亚洲色在线无码国产精品不卡,亚洲欧洲国产日韩精品,亚洲午夜一区二区电影院

Thu, 20 Apr 2006 17:13:00 GMT

�Q�一�Q?
Java1.1以后版本��d��了嵌套类�Q�Inner Class�Q�嵌套类、内部类�Q�。嵌套类定义在类�Q�外部类�Q�里面�?
嵌套�c�d��以体现逻辑上的从属关系。同时对于其他类可以控制内部�c�M��可见�{��?
外部�cȝ��成员变量作用域是整个外部�c�，包括嵌套�c�R��但外部�c�M��能访问嵌套类的private成员。例子：
public class Outer {
private int size;
public class Inner{
private int counter = 10;
public void doStuff(){ size++; }
}
public static void main(String args[]){
Inner inner= new Inner();
inner.doStuff();
System.out.println(size);
System.out.println(inner.counter);
System.out.println(counter); //�~�译�?
}
}

�Q�二�Q�下面演�C�Z��如何在外部类之外实例��Z��个public Inner�c�d��象�?

�c�d��前加上外部类�c�d��Q�new语句前加上外部类的引用变量。这很类似package的��用�?
例子�Q?
public class Outer {
private int size;
public class Inner{
public void doStuff(){ size++; }
}
}

public class TestInner{
public static void main(String args[]){
Outer outer = new Outer();
Outer.Inner inner = outer.new Inner();
inner.doStuff();
}
}
�Q�三�Q�当内部�c�M��外部�c�L��同名变量�Ӟ��~�省指本�c�M��的变量�?
例子�Q�public class Outer {
private int size;
public class Inner{
private size;
public void doStuff(int size){
size++; this.size++;
Outer.this.size++; // 错误�Q�Outer.size++因�ؓsize不是静态变�?
}
}
public static void main(String args[]){
this.size++; //错误�Q�静态方法��用非静态变量this
}
}
�Q�四�Q�在�Ҏ��中定义一个嵌套类�Q�注意嵌套类不可以访问方法的局部变量�?
因�ؓ�Ҏ��的局部变量只存在与方法作用期��_��故localvalue不可讉K��。而final变量的生命周期超��Z��Ҏ��Q�所以fianlvalue可用�?
public class Outer {
private int size =5;
public Object makeTheInner(int localvalue){
final int finalvalue = 6;
class Inner{
public String toString(){return (“Inner is�?size+localvalue+finalvalue);}
}
return new Inner();
}

public static void main(String args[]){
Outer outer = new Outer();
Object obj = outer.makeTheInner(47);
System.out.println(“The object is�?+ obj);
}
}
�Q�五�Q?
嵌套�cȝ��c�d��必须与包装它的外部类区别�Q�且嵌套�cȝ��c�d��仅仅可以作用于定义范围中。方法中定义�c�，其类名名��只能出现在�Ҏ��中�?
定义在方法中的嵌套类只能使用定义为final的局部变量，不可以��用方法中的非静态变量�?
嵌套�c�d��以��用的变量�U�类包括�Q�类变量、实例变量、final局部变量�?
嵌套�c�d��样具有所有的讉K��控制权限。高�U�类属性：
嵌套�c�d��以是abstract�c?
嵌套�c�d��以是接口�Q�被其它嵌套�c�d��现�?
定义为static的内部类��成为顶�U�类(top-level)。它们不依赖于外部类的对象而生成，所以不可以讉K��外部�cȝ��对象成员�?
非static内部�c�M��能定义static成员
当外部类�~�译�Ӟ��内部�c�M��会编译，生成的类文�g格式�?
OuterClass$InnerClass�Q�如Outer$Inner.class

例子�Q?
class Outer {
private int size =5;
static class Inner{
int value=5;
public void doStuff(){ size+=value; }// 错误�Q�不能访问非static 外部�cȝ��?
}
}

public class TestInner{
public static void main(String args[]){
Outer outer = new Outer();
Inner inner = new Inner();// �q�种实例也不�?
应该 Out.Inner innner=new Outer.Inner() ;
}
}

非static内部�c�M��能定义static成员 �Q?
�Q?�Q�定�?static �?内部�c�，如果成员变量也定义成 static ,那么外围�c�d��以直接通过�c�d��来访问�?
�Q?�Q�定�?static �?内部�c�，如果成员变量不是 static ,那么外围�c�需要生成内部类的对象才能访问，否则直接讉K��D��~�译出错�Q�！

静夜�?/a> 2006-04-21 01:13 发表评论

Mon, 20 Mar 2006 08:08:00 GMT

大家都在讨论关于数据库优化方面的东东�Q�刚好参与开发了一个数据仓库方面的��目�Q�以下的一点东西算是数据库优化斚w��的学�?实战的一些心得体会了�Q�拿出来大家�׃�n。欢�q�批评指正阿�Q��?br />
SQL语句�Q��?br />是对数据�?数据)�q�行操作的惟一途径�Q��?br />消耗了70%~90%的数据库资源�Q�独立于�E�序设计逻辑�Q�相对于对程序源代码的优化，对SQL语句的优化在旉��成本和风险上的代价都很低�Q��?br />可以有不同的写法�Q�易学，隄��通。�?br />
SQL优化�Q��?br />固定的SQL书写习惯�Q�相同的查询��量保持相同�Q�存储过�E�的效率较高。�?br />应该�~�写与其格式一致的语句�Q�包括字母的大小写、标点符受��换行的位置�{�都要一臾b?br />
ORACLE优化器：
在�Q何可能的时候都会对表达式进行评伎ͼ��q�且把特定的语法�l�构转换成等��L��l�构�Q�这么做的原因是
要么�l�果表达式能够比源表辑ּ��h��更快的速度
要么源表辑ּ�只是�l�果表达式的一个等仯��义结构�?br />不同的SQL�l�构有时��h��同样的操作（例如�Q? ANY (subquery) and IN (subquery)�Q�，ORACLE会把他们映射��C��个单一的语义结构。�?br />
1 帔R��优化�Q��?br />帔R��的计��是在语句被优化时一�ơ性完成，而不是在每次执行时。下面是��索月薪大�?000的的表达式：
sal > 24000/12
sal > 2000
sal*12 > 24000
如果SQL语句包括�W�一�U�情况，优化器会��单地把它转变成第二种。�?br />优化器不会简化跨��比较符的表辑ּ��Q�例如第三条语句�Q�鉴于此�Q�应��量写用帔R��跟字�D�|��较检索的表达式，而不要将字段�|�于表达式当中。否则没有办法优化，比如如果sal上有索引�Q�第一和第二就可以使用�Q�第三就难以使用。�?br />
2 操作�W�优化：
优化器把使用LIKE操作�W�和一个没有通配�W�的表达式组成的��索表辑ּ�转换��Z��个�?”操作符表达式。�?br />例如�Q�优化器会把表达式ename LIKE 'SMITH'转换为ename = 'SMITH'
优化器只能�{换涉及到可变长数据类型的表达式，前一个例子中�Q�如果ENAME字段的类型是CHAR(10)�Q� 那么优化器��不做�Q何�{换。�?br />一般来讲LIKE比较难以优化。�?br />
其中�Q��?br />~~ IN 操作�W�优化：
优化器把使用IN比较�W�的��索表辑ּ�替换为等��L��使用�?”和“OR”操作符的检索表辑ּ�。�?br />例如�Q�优化器会把表达式ename IN ('SMITH','KING','JONES')替换为�?br />ename = 'SMITH' OR ename = 'KING' OR ename = 'JONES‘�?br />
~~ ANY和SOME 操作�W�优�?
优化器将跟随值列表的ANY和SOME��索条件用�{��h的同�{�操作符和“OR”组成的表达式替换。�?br />例如�Q�优化器��如下所�C�的�W�一条语句用�W�二条语句替换：
sal > ANY (:first_sal, :second_sal)
sal > :first_sal OR sal > :second_sal
优化器将跟随子查询的ANY和SOME��索条件�{换成由“EXISTS”和一个相应的子查询组成的��索表辑ּ�。�?br />例如�Q�优化器��如下所�C�的�W�一条语句用�W�二条语句替换：
x > ANY (SELECT sal FROM emp WHERE job = 'ANALYST')
EXISTS (SELECT sal FROM emp WHERE job = 'ANALYST' AND x > sal)

