Toad�{�工具去看一个语句的执行计划,不过你可能对Rule、Choose、First rows、All rows�q�几��Ҏ��疑问,因�ؓ我当初也是这��L��,那时我也疑惑��Z��么选了以上的不同的��?执行计划��变�?

1、优化器的优化方�?

Oracle的优化器共有两种的优化方�?卛_��于规则的优化方式(Rule-Based Optimization,��U�CؓRBO)和基于代��L��优化方式(Cost-Based Optimization,��U�CؓCBO)�?

A、RBO方式�Q�优化器在分析SQL语句�?所遵��@的是Oracle内部预定的一些规则。比如我们常见的,当一个where子句中的一列有索引时去走烦引�?

B、CBO方式�Q�依词义可知,它是看语句的代�h(Cost)�?�q�里的代价主要指Cpu和内存。优化器在判断是否用�q�种方式�?主要参照的是表及索引的统计信息。统计信息给��的大��?、有��行、每行的长度�{�信息。这些统计信息�v初在库内是没有的,是你在做analyze后才出现�?很多的时侯过期统计信息会令优化器做出一个错误的执行计划,因些我们应及时更新这些信息。在Oracle8及以后的版本,Oracle列推荐用CBO的方式�?

我们要明�?不一定走索引��是优的 ,比如一个表只有两行数据,一�ơIO��可以完成全表的��?而此时走索引时则需要两�ơIO,�q�时对这个表做全表扫�?full table scan)是最好的�?

2、优化器的优化模�?Optermizer Mode)

优化模式包括Rule,Choose,First rows,All rows�q�四�U�方�?也就是我们以上所提及的。如下我解释一下：

Rule:不用多说,卌��Z��规则的方式�?

Choolse:�q�是我们应观注的,默认的情况下Oracle用的便是�q�种方式。指的是当一个表或或索引有统计信�?则走CBO的方�?如果表或索引没统计信�?表又不是特别的小,而且相应的列有烦引时,那么��p��索引,走RBO的方式�?

First Rows:它与Choose方式是类似的,所不同的是当一个表有统计信息时,它将是以最快的方式�q�回查询的最先的几行,从��M��上减��了响应旉��?

All Rows:也就是我们所说的Cost的方�?当一个表有统计信息时,它将以最快的方式�q�回表的所有的�?从��M��上提高查询的吞吐量。没有统计信息则走基于规则的方式�?

3、如何设定选用哪种优化模式

a、Instance�U�别

我们可以通过在init.ora文�g中设定OPTIMIZER_MODE=RULE、OPTIMIZER_MODE=CHOOSE、OPTIMIZER_MODE=FIRST_ROWS、OPTIMIZER_MODE=ALL_ROWS去选用3所提的四种方式,如果你没讑֮�OPTIMIZER_MODE参数则默认用的是Choose�q�种方式�?

B、Sessions�U�别

通过SQL> ALTER SESSION SET OPTIMIZER_MODE=;来设定�?

C、语句��?

�q�些需要用到Hint,比如:

SQL> SELECT /*+ RULE */ a.userid,

2 b.name,

3 b.depart_name

4 FROM tf_f_yhda a,

5 tf_f_depart b

6 WHERE a.userid=b.userid;

4、�ؓ什么有时一个表的某个字�D�|��明有索引,当观察一些语的执行计划确不走索引呢？如何解决�?�Q?

A、不走烦引大体有以下几个原因

♀你在Instance�U�别所用的是all_rows的方�?

♀你的表的�l�计信息(最可能的原�?

♀你的表很��?上文提到�q�的,Oracle的优化器认�ؓ不值得走烦引�?

B、解��x��?

♀可以修改init.ora中的OPTIMIZER_MODE�q�个参数,把它改�ؓRule或Choose,重�v数据库。也可以使用4中所提的Hint.

♀删除�l�计信息

SQL>analyze table table_name delete statistics;

♀表小不走索引是对�?不用调的�?

5、其它相�?