~~ ALL操作�W�优�?
优化器将跟随值列表的ALL操作�W�用�{��h的�?”和“AND”组成的表达式替换。例如：
sal > ALL (:first_sal, :second_sal)表达式会被替换�ؓ�Q��?br />sal > :first_sal AND sal > :second_sal
对于跟随子查询的ALL表达式，优化器用ANY和另外一个合适的比较�W�组成的表达式替换。例如�?br />x > ALL (SELECT sal FROM emp WHERE deptno = 10) 替换为：
NOT (x <= ANY (SELECT sal FROM emp WHERE deptno = 10))
接下来优化器会把�W�二个表辑ּ�适用ANY表达式的转换规则转换��Z��面的表达式：
NOT EXISTS (SELECT sal FROM emp WHERE deptno = 10 AND x <= sal)

~~ BETWEEN 操作�W�优�?
优化器��L��用�?gt;=”和�?lt;=”比较符来等��L��代替BETWEEN操作�W�。�?br />例如�Q�优化器会把表达式sal BETWEEN 2000 AND 3000用sal >= 2000 AND sal <= 3000来代�ѝ��?br />
~~ NOT 操作�W�优�?
优化器��L��试图��化检索条件以消除“NOT”逻辑操作�W�的影响�Q�这��涉及到“NOT”操作符的消除以及代以相应的比较�q�算�W�。�?br />例如�Q�优化器��下面的�W�一条语句用�W�二条语句代替：
NOT deptno = (SELECT deptno FROM emp WHERE ename = 'TAYLOR')
deptno <> (SELECT deptno FROM emp WHERE ename = 'TAYLOR')
通常情况下一个含有NOT操作�W�的语句有很多不同的写法�Q�优化器的�{换原则是低쀜NOT”操作符后边的子句尽可能的简单，即��可能会�ɾl�果表达式包含了更多的“NOT”操作符。�?br />例如�Q�优化器��如下所�C�的�W�一条语句用�W�二条语句代替：
NOT (sal < 1000 OR comm IS NULL)
NOT sal < 1000 AND comm IS NOT NULL sal >= 1000 AND comm IS NOT NULL

如何�~�写高效的SQL:
当然要考虑sql帔R��的优化和操作�W�的优化啦，另外�Q�还需要：

1 合理的烦引设计：
例：表record�?20000行，试看在不同的索引下，下面几个SQL的运行情况：
语句A
SELECT count(*) FROM record
WHERE date >'19991201' and date < '19991214‘ and amount >2000

语句B
SELECT count(*) FROM record
WHERE date >'19990901' and place IN ('BJ','SH')

语句C
SELECT date,sum(amount) FROM record
group by date
1 在date上徏有一个非聚集索引
A�Q?25�U?
B�Q?27�U?
C�Q?55�U?
分析�Q��?br />date上有大量的重复��|��在非聚集索引下，数据在物理上随机存放在数据页上，在范围查找时�Q�必��L��行一�ơ表扫描才能扑ֈ��q�一范围内的全部行。�?br />2 在date上的一个聚集烦引�?br />A�Q�（14�U�）
B�Q�（14�U�）
C�Q�（28�U�）
分析�Q��?br />在聚集烦引下�Q�数据在物理上按��序在数据页上，重复��g��排列在一��P��因而在范围查找�Ӟ��可以先找到这个范围的��h��点，且只在这个范围内扫描数据��，避免了大范围扫描�Q�提高了查询速度。�?br />3 在place�Q�date�Q�amount上的�l�合索引
A�Q�（26�U�）
C�Q�（27�U�）
B�Q�（< 1�U�）
分析�Q��?br />�q�是一个不很合理的�l�合索引�Q�因为它的前导列是place�Q�第一和第二条SQL没有引用place�Q�因此也没有利用上烦引；�W�三个SQL使用了place�Q�且引用的所有列都包含在�l�合索引中，形成了烦引覆盖，所以它的速度是非常快的。�?br />4 在date�Q�place�Q�amount上的�l�合索引
A�Q��?< 1�U?
B�Q�（< 1�U�）
C�Q�（11�U�）
分析�Q��?br />�q�是一个合理的�l�合索引。它��date作�ؓ前导列，使每个SQL都可以利用烦引，�q�且在第一和第三个SQL中�Ş成了索引覆盖�Q�因而性能辑ֈ�了最优。�?br />
�ȝ��1
�~�省情况下徏立的索引是非聚集索引�Q�但有时它�ƈ不是最佳的�Q�合理的索引设计要徏立在对各�U�查询的分析和预��上。一般来��_��
有大量重复倹{��且�l�常有范围查询（between, >,< �Q?gt;=,< =�Q�和order by、group by发生的列�Q�考虑建立聚集索引�Q��?br />�l��? 常同时存取多列，且每列都含有重复值可考虑建立�l�合索引�Q�在条�g表达式中�l�常用到的不同��D��多的列上建立��索，在不同值少的列上不要徏立烦引。比如在雇员表的“性别”列上只有“男”与“女”两个不同��|��因此��无必要建立索引。如果徏立烦引不但不会提高查询效率，反而会严重降低更新速度。�?br />�l�合索引要尽量��关键查询形成索引覆盖�Q�其前导列一定是使用最频繁的列。�?br />
2 避免使用不兼容的数据�c�d��Q��?br />例如float和INt、char和varchar、bINary和varbINary是不兼容的。数据类型的不兼容可能��优化器无法执行一些本来可以进行的优化操作。例�?
SELECT name FROM employee WHERE salary �Q��?0000
在这条语句中,如salary字段是money型的,则优化器很难对其�q�行优化,因�ؓ60000是个整型数。我们应当在�~�程时将整型转化成�ؓ钱币�?而不要等到运行时转化。�?br />
3 IS NULL 与IS NOT NULL�Q��?br />不�? 能用null作烦引，��M��包含null值的列都��不会被包含在烦引中。即使烦引有多列�q�样的情况下�Q�只要这些列中有一列含有null�Q�该列就会从索引中排除。也��是说如果某列存在空��|��即��对该列徏索引也不会提高性能。�Q何在WHERE子句中��用is null或is not null的语句优化器是不允许使用索引的。�?br />
4 IN和EXISTS�Q��?br />EXISTS要远比IN的效率高。里面关�p�d��full table scan和range scan。几乎将所有的IN操作�W�子查询改写��Z��用EXISTS的子查询。�?br />例子�Q��?br />语句1
SELECT dname, deptno FROM dept
WHERE deptno NOT IN
(SELECT deptno FROM emp);
语句2
SELECT dname, deptno FROM dept
WHERE NOT EXISTS
(SELECT deptno FROM emp
WHERE dept.deptno = emp.deptno);
明显的，2要比1的执行性能好很多�?br />因�ؓ1中对emp�q�行了full table scan,�q�是很浪�Ҏ��间的操作。而且1中没有用到emp的INdex�Q��?br />因�ؓ没有WHERE子句。�?中的语句对emp�q�行的是range scan。�?br />
5 IN、OR子句�怼�使用工作表，使烦引失效：
如果不��生大量重复��|��可以考虑把子句拆开。拆开的子句中应该包含索引。�?br />
6 避免或简化排序：
应当��化或避免对大型表�q�行重复的排序。当能够利用索引自动以适当的次序��生输出时�Q�优化器��避免了排序的步骤。以下是一些媄响因素：
索引中不包括一个或几个待排序的列；
group by或order by子句中列的次序与索引的次序不一��P��
排序的列来自不同的表。�?br />��Z��避免不必要的排序�Q�就要正��地增徏索引�Q�合理地合�ƈ数据库表�Q�尽��有时可能媄响表的规范化�Q�但相对于效率的提高是值得的）。如果排序不可避免，那么应当试图��化它�Q�如�~�小排序的列的范围等。�?br />
7 消除对大型表行数据的��序存取�Q��?br />在�? 嵌套查询中，对表的顺序存取对查询效率可能产生致命的媄响。比如采用顺序存取策略，一个嵌�?层的查询�Q�如果每层都查询1000行，那么�q�个查询��p��查询 10亿行数据。避免这�U�情�늚�主要�Ҏ��是对连接的列进行烦引。例如，两个表：学生表（学号、姓名、年�??�Q�和选课表（学号、课�E�号、成�l�）。如果两个表要做�q�接�Q�就要在“学号”这个连接字�D�上建立索引。�?br />�q�可以��用�ƈ集来避免��序存取。尽��在所有的��查列上都有烦引，但某些�Ş式的WHERE子句��优化器��用顺序存取。下面的查询��强�q�对orders表执行顺序操作：
SELECT �Q� FROM orders WHERE (customer_num=104 AND order_num>1001) OR order_num=1008
虽然在customer_num和order_num上徏有烦引，但是在上面的语句中优化器�q�是使用��序存取路径扫描整个表。因��个语句要��索的是分��ȝ��行的集合�Q�所以应该改为如下语句：
SELECT �Q� FROM orders WHERE customer_num=104 AND order_num>1001
UNION
SELECT �Q� FROM orders WHERE order_num=1008
�q�样��p��利用索引路径处理查询。�?br />
8 避免相关子查询：
一个列的标�{�֐�时在��L��询和WHERE子句中的查询中出玎ͼ�那么很可能当��L��询中的列值改变之后，子查询必��重新查询一�ơ。查询嵌套层�ơ越多，效率��低�Q�因此应当尽量避免子查询。如果子查询不可避免�Q�那么要在子查询中过滤掉��可能多的行。�?br />
9 避免困难的正规表辑ּ��Q��?br />MATCHES和LIKE关键字支持通配�W�匹配，技术上叫正规表辑ּ�。但�q�种匚w��特别耗费旉��。例如：SELECT �Q� FROM customer WHERE zipcode LIKE �?8_ _ _”�?br />即��在zipcode字段上徏立了索引�Q�在�q�种情况下也�q�是采用��序扫描的方式。如果把语句改�ؓSELECT �Q� FROM customer WHERE zipcode >�?8000”，在执行查询时��׃��利用索引来查询，昄��会大大提高速度。�?br />另外�Q�还要避免非开始的子串。例如语句：SELECT �Q� FROM customer WHERE zipcode[2�Q?] >�?0”，在WHERE子句中采用了非开始子�Ԍ��因而这个语句也不会使用索引。�?br />
10 不充份的�q�接条�g�Q��?br />例：表card�?896行，在card_no上有一个非聚集索引�Q�表account�?91122行，在account_no上有一个非聚集索引�Q�试看在不同的表�q�接条�g下，两个SQL的执行情况：
SELECT sum(a.amount) FROM account a,card b WHERE a.card_no = b.card_no
�Q?0�U�）
��SQL改�ؓ�Q��?br />SELECT sum(a.amount) FROM account a,card b WHERE a.card_no = b.card_no and a.account_no=b.account_no
�Q?lt; 1�U�）
分析�Q��?br />在第一个连接条件下�Q�最��x��询方案是��account作外层表�Q�card作内层表�Q�利用card上的索引�Q�其I/O�ơ数可由以下公式估算为：
外层表account上的22541��?�Q�外层表account�?91122�?内层表card上对应外层表�W�一行所要查扄��3��）=595907�ơI/O
在第二个�q�接条�g下，最��x��询方案是��card作外层表�Q�account作内层表�Q�利用account上的索引�Q�其I/O�ơ数可由以下公式估算为：
外层表card上的1944��?�Q�外层表card�?896�?内层表account上对应外层表每一行所要查扄��4��）= 33528�ơI/O
可见�Q�只有充份的�q�接条�g�Q�真正的最��x��案才会被执行。�?br />多表操作在被实际执行前，查询优化器会�Ҏ��q�接条�g�Q�列出几�l�可能的�q�接�Ҏ��q�从中找出系�l�开销最��的最��x��案。连接条件要充䆾考虑带有索引的表、行数多的表�Q�内外表的选择可由公式�Q�外层表中的匚w��行数*内层表中每一�ơ查扄��ơ数��定�Q�乘�U�最��ؓ最��x��案。�?br />不可优化的WHERE子句
�?
下列SQL条�g语句中的列都建有恰当的烦引，但执行速度却非常慢�Q��?br />SELECT * FROM record WHERE substrINg(card_no,1,4)='5378'
(13�U?
SELECT * FROM record WHERE amount/30< 1000
�Q?1�U�）
SELECT * FROM record WHERE convert(char(10),date,112)='19991201'
�Q?0�U�）
分析�Q��?br />WHERE子句中对列的��M��操作�l�果都是在SQL�q�行旉��列计算得到的，因此它不得不�q�行表搜索，而没有��用该列上面的索引�Q�如果这些结果在查询�~�译时就能得刎ͼ�那么��可以被SQL优化器优化，使用索引�Q�避免表搜烦�Q�因此将SQL重写成下面这��P��
SELECT * FROM record WHERE card_no like '5378%'
�Q?lt; 1�U�）
SELECT * FROM record WHERE amount< 1000*30
�Q?lt; 1�U�）
SELECT * FROM record WHERE date= '1999/12/01'
�Q?lt; 1�U�）

11 存储�q�程中，采用临时表优化查询：
例�?br />1�Q�从parven表中按vendor_num的次序读数据�Q��?br />SELECT part_num�Q�vendor_num�Q�price FROM parven ORDER BY vendor_num
INTO temp pv_by_vn
�q�个语句��序读parven�Q?0��）�Q�写一个��时表�Q?0��）�Q��ƈ排序。假定排序的开销�?00��，��d��?00��c��?br />2�Q�把临时表和vendor表连接，把结果输出到一个��时表�Q��ƈ按part_num排序�Q��?br />SELECT pv_by_vn�Q�＊ vendor.vendor_num FROM pv_by_vn�Q�vendor
WHERE pv_by_vn.vendor_num=vendor.vendor_num
ORDER BY pv_by_vn.part_num
INTO TMP pvvn_by_pn
DROP TABLE pv_by_vn
�q��? 个查询读取pv_by_vn(50��?�Q�它通过索引存取vendor�?.5万次�Q�但�׃��按vendor_num�ơ序排列�Q�实际上只是通过索引��序地读 vendor表（40�Q?=42��）�Q�输出的表每��늺�95行，�?60��c��写�q�存取这些页引发5�Q?60=800�ơ的��d��Q�烦引共��d��892��c��?br />3�Q�把输出和part�q�接得到最后的�l�果�Q��?br />SELECT pvvn_by_pn.�Q�，part.part_desc FROM pvvn_by_pn�Q�part
WHERE pvvn_by_pn.part_num=part.part_num
DROP TABLE pvvn_by_pn
�q�样�Q�查询顺序地读pvvn_by_pn(160��?�Q�通过索引读part�?.5万次�Q�由于徏有烦引，所以实际上�q�行1772�ơ磁盘读写，优化比例�?0�?。�?br />
好了�Q�搞定。�?br />其实sql的优化，各种数据库之间都是互通的�?

静夜�?/a> 2006-03-20 16:08 发表评论

介绍一��关于session的好文章,写的很详�l?jsp-servlet 技�?