A、如何看一个表或烦引是否是�l�计信息

SQL>SELECT * FROM user_tables

2 WHERE table_name=

3 AND num_rows is not null;

SQL>SELECT * FROM user_indexes

2 WHERE table_name=

3 AND num_rows is not null;

b、如果我们先用CBO的方�?我们应及时去更新表和索引的统计信�?以免生�Ş不切合实的执行计划�?

SQL> ANALYZE TABLE table_name COMPUTE STATISTICS;

SQL> ANALYZE INDEX index_name ESTIMATE STATISTICS;

具体的ANALYZE语句请参照Oracle8i/9i 的refrence文档�?

柳随�?/a> 2006-07-07 14:19 发表评论

Spring学习�W�记�?---Web MVC

Sat, 24 Jun 2006 02:59:00 GMT
     摘要: �׃��两个星期学习 Spring WebMVC �Q? ��M��感觉收获不少�Q�感受比较深的是 Spring 框架的确解决了在 j2EE 开发中�l�常遇到的问�? , 自己也写了一个覆盖框架主要功能的��单例子，和大家一起交��、分享一下，如有错误�Q�欢�q�大家多指正�? �Q�、相对于WebWork的特�? ...  阅读全文

柳随�?/a> 2006-06-24 10:59 发表评论

盖茨写给大学生的人生��

Tue, 20 Jun 2006 03:44:00 GMT
本文是�{载，个�h工作五年多了�Q�还是比较认可他的徏议，对刚毕业的大学生�q�是挺有指导意义的�?br />1. Life is not fair, get used to it.
1�Q?生活是不公��^的；要去适应它�?

2. The world won't care about your selfesteem. The world will expect you to accomplish something before you feel good about yourself.
2�Q�这世界�q�不会在意你的自��。这世界指望你在自我感觉良好之前先要有所成就�?

3. You will not make 40 thousand dollars a year right out of high school. You won't be a vice president with a car phone, until you earn both.
3�Q�高中刚毕业你不会一�q�挣4万美元。你不会成�ؓ一个公司的副总裁�Q��ƈ拥有一部装有电话的汽�R�Q�直��C��此职位和汽车电话都挣到手�?

4. If you think your teacher is tough, wait till you get a boss. He doesn't have tenure.
4�Q�如果你认�ؓ你的老师严厉�Q�等你有了老板再这��h��。老板可是没有��L��限制的�?

5. Flipping burgers is not beneath your dignity. Your grandparents had a different word for burger flipping; they called it opportunity.
5�Q�烙牛肉饼�ƈ不有损你的尊严。你的祖父母对烙牛肉饼可有不同的定义�Q�他们称它�ؓ机遇�?

6. If you mess up, it's not your parents' fault, so don't whine about our mistakes, learn from them.
6�Q�如果你陷入困境�Q�那不是你父母的�q�错�Q�所以不要尖声抱怨我们的错误�Q�要从中吸取教训�?

7. Before you were born, your parents weren't as boring as they are now. They got that way from paying your bills, cleaning your clothes and listening to you talk about how cool you are. So before you save the rain forest from the parasites of your parents' generation, try "delousing" the closet in your own room.
7�Q�在你出生之前，你的父母�q��像他们现在这样乏呟뀂他们变成今天这个样子是因�ؓ�q�些�q�来他们一直在��Z��付�̎单，�l�你�z�衣服，听你大谈你是如何的酷。所以，如果你想消灭你父母那一辈中�?寄生�?来拯救雨林的话，�q�是先去清除你房间衣柜里的虫子吧�?

8. Your school may have done away with winners and losers, but life has not. In some schools they have abolished failing grades; they'll give you as many times as you want to get the right answer. This doesn't bear the slightest resemblance to anything in real life.
8�Q�你的学校也许已�l�不再分优等生和劣等生，但生�z�d��仍在作出�c�M��区分。在某些学校已经废除不及格分�Q�只要你��x��到正��答案，学校��׃��l�你无数的机会。这和现实生�z�M��的�Q何事情没有一点相��g��处�?

9. Life is not divided into semesters. You don't get summers off and very few employers are interested in helping you find yourself. Do that on your own time.
9�Q�生�z�M��分学期。你�q�没有暑假可以休息，也没有几位雇��M��于帮你发现自我。自己找旉��做吧�?