Fri, 10 Mar 2006 05:10:00 GMT

摘要�Q�虽然session机制在web应用�E�序中被采用已经很长旉��了，但是仍然有很多�h不清�? session机制的本质，以至不能正确的应用这一技术。本文将详细讨论session的工作机制�ƈ且对在Java web application中应用session机制时常见的问题作出解答�?br>
目录�Q?br>一、术语session
二、HTTP协议与状态保�?br>三、理解cookie机制
四、理解session机制
五、理解javax.servlet.http.HttpSession
六、HttpSession常见问题
七、跨应用�E�序的session�׃�n
八、�ȝ��
参考文�?br>
一、术语session
在我的经验里�Q�session�q�个词被滥用的程度大概仅�ơ于transaction�Q�更加有��的是transaction与session在某些语境下的含义是相同的�?br>
session�Q? 中文�l�常��译��Z��话，其本来的含义是指有始有终的一�p�d��动作/消息�Q�比如打电话时从拿�v电话拨号到挂断电话这中间的一�p�d��q�程可以�U�C��Z��? session。有时候我们可以看到这��L��话“在一个浏览器会话期间�Q?..”，�q�里的会话一词用的就是其本义�Q�是指从一个浏览器�H�口打开到关闭这个期 �?nbsp;①。最混�ؕ的是“用��P��客户端）在一�ơ会话期间”这样一句话�Q�它可能指用��L��一�p�d��动作�Q�一般情况下是同某个具体目的相关的一�p�d��动作�Q�比如从��d��? 选购商品到结账登��样一个网上购物的�q�程�Q�有时候也被称��Z��个transaction�Q�，然而有时候也可能仅仅是指一�ơ连接，也有可能是指含义①，其中的差别只能靠上下文来推断②�?br>
然而当session一词与�|�络协议相关联时�Q�它又往往隐含了“面向连接”和/或“保持状态”这样两个含义， “面向连接”指的是在通信双方在通信之前要先建立一个通信的渠道，比如打电话，直到�Ҏ��接了电话通信才能开始，与此相对的是写信�Q�在你把信发出去�? 时候你�q�不能确认对方的地址是否正确�Q�通信渠道不一定能建立�Q�但对发信�h来说�Q�通信已经开始了。“保持状态”则是指通信的一方能够把一�p�d��的消息关联�v 来，使得消息之间可以互相依赖�Q�比如一个服务员能够认出再次光��的老顾客�ƈ且记得上�ơ这个顾客还�Ơ店里一块钱。这一�cȝ��例子有“一�? TCP session”或�?nbsp;“一个POP3 session”③�?br>
而到了web服务器蓬勃发展的时代�Q�session在web开发语境下的语义又有了新的扩展�Q�它的含义是指一�cȝ��来在客户端与服务器之间保持状态的解决�Ҏ��④。有时候session也用来指�q�种解决�Ҏ��的存储结构，�? “把xxx保存在session 里”⑤。由于各�U�用于web开发的语言在一定程度上都提供了对这�U�解��x��案的支持�Q�所以在某种特定语言的语境下�Q? session也被用来指代该语�a�的解��x��案，比如�l�常把Java里提供的javax.servlet.http.HttpSession��U�Cؓ session⑥�?br>
鉴于�q�种混�ؕ已不可改变，本文中session一词的�q�用也会�Ҏ��上下文有不同的含义，请大家注意分辨�?br>在本文中�Q��用中文“浏览器会话期间”来表达含义①，使用“session机制”来表达含义④，使用“session”表辑֐�义⑤�Q��用具体的“HttpSession”来表达含义�?br>
二、HTTP协议与状态保�?br>HTTP 协议本��n是无状态的�Q�这与HTTP协议本来的目的是相符的，客户端只需要简单的向服务器��h��下蝲某些文�g�Q�无论是客户端还是服务器都没有必要纪录彼此过�? 的行为，每一�ơ请求之间都是独立的�Q�好比一个顾客和一个自动售货机或者一个普通的�Q�非会员�Ӟ��大卖��Z��间的关系一栗��?br>
然而聪明（或者贪心？�Q�的��Z��很快发现如果能够提供一些按需生成的动态信息会使web变得更加有用�Q�就像给有线电视加上�Ҏ��功能一栗��这�U�需求一斚w��q��HTML逐步��d�� 了表单、脚本、DOM�{�客��L��行�ؓ�Q�另一斚w��在服务器端则出现了CGI规范以响应客��L��的动态请求，作�ؓ传输载体的HTTP协议也添加了文�g上蝲�? cookie�q�些�Ҏ��。其中cookie的作用就是�ؓ了解决HTTP协议无状态的�~�陷所作出的努力。至于后来出现的session机制则是又一�U�在客户端与服务器之间保持状态的解决�Ҏ��?br>
让我们用几个例子来描�q�C��下cookie和session机制之间的区别与联系。笔者曾�l�常�ȝ��一家咖啡店有喝5杯咖啡免费赠一杯咖啡的优惠�Q�然而一�ơ性消�?杯咖啡的��Z��微乎其微�Q�这时就需要某�U�方式来�U�录某位��֮�的消�Ҏ��量。想象一下其实也无外乎下面的几种�Ҏ��Q?br>1、该店的店员很厉宻I��能记住每位顾客的消费数量�Q�只要顾客一走进咖啡店，店员��q��道该怎么对待了。这�U�做法就是协议本�w�支持状态�?br>2、发�l�顾客一张卡片，上面记录着消费的数量，一般还有个有效期限。每�ơ消�Ҏ��Q�如果顾客出�C��张卡片，则此�ơ消费就会与以前或以后的消费相联�p��v来。这�U�做法就是在客户端保持状态�?br>3、发�l�顾客一张会员卡�Q�除了卡号之外什么信息也不纪录，每次消费�Ӟ��如果��֮�出示该卡片，则店员在店里的纪录本上找到这个卡号对应的�U�录��d��一些消费信息。这�U�做法就是在服务器端保持状态�?br>
�? 于HTTP协议是无状态的�Q�而出于种�U�考虑也不希望使之成�ؓ有状态的�Q�因此，后面两种�Ҏ��成为现实的选择。具体来说cookie机制采用的是在客��L��? 持状态的�Ҏ��Q�而session机制采用的是在服务器端保持状态的�Ҏ��。同时我们也看到�Q�由于采用服务器端保持状态的�Ҏ��在客��L��也需要保存一个标识，所以session机制可能需要借助于cookie机制来达��C��存标识的目的�Q�但实际上它�q�有其他选择�?br>
三、理解cookie机制
cookie机制的基本原理就如上面的例子一��L��单，但是�q�有几个问题需要解冻I��“会员卡”如何分发；“会员卡”的内容�Q�以及客户如何��用“会员卡”�?br>
正统的cookie分发是通过扩展HTTP协议来实现的�Q�服务器通过在HTTP的响应头中加上一行特�D�的指示以提�C�浏览器按照指示生成相应的cookie。然而纯�_�的客户端脚本如JavaScript或者VBScript也可以生成cookie�?br>
而cookie 的��用是由浏览器按照一定的原则在后台自动发送给服务器的。浏览器��查所有存储的cookie�Q�如果某个cookie所声明的作用范围大于等于将要请求的资源所在的位置�Q�则把该cookie附在��h��资源的HTTP��h��头上发送给服务器。意思是麦当劳的会员卡只能在麦当劳的店里出示�Q�如果某家分店还发行了自 ��q��会员卡，那么�q�这家店的时候除了要出示麦当劳的会员卡，�q�要出示�q�家店的会员卡�?br>
cookie的内容主要包括：名字�Q��|��q�期旉��Q��\径和域�?br>其中域可以指定某一个域比如.google.com�Q�相当于��d��招牌�Q�比如宝�z�公司，也可以指定一个域下的具体某台机器比如www.google.com或者froogle.google.com�Q�可以用飘柔来做比�?br>路径��是跟在域名后面的URL路径�Q�比�?或�?foo�{�等�Q�可以用某飘柔专柜做比�?br>路径与域合在一起就构成了cookie的作用范围�?br>�? 果不讄��q�期旉��Q�则表示�q�个cookie的生命期为浏览器会话期间�Q�只要关闭浏览器�H�口�Q�cookie��消�׃��。这�U�生命期为浏览器会话期的 cookie被称��Z��话cookie。会话cookie一般不存储在硬盘上而是保存在内存里�Q�当然这�U�行为�ƈ不是规范规定的。如果设�|�了�q�期旉��Q�浏�? 器就会把cookie保存到硬盘上�Q�关闭后再次打开��览器，�q�些cookie仍然有效直到��过讑֮�的过期时间�?br>
存储在硬盘上�? cookie 可以在不同的��览器进�E�间�׃�n�Q�比如两个IE�H�口。而对于保存在内存里的cookie�Q�不同的��览器有不同的处理方式。对于IE�Q�在一个打开的窗口上�?nbsp;Ctrl-N�Q�或者从文�g菜单�Q�打开的窗口可以与原窗口共享，而��用其他方式新开的IE�q�程则不能共享已�l�打开的窗口的内存cookie�Q? 对于 Mozilla Firefox0.8�Q�所有的�q�程和标�{�N��都可以共享同��L��cookie。一般来说是用javascript�? window.open打开的窗口会与原�H�口�׃�n内存cookie。浏览器对于会话cookie的这�U�只认cookie不认人的处理方式�l�常�l�采�? session机制的web应用�E�序开发者造成很大的困扰�?br>
下面��是一个goolge讄��cookie的响应头的例�?br>HTTP/1.1 302 Found
Location: http://www.google.com/intl/zh-CN/
Set-Cookie: PREF=ID=0565f77e132de138:NW=1:TM=1098082649:LM=1098082649:S=KaeaCFPo49RiA_d8;
expires=Sun, 17-Jan-2038 19:14:07 GMT; path=/; domain=.google.com
Content-Type: text/html

�q�是使用HTTPLook�q�个HTTP Sniffer软�g来俘��L��HTTP通讯�U�录的一部分

��览器在再次讉K��goolge的资源时自动向外发送cookie

使用Firefox可以很容易的观察现有的cookie的�?br>使用HTTPLook配合Firefox可以很容易的理解cookie的工作原理�?br>

IE也可以设�|�在接受cookie前询�?br>

�q�是一个询问接受cookie的对话框�?br>
四、理解session机制
session机制是一�U�服务器端的机制�Q�服务器使用一�U�类��g��散列表的�l�构�Q�也可能��是使用散列表）来保存信息�?br>
�? �E�序需要�ؓ某个客户端的��h��创徏一个session的时候，服务器首先检查这个客��L��的请求里是否已包含了一个session标识 - �U�Cؓ session id�Q�如果已包含一个session id则说明以前已�l��ؓ此客��L��创徏�q�session�Q�服务器��按照session id把这�? session��索出来��用（如果��索不刎ͼ�可能会新��Z��个）�Q�如果客��L��h��不包含session id�Q�则为此客户端创��Z��个session�q�且�? 成一个与此session相关联的session id�Q�session id的值应该是一个既不会重复�Q�又不容易被扑ֈ�规律以仿造的字符�Ԍ��q�个 session id��被在本�ơ响应中�q�回�l�客��L��保存�?br>
保存�q�个session id的方式可以采用cookie�Q�这样在交互�q�程�? ��览器可以自动的按照规则把这个标识发挥给服务器。一般这个cookie的名字都是类��g��SEEESIONID�Q�而。比如weblogic对于web应用 �E�序生成的cookie�Q�JSESSIONID= ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764�Q�它的名字就�? JSESSIONID�?br>
�׃��cookie可以被�h为的��止�Q�必��L��其他机制以便在cookie被禁止时仍然能够把session id 传递回服务器。经常被使用的一�U�技术叫做URL重写�Q�就是把session id直接附加在URL路径的后面，附加方式也有两种�Q�一�U�是作�ؓURL路径�? 附加信息�Q�表现�Ş式�ؓhttp://...../xxx;jsessionid= ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764
另一�U�是作�ؓ查询字符串附加在URL后面�Q�表现�Ş式�ؓhttp://...../xxx?jsessionid=ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764
�q�两�U�方式对于用��h��说是没有区别的，只是服务器在解析的时候处理的方式不同�Q�采用第一�U�方式也有利于把session id的信息和正常�E�序参数区分开来�?br>��Z��在整个交互过�E�中始终保持状态，��必��d��每个客户端可能请求的路径后面都包含这个session id�?br>
另一�U�技术叫做表单隐藏字�D�c��就是服务器会自动修改表单，��d��一个隐藏字�D�，以便在表单提交时能够把session id传递回服务器。比如下面的表单

在被传递给客户端之前将被改写成

       value="ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764">

�q�种技术现在已较少应用�Q�笔者接触过的很古老的iPlanet6(SunONE应用服务器的前��n)��׃��用了�q�种技术�?br>实际上这�U�技术可以简单的用对action应用URL重写来代�ѝ�?br>
�? 谈论session机制的时候，常常听到�q�样一�U�误解“只要关闭浏览器�Q�session��消�׃��”。其实可以想象一下会员卡的例子，除非��֮��d��对店家提出销卡，否则店家�l�对不会��L��删除��֮�的资料。对session来说也是一��L��Q�除非程序通知服务器删除一个session�Q�否则服务器会一直保留，�E�序一般都是在用户做log off的时候发个指令去删除session。然而浏览器从来不会��d��在关闭之前通知服务器它��要关闭�Q�因此服务器�Ҏ��不会有机�? 知道��览器已�l�关闭，之所以会有这�U�错觉，是大部分session机制都��用会话cookie来保存session id�Q�而关闭浏览器后这�? session id��消�׃��Q�再�ơ连接服务器时也��无法找到原来的session。如果服务器讄��的cookie被保存到��盘上，或者��用某�U�手�D�|�� 写浏览器发出的HTTP��h��_��把原来的session id发送给服务器，则再�ơ打开��览器仍然能够找到原来的session�?br>
恰恰是由于关闭浏览器不会��D��session被删除，�q��服务器�ؓseesion讄��了一个失效时��_��当距��d��L��上一�ơ��用session的时间超�q�这个失效时间时�Q�服务器��可以认为客��L��已经停止了活动，才会把session删除以节省存储空间�?br>
五、理解javax.servlet.http.HttpSession
HttpSession是Java�q�_��对session机制的实现规范，因�ؓ它仅仅是个接口，具体到每个web应用服务器的提供商，除了对规范支持之外，仍然会有一些规范里没有规定的细微差异。这里我们以BEA的Weblogic Server8.1作�ؓ例子来演�C��?br>
�? 先，Weblogic Server提供了一�p�d��的参数来控制它的HttpSession的实玎ͼ�包括使用cookie的开关选项�Q��用URL重写的开�? 选项�Q�session持久化的讄��Q�session失效旉��的设�|�，以及针对cookie的各�U�设�|�，比如讄��cookie的名字、�\径、域�Q? cookie的生存时间等�?br>
一般情况下�Q�session都是存储在内存里�Q�当服务器进�E�被停止或者重启的时候，内存里的session 也会被清�I�，如果讄��了session的持久化�Ҏ��，服务器就会把session保存到硬盘上�Q�当服务器进�E�重新启动或�q�些信息��能够被再次使用�Q? Weblogic Server支持的持久性方式包括文件、数据库、客��L��cookie保存和复制�?br>
复制严格说来不算持久化保存，因�ؓsession实际上还是保存在内存里，不过同样的信息被复制到各个cluster内的服务器进�E�中�Q�这样即使某个服务器�q�程停止工作也仍然可以从其他�q�程中取得session�?br>
cookie生存旉��的设�|�则会媄响浏览器生成的cookie是否是一个会话cookie。默认是使用会话cookie。有兴趣的可以用它来试验我们在第四节里提到的那个误解�?br>
cookie的�\径对于web应用�E�序来说是一个非帔R��要的选项�Q�Weblogic Server对这个选项的默认处理方式��得它与其他服务器有明昄��区别。后面我们会专题讨论�?br>
关于session的设�|�参考[5] http://e-docs.bea.com/wls/docs70/webapp/weblogic_xml.html#1036869

六、HttpSession常见问题
�Q�在本小节中session的含义�ؓ⑤和⑥的混合�Q?br>

1、session在何时被创徏
一个常见的误解是以为session在有客户端访问时��p��创徏�Q�然而事实是直到某server端程序调�? HttpServletRequest.getSession(true)�q�样的语句时才被创徏�Q�注意如果JSP没有昄��的��?nbsp;<% @page session="false"%> 关闭session�Q�则JSP文�g在编译成Servlet时将会自动加上这样一条语�? HttpSession session = HttpServletRequest.getSession(true);�q�也是JSP中隐含的 session对象的来历�?br>
�׃��session会消耗内存资源，因此�Q�如果不打算使用session�Q�应该在所有的JSP中关闭它�?br>
2、session何时被删�?br>�l�合前面的讨论，session在下列情况下被删除a.�E�序调用HttpSession.invalidate();或b.距离上一�ơ收到客��L��发送的session id旉��间隔��过了session的超时设�|?或c.服务器进�E�被停止�Q�非持久session�Q?br>
3、如何做到在��览器关闭时删除session
严格的讲�Q�做不到�q�一炏V��可以做一点努力的办法是在所有的客户端页面里使用javascript代码window.oncolose来监视浏览器的关闭动作，然后向服务器发送一个请求来删除session。但是对于浏览器崩溃或者强行杀死进�E�这些非常规手段仍然无能为力�?br>
4、有个HttpSessionListener是怎么回事
�? 可以创徏�q�样的listener�ȝ��控session的创建和销毁事�Ӟ��使得在发生这��L��事�g时你可以做一些相应的工作。注意是session的创建和销毁动作触发listener�Q�而不是相反。类似的与HttpSession有关的listener�q�有 HttpSessionBindingListener�Q�HttpSessionActivationListener�? HttpSessionAttributeListener�?br>
5、存攑֜�session中的对象必须是可序列化的�?br>不是必需的。要求对象可序列化只是�ؓ了session能够在集��中被复制或者能够持久保存或者在必要时server能够暂时把session交换出内存。在 Weblogic Server的session中放�|�一个不可序列化的对象在控制��C��会收��C��个警告。我所用过的某个iPlanet版本如果 session中有不可序列化的对象�Q�在session销毁时会有一个Exception�Q�很奇怪�?br>
6、如何才能正��的应付客户端禁止cookie的可能�?br>�Ҏ��有的URL使用URL重写�Q�包括超链接�Q�form的action�Q�和重定向的URL�Q�具体做法参见[6]
http://e-docs.bea.com/wls/docs70/webapp/sessions.html#100770