10. Television is NOT real life. In real life people actually have to leave the coffee shop and go to jobs.
10�Q�电视�ƈ不是真实的生�z�R��在现实生活中，��Z��实际上得��d��咖啡屋去�q�自��q��工作�?

11. Be nice to nerds. Chances are you'll end up working for one.
11�Q�善待你厌恶的�h。有可能到头来你会�ؓ一个你厌恶的�h工作

柳随�?/a> 2006-06-20 11:44 发表评论

Thu, 25 May 2006 10:10:00 GMT

�q�两天在学习SpringMVC遇到两个比较郁闷的问题，估计新学者很�Ҏ��遇到�Q�和大家分��n一下，避免出现�c�M��的问题�?br />1�?No request handling method with name 'insert' in class "ClassName"�Q�页面显�C�Zؓ404错误
�q�个问题出现在��用多操作控制器情况下�Q�相关的操作�Ҏ��中对应的�Ҏ��参数前两位必��L��request,response对象�Q�必��要有，否则会报如上异常�?br />2、这个问题困惑了我半天，在网上也有类似的问题�Q�但没有正确解决�Ҏ��Q�异常如下：
javax.servlet.ServletException: ModelAndView [ModelAndView: materialized View is [null]
�q�个问题可能出现的场景很多，我所描述的只是其中之一�Q�没有相兌��x��法，只有查看相关源代码，开源就是有�q�个好处�?br />异常抛出代码为：
        at org.springframework.web.servlet.DispatcherServlet.render(DispatcherServlet.java:924)
查看了相��x��代码�Q�一层一层看下去
首先在ModelAndView �c�d��例是在DispatcherServlet�c�M��的doDispatch�Ҏ��中创建的�Q?br />再跟�t�doDispatch�Ҏ��中相关代码行

HandlerAdapter ha = getHandlerAdapter(mappedHandler.getHandler());
mv = ha.handle(processedRequest, response, mappedHandler.getHandler());

ha是一个接口实现类�Q�在该场景下�Q�对应的接口实现�c�Mؓ�Q?br />org.springframework.web.servlet.mvc.SimpleControllerHandlerAdapter

SimpleControllerHandlerAdapter�c�M��对应的实��C��码�ؓ�Q?/p>
((Controller) handler).handleRequest(request, response)

调用的是对应的Controller接口中方法，当前Controller对应的接口实现类为我们配�|�的自定义控制类�Q�一般��承于org.springframework.web.servlet.mvc.SimpleFormController;一层一层再跟踪发现�Q?br />SimpleFormController�l�层于同包AbstractFormController�c�，�?br />AbstractFormController�l�承于同包AbstractController�c�，对应�?br />handleRequest(request,response)在AbstractController�c�M��实现�Q�最�l�调用代码如下：

return handleRequestInternal(request, response)

handleRequest�Ҏ��Z��个抽象方法，在AbstractFormController�c�M��实现�Q�终于找到原因了�Q�呵�?br />

protected final ModelAndView handleRequestInternal(HttpServletRequest request, HttpServletResponse response)
             throws Exception {

         // Form submission or new form to show?
         if (isFormSubmission(request)) {

             // Form submission: in session-form mode, we need to find
             // the form object in the HTTP session.
             if (isSessionForm()) {
                HttpSession session = request.getSession( false );
                 if (session == null || session.getAttribute(getFormSessionAttributeName(request)) == null ) {
                     // Cannot submit a session form if no form object is in the session.
                     return handleInvalidSubmit(request, response);
                }
            }

             // Found form object in HTTP session: fetch form object,
             // bind, validate, process submission.
            Object command = getCommand(request);
            ServletRequestDataBinder binder = bindAndValidate(request, command);
             return processFormSubmission(request, response, command, binder.getErrors());
        }

         else {
             // New form to show: render form view.
             return showNewForm(request, response);
        }
    }