7、开两个��览器窗口访问应用程序会使用同一个session�q�是不同的session
参见�W�三��节对cookie的讨论，对session来说是只认id不认人，因此不同的浏览器�Q�不同的�H�口打开方式以及不同的cookie存储方式都会对这个问题的�{�案有媄响�?br>
8、如何防止用��h��开两个��览器窗口操作导致的session混�ؕ
�q? 个问题与防止表单多次提交是类似的�Q�可以通过讄��客户端的令牌来解冟뀂就是在服务器每�ơ生成一个不同的id�q�回�l�客��L��Q�同时保存在session里，�? ��L��提交表单时必��L��q�个id也返回服务器�Q�程序首先比较返回的id与保存在session里的值是否一��_��如果不一致则说明本次操作已经被提交过了。可以参看《J2EE核心模式》关于表�C�层模式的部分。需要注意的是对于��用javascript window.open打开的窗口，一般不讄��q�个id�Q? 或者��用单独的id�Q�以防主�H�口无法操作�Q�徏议不要再window.open打开的窗口里做修�Ҏ��作，�q�样��可以不用设�|��?br>
9、�ؓ什么在Weblogic Server中改变session的值后要重新调用一�ơsession.setValue
做这个动作主要是��Z��在集��环境中提示Weblogic Server session中的值发生了改变�Q�需要向其他服务器进�E�复制新的session倹{�?br>
10、�ؓ什么session不见�?br>�? 除session正常失效的因素之外，服务器本�w�的可能性应该是微乎其微的，虽然�W�者在iPlanet6SP1加若�q�补丁的Solaris版本上倒也遇到 �q�；��览器插件的可能性次之，�W�者也遇到�q?721插�g造成的问题；理论上防火墙或者代理服务器在cookie处理上也有可能会出现问题�?br>出现�q�一问题的大部分原因都是�E�序的错误，最常见的就是在一个应用程序中去访问另外一个应用程序。我们在下一节讨��个问题�?br>
七、跨应用�E�序的session�׃�n

�? 常有�q�样的情况，一个大��目被分割成若干��项目开发，��Z��能够互不�q�扰�Q�要求每个小��目作�ؓ一个单独的web应用�E�序开发，可是��C��最后突然发现某几个��? ��目之间需要共享一些信息，或者想使用session来实现SSO(single sign on)�Q�在session中保存login的用户信息，最�? 然的要求是应用程序间能够讉K��彼此的session�?br>
然而按照Servlet规范�Q�session的作用范围应该仅仅限于当前应用程�? 下，不同的应用程序之间是不能够互相访问对方的session的。各个应用服务器从实际效果上都遵守了�q�一规范�Q�但是实现的�l�节却可能各有不同，因此解决跨应用程序session�׃�n的方法也各不相同�?br>
首先来看一下Tomcat是如何实现web应用�E�序之间session的隔��ȝ��Q�从 Tomcat讄��的cookie路径来看�Q�它对不同的应用�E�序讄��的cookie路径是不同的�Q�这样不同的应用�E�序所用的session id是不�? 的，因此即��在同一个浏览器�H�口里访问不同的应用�E�序�Q�发送给服务器的session id也可以是不同的�?br>



�Ҏ��q�个�Ҏ��，我们可以推测Tomcat中session的内存结构大致如下�?br>

�W? 者以前用�q�的iPlanet也采用的是同��L��方式�Q�估计SunONE与iPlanet之间不会有太大的差别。对于这�U�方式的服务器，解决的思�\很简单，�? 际实行�v来也不难。要么让所有的应用�E�序�׃�n一个session id�Q�要么让应用�E�序能够获得其他应用�E�序的session id�?br>
iPlanet中有一�U�很��单的�Ҏ��来实现共享一个session id�Q�那��是把各个应用程序的cookie路径都设�?�Q�实际上应该�?NASApp�Q�对于应用程序来讲它的作用相当于根）�?br>
/NASApp

需要注意的是，操作�׃�n的session应该遵��@一些编�E�约定，比如在session attribute名字的前面加上应用程序的前缀�Q��? setAttribute("name", "neo")变成setAttribute("app1.name", "neo")�Q�以防止命名�I�间�? �H�，��D��互相覆盖�?br>

在Tomcat中则没有�q�么方便的选择。在Tomcat版本3上，我们�q�可以有一些手�D�|��׃�n session。对于版�?以上的Tomcat�Q�目前笔者尚未发现简单的办法。只能借助于第三方的力量，比如使用文�g、数据库、JMS或者客��L�� cookie�Q�URL参数或者隐藏字�D늭�手段�?br>
我们再看一下Weblogic Server是如何处理session的�?br>



�? 截屏画面上可以看到Weblogic Server�Ҏ��有的应用�E�序讄��的cookie的�\径都�?�Q�这是不是意味着在Weblogic Server�? 默认的就可以�׃�nsession了呢�Q�然而一个小实验卛_��证明即��不同的应用程序��用的是同一个session�Q�各个应用程序仍然只能访问自己所讄��的那些属性。这说明Weblogic Server中的session的内存结构可能如�?br>

对于�q�样一�U�结构，�? session机制本��n上来解决session�׃�n的问题应该是不可能的了。除了借助于第三方的力量，比如使用文�g、数据库、JMS或者客��L�� cookie�Q�URL参数或者隐藏字�D늭�手段�Q�还有一�U�较为方便的做法�Q�就是把一个应用程序的session攑ֈ�ServletContext中，�q�样另外一个应用程序就可以从ServletContext中取得前一个应用程序的引用。示例代码如下，

应用�E�序A
context.setAttribute("appA", session);

应用�E�序B
contextA = context.getContext("/appA");
HttpSession sessionA = (HttpSession)contextA.getAttribute("appA");

值得注意的是�q�种用法不可�U�L��Q�因为根据ServletContext的JavaDoc�Q�应用服务器可以处于安全的原因对于context.getContext("/appA");�q�回�I��|��以上做法在Weblogic Server 8.1中通过�?br>
�? 么Weblogic Server��Z��么要把所有的应用�E�序的cookie路径都设�?呢？原来是�ؓ了SSO�Q�凡是共享这个session的应用程序都�? 以共享认证的信息。一个简单的实验��可以证明这一点，修改首先��d��的那个应用程序的描述�W�weblogic.xml�Q�把cookie路径修改�? /appA 讉K��另外一个应用程序会重新要求��d��Q�即使是反过来，先访问cookie路径�?的应用程序，再访问修改过路径的这个，虽然不再提示��d��Q�但是登录的用户信息也会丢失。注意做�q�个实验时认证方式应该��用FORM�Q�因为浏览器和web服务器对basic认证方式有其他的处理方式�Q�第二次��h��的认证不是通过 session来实现的。具体请参看[7] secion 14.8 Authorization�Q�你可以修改所附的�C�Z��E�序来做�q�些试验�?br>
八、�ȝ��
session机制本��n�q�不复杂�Q�然而其实现和配�|�上的灵�z�L��却使得具体情况复杂多变。这也要求我们不能把仅仅某一�ơ的�l�验或者某一个浏览器�Q�服务器的经验当作普遍适用的经验，而是始终需要具体情况具体分析�?br>�? 要：虽然session机制在web应用�E�序中被采用已经很长旉��了，但是仍然有很多�h不清楚session机制的本质，以至不能正确的应用这一技术。本文将详细讨论session的工作机制�ƈ且对在Java web application中应用session机制时常见的问题作出解答�?/span>

静夜�?/a> 2006-03-10 13:10 发表评论

J2EE 中的安全

Thu, 16 Feb 2006 03:03:00 GMT

J2EE 中的安全�W�一部分

现在��来��多的企业应用构建在j2ee�q�_��?�q�得益于j2ee��Z��业应用的开发提供了良好的框架和服务的支�?j2ee��Z��业应用提供了多方面的服务 (Security、Transaction、Naming�{?.本文��介�l�j2ee提供的安全服�?作者首先介�l�j2ee中的安全概念和j2ee的安�? 体系架构.然后�l�合具体的实例向读者展�C�如何在自己的程序中应用j2ee提供的安全特性�?br>

一.��?/span>

�? 在越来越多的企业应用构徏在j2ee�q�_��?�q�得益于j2ee��Z��业应用的开发提供了良好的框架和服务的支�?j2ee��Z��业应用提供了多方面的服务 (Security、Transaction、Naming�{?.本文��介�l�j2ee提供的安全服�?作者首先介�l�j2ee中的安全概念和j2ee的安�? 体系架构.然后�l�合具体的实例向读者展�C�如何在自己的程序中应用j2ee提供的安全特性。本文所介绍的内�Ҏ��Z��j2ee1.3版本的�?/font>

二．j2ee中的安全概念

��M��Q�Principal�Q�：�? 体（Principal�Q�是被在企业安全服务验证了的实体。主体（Principal�Q�用��M��名作为它的标识，通过与主体相关的验证数据�q�行验证。通常�? 况下��M��名就是用��L��登陆名，验证数据��是登陆的密码。J2EE规范中�ƈ没有限定J2EE 产品提供商��用怎样的认证方法，因此��M��名和验证数据的内容和格式依不同的认证协议而不同�?

安全�{�略域（Security Policy Domain�Q�：�? �U�安全域�Q�security domain�Q�或 realm�Q�它是一个逻辑范围或区域，在这一范围或区域中安全服务的管理员定义和实施通用的安全策略。它是从安全�{�略的角度划分的区域。比如可以将企业�? 用系�l�划分�ؓ企业员工、供应商、合作伙伴等不同的安全域�Q�对�q�些安全区域采用不同的安全策略�?

安全技术域�Q�Security Technology Domain�Q�：它是从安全技术的角度划分的区域，在一个安全技术域中��用同��L��安全机制来执行安全策略。一个安全技术域可以包括多个安全�{�略域�?

安全属性（Security Attributes�Q�：�? 个主体（Principal�Q�都有一�p�d��与之相关的安全属性。安全属性可用来讉K��被保护的资源�Q�检查用��L��w�䆾和完成其他一些安全相关的用途。J2EE�? 品提供商或具体的验证服务的实现来军_��怎样��安全属性与一个主体联�p��v来。J2EE规范�q�没有限定什么样的安全属性将与主体相联系�?

凭证�Q�Credential�Q�：凭证包含或引用�ؓJ2EE �pȝ��验证一个主体的验证信息�Q�安全属性）。如果成功的通过了验证，��M��获得一个包括安全属性的凭证。如果被允许的话�Q�一个主体也可能获取另一个主体的凭证。在�q�种情况下两个主体在同一安全域中��h��相同的安全属性�?/font>

三．j2ee的安全体�pȝ��?/span>

1�Q? ��Z��容器的安�?/span>

在j2ee 的环境中�Q�组件的安全是由他们各自的容器来负责的，�l��g的开发�h员几乎可以不用或者很��在�l��g中添加有兛_��全的代码。这�U�安全逻辑和业务逻辑相对独立的架构，使得企业�U�应用系�l�有更好的灵�z�L��和扩展性。J2ee规范要求j2ee 产品必须为应用程序开发者提供两�U��Ş式的��Z��容器的安全性－说明性的安全性和可编�E�的安全性�?/font>

a. 说明性的安全�?/b>

�? 明性的安全性通过安全�l�构描述的方式来代表应用�E�序的安全需求，安全�l�构一般包括安全角�Ԍ��讉K��控制和验证要求等。在j2ee�q�_��中部�|�描�q�符充当了说�? 的安全性的主要工具。部�|�描�q�符是组件开发者和应用�E�序部��v者或应用�E�序�l�装者之间的交流工具。应用程序的开发者用它来表示应用中的安全需求，应用�E�序�? �|�者或应用�E�序�l�装者将安全角色与部�|�环境中的用户和�l�映��v来�?/font>

在程序运行时容器从部�|�描�q�符中提取出相应的安全策略，然后容器�Ҏ��安全�{�略执行安全验证。说明的安全性不需要开发�h员编写�Q何安全相关的代码�Q�一切都是通过配置部��v描述�W�来完成的�?/font>

b. 可编�E�的安全�?/b>

�? �~�程的安全性在说明性的安全性的基础上，使安全敏感的应用可以通过调用被容器提供的API来对安全作出��x��。这在说明性的安全性不��以满��企业的安全模�? 的情冉|��非常有用的。J2ee在EJB EjbConext interface和servlet HttpServletRequest interface中各提供两个�Ҏ��Q?/font>

isCallerInRole (EJBContext) getCallerPrincipal (EJBContext) isUserInRole (HttpServletRequest) getUserPrincipal (HttpServletRequest)

�q�些�Ҏ��允许�l��g�Ҏ��调用者或�q�程用户的安全角色来作出商业判断。在文章的后面部分将有这些方法的详细介绍和例�E�，以便读者更好的理解可编�E�的安全性的用途�?/font>

2�Q�J2ee的验证模�?/span>

�w�䆾验证是用��h��l��g调用者向�pȝ��证明其��n份的�q�程。用户通过某种方式向系�l�提交验证信息（通常是用户名和密码或者是用户的数字证书）�Q�系�l�用用户提供的验证信息和�pȝ��的安全策略来验证用户的��n份�?/font>

图一初始验证�q�程

图一初始验证�q�程
图二验证URL

图三验证EJB�Ҏ��调用

用户的验�?/b>

用户的验证根据其客户端类型不同分��Z��U�：Web 客户端的验证和Application客户端的验证

a. Web 客户端的验证

Web 客户端通常通过http协议来请求web服务器端的资源，�q�些web资源通常包括html�|�页、jsp�Q�java server page�Q�文件、java servlet和其他一些二�q�制或多媒体文�g。在企业环境中，企业的某些资源往往要求只允许某些�h讉K��Q�有些资源甚��x��机密的或安全敏感的。因此对企业�? 各种web资源�q�行讉K��控制是十分必要的。�ؓ了满��企业中的不同安全��别和客户化的需求，j2ee提供了三�U�基于web客户端的验证方式�Q?/font>

HTTP基本验证�Q�HTTP Basic Authentication�Q?/b>
HTTP基本验证是HTTP协议所支持的验证机制。这�U�验证机制��用用��L��用户名和密码作�ؓ验证信息。Web客户端从用户获取用户名和密码�Q�然后传递他们给web服务器， web服务器在指定的区域（realm�Q�中验证用户。但需要注意的是，�q�种验证�Ҏ��是不够安全的。因��U�验证方法�ƈ不对用户密码�q�行加密�Q�而只是对密码 �q�行基本的base64的编码。而且目标web服务器对用户来说也是非验证过的。不能保证用戯��问到的web服务器就是用户希望访问的。可以采用一些安�? 措施来克服这个弱炏V��例如在传输层上应用SSL或者在�|�络层上使用IPSEC或VPN技术�?

��Z��表单的验证（Form-Based Authentication�Q?/b>
��Z��表单的验�? 使系�l�开发者可以自定义用户的登陆页面和报错��面。这�U�验证方法与基本HTTP的验证方法的唯一区别��在于它可以�Ҏ��用户的要求制定登陆和出错��面。基�? 表单的验证方法同样具有与基本HTTP验证�c�M��的不安全的弱炏V��用户在表单中填写用户名和密码，而后密码以明文�Ş式在�|��\中传递，如果在网路的某一节点��? 此验证请求截��P��在经�q�反�~�码很容易就可以获取用户的密码。因此在使用基本HTTP的验证方式和��Z��表单的验证方法时�Q�一定确定这两种方式的弱点对你的�? 用是可接受的�?