原因实际很简单，��因为我在要提交的表单中没有采用post�Ҏ��Q�呵�?br />而isFormSubmission(request)��是�Ҏ��此项判断�Q�所以其实际执行的代码�ؓ�Q?br />return showNewForm(request, response);
而我在对应的配置属性中没有配置对应属�?formView��|��因�ؓ我本来就不是要展��C��个新表单�?br />故最后返回的ModelAndView为空�?br />
问题都解决了�Q�只是没惛_��Ҏ��交表单这么严��|��其他web框架是没有这�U�限�Ӟ��不过也没多大关系�Q�在实际开发中我们大都是采用post方式提交表单的�?br />

柳随�?/a> 2006-05-25 18:10 发表评论

Spring框架学习一----基本配置

Thu, 25 May 2006 08:39:00 GMT

         �׃��两三天看了相��x��档，只是初步了解相关配置�Q�没有做深入了解�Q�才辑ֈ�基本会��用配�|�的目的�?br />
个�h理解�Q?/strong>
         Spring 最基本的的功能是提供通过配置��理��L��c�，提供了Bean��理容器。这也是Spring最基础�Q�最核心的功能，在Spring框架中，一切皆为Bean,实际上在我们的日常开发中�Q�往往更多的是和Bean相关的开发，�q�且都是短生命周期，除了一些缓存功能，其他很多重要的功能都是由开源框架完成�?br />        实现方式也是框架常用的反��机�?因此使用Spring前提在JVM启动参数中不能加安全��理配置�?br />        Spring中所有的Bean相关配置均�ؓ一个文�Ӟ��非常集中�Q�个人感觉这有利有弊�Q�利大于弊�?br />        �l�一配置比较方便集中�Q�我最�q�的��目��是有很多子�pȝ��Q�除了一些公用的配置文�g�Q�还有很多子�pȝ��的配�|�文�Ӟ��每次�q�移环境是非常篏的事�Q�如果只有一个配�|�文�Ӟ��那工作就会轻村֤�了�?br />        �~�点也就在于很集中，如果配置有误�Q�整个系�l�不可用�Q�这�U�情况往往发生在系�l�升�U�阶�D�，也比较少�Q�即使出现问题也比较好定位�?br />         Spring提供了Bean��理容器�Q�这个功能可以大大简化业务系�l�的配置开发工作�?br />         个�h感觉��来的开发工作更多的是配�|�，�~�写业务相关的Bean以及业务�Ҏ��,其他功能均会有很多优�U�的开源框架实玎ͼ�重要的工作是选择�W�合��目的框架、熟悉框�Ӟ��最重要的还是苦修内功，深入学习java�Q�因��Z��变不如其中，再说开源不是万能的�Q�有时候还是要靠自��q��?br />

学习心得�Q?br />Spring提供三种创徏�c�d��例方�?
    a、通过构造函敎ͼ�讉K��属性可以是��L��
    b、通过对应�cȝ��静态工厂方法，注意不能是私有的
     c、通过工厂�cȝ��实例工厂�Ҏ��Q�是非静态的�Ҏ��

�Q�、bean节点相关主要属性：
     id/name          实例�?别名
     class              必须、类全名
     singleton        是否为单实例�Q�默认�ؓtrue
     init-method     初始化方�?br />     depends-on    指定依赖Bean,实现在被依赖Bean实例创徏前，对依赖的一个或多个Bean的实例化,
                          init-method在对应Bean实例已经创徏后调�?br />     destroy-method   释放回调�Ҏ��Q�常用于资源释放
     dependency-check 依赖��?br />     parent           指定父Bean实例�Q�减��因�l�承关系的重复配�|?/p>
     说明除配�|�init-method,destory以外�Q�可以在对应Bean中实现InitializingBean,DisposableBean两个接口�Ҏ��
     Spring容器不负责管理非单实例的Bean

配置bean事项�Q?br />1、注意在通过构造器参数匚w��Ӟ��必须指定参数的序��P��同时��明确说明�c�d��Q?br /> 128
teststring
最好说明相兛_��数类型类型�?
128
teststring
可以使用��化配�|?br />


2、属性�ؓ�I?br />

二、常用elements
bean | ref | idref | value | null | list | set | map | props

说明�Q?br />     bean      创徏一个新的bean实例
     ref         引用已经创徏的bean实例
     value      ��单数据类�?br />     null         �I�指�?br />     list         创徏java.util.ArrayList对象实例
     set         创徏java.util.LinkedHashSet对象实例
     map       创徏java.util.LinkedHashMap对象实例
     props     创徏java.util.Properties实例

list,set,map可以多层嵌套配置

遗留问题�Q?br />idref 配置没有起作用，�c�M��value配置�Q�测试输��Zؓ字符串对象，是否配置不正��?

上述配置范围基本覆盖了我们开发时的bean使用情况�Q�详见配�|�可以参考dtd
http://www.springframework.org/dtd/spring-beans.dtd

ApplicationContext �l�承于BeanFactory相关接口�Q�针对企业应用��的，占有内存较多
BeanFactory     提供配置框架和基本功能，适用于对内存有限制的相关应用
功能�Q?br />1、提供消息访问，ApplicationContext 本��n�l�承于MessageSource接口�Q?br />   ApplicationContext 加蝲时查扑֯�应的MessageSource Bean, bean id 必须为messageSource
   Spring框架提供两个MessageResource实现�Q?br />    org.springframework.context.support.ResourceBundleMessageSource
    org.springframework.context.support.StaticMessageSource
2、事件传�?br />3、��用资�?br />

柳随�?/a> 2006-05-25 16:39 发表评论

Tue, 16 May 2006 07:45:00 GMT

目的�Q?/strong>
在实际项目中��Z��E�_��性以及团队开发技能我一直没考虑采用Spring框架�Q�最�q�有旉��p��划学习Spring框架�Q��ؓ以后的项目开发做相关的技术储备�?/p>

回顾�Q?/strong>
开源框架在以前的项目中用过不少�Q?struts,webwork,hibernate,前两者属于web框架�Q�后者属于ORM框架�Q�这些框架基本都是侧重于应用的某个层面，不能�U�C��为J2EE全面的框�Ӟ��往往是需要和其他框架相结合，我开发的��目采用�q�如下组合，有的�Ҏ��没有框�Ӟ��只是自己做了设计��装
a、servlet+jdbc,
b、servlet+jsp+javabean+jdbc,
c、struts+BD+DAO ,
d、webwork+ejb+hibernate

使用体会�Q?/strong>

a、b��׃��要说了，那时候的代码�l�构真是天马行空�Q�我当时初学�Q�维护公�怸�个项目代码，1个jsp实现一个模块所有功能，我花了好长时间才 ��L��代码�?br /> 时代��L��向前发展的，慢慢的系�l�结构层�ơ上是越来越清晰�Q�开发效率也��来��高�Q�维护也��来��容易（��Z��一定的培训成本�Q��?br />
相对而言��Z��设计理念来讲�Q�个人更喜欢webwork+hibernate框架�l�合�?/font>

常有��论同�{�开发层面框架的优缺点，我所属��品的另外一个项目团队曾�l��ؓ��目后箋开�?应该采用struts�q�是webwork争论的不可开交，其实个�h认�ؓstruts,webwork都是非常好的web框架�Q�都有自�w�的优缺点：
struts开创web MVC框架之先治I��2003�Q?004�q�开发的��目基本都是采用struts框架�Q�当时招聘�h的时候常问会不会struts�Q�会基本��招了）�Q�实际MVC设计理念很早��提��Z��Q�在j2SE中有很多使用之处�Q�但当时没有一个web框架开发中很好的诏彻该设计理念�Q�直到struts 出现�Q�可能有�Q�只是没有apache更引人注意）�?br />
struts优点使用用户多，相关技术文档比较全面，开发遇到的问题相关案例也比较多、比较容易解冻I��框架更加�E�_��(�q�一炚w��帔R��要）�?br />
webwork相对于struts来讲�Q�的��有不少优异之处�Q�（也是情理之中的事�Q�后发布的框架如果再没有优点别�h也不会��用）
个�h认�ؓ在开发上主要有以下几点：

1、页面数据封装成值对象功能比struts强大�Q�webwork采用ognl�c�d��转化�?br /> struts只能对简单类型的数据对象以及文�g对象��装成值对�? 而webwork��装的值对象基本没有限�Ӟ��值对象属性还可以是List,Map�q�些对象�Q�这个特性在我们开发一些批量数据、复杂数据处理时非常方便�Q�，减少很多代码量，代码非常整洁�?br />
2、拦截器功能
拦截器是webwork的一个亮点，实际上也是业界比较流行的AOP的一个体玎ͼ�在实际开发中你可以配�|�默认的拦截器，也可以�ؓ单独的模块指定特定的拦截器，�q�且可自定义拦截器，action执行前后拦截都可以。�?br />
3、单元测试比较方�?br /> 最早��用struts框架开发测试时�Q�相关的单元��试基本是不好做的，无法��q��web环境�Q�测试都是只做集成测试、系�l�测试�?br /> 使用webwork可以��单对action相关属性赋��|��可以相关的单元测试，当然前提是在对应action中没有引用web环境相关的对象。�?br /> 其实webwork框架核心�q�是xwork框架�Q�最早框架��用在C/S�l�构下，webwork只是xwork的一个在web环境的实玎ͼ�只是ActionContext 上下文发生了变化�Q�所以说action能够做到��q��web环境也是情理之中的�?/p>

4、配�|�文�?br />webwork配置文�g可以采用引用、��承其他配�|�文件方式，在团队开发一般都是分模块开发，�q�样比较方便�Q�配�|�管理更�Ҏ��Q�不会冲�H��?br />
5、模板技术集�?br /> 我在实际应用��目中是采用velocity模板做视囑ֱ�玎ͼ�因�ؓ在对应版本的webwork框架中和velociy集成的相当好�Q�比较方便，比直接写jsp代码更整�z�、同时利用velocity模板�Ҏ��结合每个action的配�|�文�Ӟ��可实现比较通用的页面查询、录入等视图的展现�?br /> 而struts是没有相��x��杉K��成，不过struts的tag相对而言比webwork的tag好用�Q�webwork如果视图是jsp�c�d��Q�相关的tag真的比较�ȝ��, 虽然tag 库很丰富�Q�这也是我�ؓ什么��用velocity做视囄��原因。�?br />
6�?框架的效验功�?br /> 老实��_��两者框架的效验功能都比较麻烦，相对而言webwork更加�ȝ��点，配置较多�Q�验证接口实现太�ȝ��Q�我实际��目使用中还是自定义了相兛_��台验证接口，要验证的相关action只要实现相关接口卛_��Q�相��x��截器负责拦截验证�Q� 大部分的效验根据配�|�数据以及html对象自定义属性通过javascript通用效验�Q�实际上现在��Z��XmlHttp的ajax技术应用成熟的�? 后台验证接口的用途会逐渐淡化�?

说明上述比较版本�?struts 1.0 /webwork 2.1.6�Q�后�l�struts框架扩展很多功能�Q�不是很了解�Q�可能和上诉描述不一定很��d��?br />
现在两者已�l�合�qӞ��希望能结合两者的优势�Q�发展出更好web框架�?br />
7、关于Hibernate�q�是DAO模式�Q�个人徏议采用hibernate+DAO盔R��合的模式�Q�hibernate占主导地位�?br /> 虽然DAO模式通过自动生成代码效率不会低，但如果需求变更就比较�ȝ��Q�维护修改代码较多，��试工作量也较大�Q� 但Hibernate不是万能的，在一些必要的应用�q�是采用DAO模式�Q�特别是性能相关的部分�?

废话一大堆�Q�也��把我的工作回顾了一遍，呵呵�Q�这两天��单了解Spring框架�Q�个人感觉Spring更像一个全面的J2EE框架解决�Ҏ��, 希望能够有时间系�l�的学习一把，大家有兴��的请多多交��?我会��我的学习心得和大家分��n�?br />

柳随�?/a> 2006-05-16 15:45 发表评论

亚洲熟女少妇一区二区,亚洲综合在线一区二区三区,亚洲a∨无码一区二区

(转蝲)WebLogic Server 之安�?架构��?

�Q��{载）自定义WebLogic LDAP Authentication Provider

oracle 9i 应用�pȝ��优化

Spring学习�W�记�?---Web MVC

盖茨写给大学生的人生�����

Spring框架学习一----基本配置

盖茨写给大学生的人生��