��Z��客户端证书的验证�Q�Client-Certificate Authentication�Q?/b>
��Z��客户端证书的验证方式要比上面两种方式更安全。它通过HTTPS�Q�HTTP over SSL�Q�来保证验证的安全性。安全套接层�Q�Secure Sockets Layer�Q��ؓ验证�q�程提供了数据加密，服务器端认证�Q�信息真实性等斚w��的安全保证。在此验证方式中�Q�客��L��必须提供一个公钥证书，你可以把�q�个公钥证书看作是你的数字护照。公钥证书也�U�数字证书，它是被称作证书授权机构（CA�Q�－一个被信�Q的组�l�颁发的。这个数字证书必��ȝ��合X509公钥体系�l�构 �Q�PKI�Q�的标准。如果你指定了这�U�验证方式，Web服务器将使用客户端提供的数字证书来验证用��L��w�䆾�?

b. 应用�E�序客户端的验证�Q�Application Client User Authentication�Q?/b>
java客户端程序是执行在用��h��地java虚拟��Z��的java�E�序�Q�它拥有main�Ҏ��Q�通常��q��户可通过java.exe或javaw.exe直接�? 动执行。J2ee应用�E�序客户端与java客户端程序相��|��也拥有main�Ҏ��Q�但他们在运行时存在一定的差别。J2ee应用�E�序客户端和其他j2ee�l? 件一栯��行在自己的容器中。用户通过容器来执行J2ee应用�E�序客户端。这样J2ee应用�E�序客户端容器就有机会在J2ee应用�E�序客户端被执行之前完成用户�w�䆾的验证。J2ee提供了一�U�可自定义的方式来获取用��L��验证信息。可以选择使用容器提供的缺省的方式来获取j2ee应用客户端程序的用户的验证信息，也可以选择自定义的方式来获取用��L��验证信息。当选择自定义方式时�Q�应用程序开发者必��L��供一个实��C�� javax.security.auth.callback.CallbackHandler interfce的类,�q�且在j2ee部��v描述文�gapplication-client.xml中的元素callback-handler中加入这个类的类名。这��P��当系�l�需要验证用戯��n份时�Q�客��L��E�序的容器将部��v描述文�g中的CallbackHandler实现�cȝ��c�d��传递给�pȝ��的登陆模块（验证�? 块）�Q�登陆模块再实例化这个实现类。这个类的实例负责收集用户验证信息，�q�将攉��到的用户验证信息传递给登陆模块�Q�登陆模块用�q�些验证信息来验证用戗��这个实现类可以是具有用��L��面的�Q�或是通过要求用户输入来收集用户验证信息，也可以是通过命��o行来获取用户验证信息�Q�还可能是通过��d��本地或在�U�的用户证书库来获取用户的电子证书。选取哪种方式取决于验证信息的存储方式�?

有些j2ee产品厂商把容器的验证服务和本地系�l�的验证服务或其他应用系�l��品的验证服务集成��h��Q�从而在一定的应用�pȝ��的范围内实现单点登陆的能力�?/font>

单点登陆 �Q�Single Sign-On�Q?/b>
单点��M��用户的视角是指用户在特定的逻辑安全区域中，只需�q�行一�ơ登陆即可在讉K��在此逻辑安全区域中不同应用系�l�中的被授权的资源，只有��越了安全区域边 �~�时才要求再�ơ登陆。这�U�能力对多种IT应用�pȝ��共存的企业显得尤为有价倹{��随着企业信息化徏讄��度的不断提高�Q�企业中的应用系�l�也��来��多。在传统的应用系�l�中�Q�各�pȝ��各自�l�护自己的安全策略，�q�些安全�{�略典型的包括组�l�结构定义，安全角色定义�Q�用戯��n份验证，资源讉K��控制�{�。由于各�pȝ��互相独立�Q�一�? 用户在��用每一应用�pȝ��之前�Q�都必须按照相应的系�l��n份进行系�l�登陆。这对于用户来说必须��C��每一个系�l�的用户名和密码�Q�给用户带来了不��的�ȝ��。针对于 �q�种情况�Q�单点登陆的概念随之产生�Q��ƈ不断的应用到企业的应用系�l�的集成当中。J2ee1.3也在规范中徏议j2ee产品应�ؓ应用�pȝ��提供单点登陆的能力。但j2ee1.3规范�q�没有规定j2ee产品应遵循何�U�标准，因此不同的厂商的产品在单点登陆上的实现和应用各不相同。有的j2ee产品实现了在本�� 品环境范围内的单点登陆，有的实现了特定系�l�环境之间的单点登陆�Q�如IBM WebSphere Application 4.0 AE 实现了WebSphere Application Server与WebSphere Application Server、WebSphere Application Server与Lotus Domino server、WebSphere Application Server与Lotus Domino server之间的单点登陆能力）。在j2ee中单点登陆是通过传递凭证（Credential�Q�来实现�?当用戯��行系�l�登陆时�Q�客��L��容器�Q�包�? WEB客户端和应用�E�序客户端）�Ҏ��用户的凭证（Credential�Q��ؓ用户建立一个安全上下文�Q�security Context�Q�，安全上下文包含用于验证用��L��安全信息�Q�系�l�用�q�个安全上下文和安全�{�略来判断用��h��否有讉K��pȝ��资源的权限。遗憄��时j2ee规范�q? 没有规定安全上下文的格式�Q�因此不能在不同厂商的j2ee产品之间传递安全上下文。到目前为止�q�很��有在不同的j2ee产品间互相共享安全上下文�Q�因此在不同j2ee产品间实现单点登陆只能通过�W�三方��品（如LDAP server�{�）集成的方式�?

惰性验证（Lazy Authentication�Q?/b>
�w�䆾验是有代��L��。例如，一�ơ验证过�E�也许包括多�ơ通过�|�络信息交换。因此惰性验证就非常有用了。惰性验证��当用戯��问受保护的资源时才执行验证过�E�，而不是在用户�W�一�ơ发赯��求时��执行验证过�E��?

3. J2ee的授权模�?/span>

代码授权�Q�Code Authorization�Q?/b>
j2ee产品通过java 2 安全模型来限制特定J2SE的类和方法的执行�Q�以保护和确保操作系�l�的安全。详�l�描�q�请参阅《J2SE规范文��》�?

调用者授权（Caller Authorization�Q?/b>
安全角色�Q�安全角色是��h��相同安全属性的逻辑�l�。它由应用程序的装配者（Application Assembler�Q�或应用�E�序的部�|�者（Application Deployer�Q�分配的�?

安全角色引用�Q?/b>安全角色引用是应用程序提供者（Application Provider�Q�用来引用安全角色的标识。应用程序提供者（Application Provider�Q�可以用安全角色引用来�ؓ安全角色分配资源讉K��的权限。也在安全相关的�E�序代码中引用安全角艌Ӏ?

用户和组�Q?/b>用户和组是在实际�pȝ��环境下的用户和用��L��集合。它们对应者现实当中的人和��体�?

讉K��控制�Q?/b>讉K��控制可以��保安全角色只能讉K��已授予它安全权限的授权对象。授权对象包括EJB的远�E�方法、web资源�Q�html�|�页�Q�jsp/servlet和多媒体或二�q�制文�g�Q�等。在j2ee中访问控制在应用�E�序描述文�g中与安全角色兌��h��?

映射�Q?/b>通过映射应用�E�序的系�l�管理员��实际系�l�环境中的用户和角色与安全角色联�p��v来，从而是实际的用��h��有对企业资源讉K��的适当授权�?

被传播的调用者��n份标识（Propagated Caller Identities�Q?/b>
在j2ee 1.3中可以选择用传播调用者标识作为web�l��g和ejb�l��g调用者的标识来进行验证。在�q�种方式下，整个ejb�l��g的调用链中interface EJBContext的方法getCallerPrincipal�q�回相同的主体名�Q�principal name�Q�。如果调用链中的�W�一个ejb是被jsp/servlet调用的，interface EJBContext的方法getCallerPrincipal�q�回的主体名�Q�principal name�Q�应与interface HttpServletRequest的方法getUserPrincipal的返回值相同。要注意的是在调用链中传递的是用��L��标识�Q�而不是凭�? �Q�credentials�Q�，�q�一炚w��帔R��要，因�ؓ在调用链的每个节点上用户可能使用不同的安全属性�?

Run As Identities
J2ee 1.3中提供了允许�l��g开发者和部��v�q�来指定�l��g以什么��n份运行的�Ҏ��。符合j2ee1.3规范的��品会提供��组件设�|�成Run As Identities方式的方法。如果Run As Identities方式被选中�Q�在�q�行中被讄��为Run As Identities的组件的调用者不再是调用链中�W�一个节点的调用者了�Q�而是在部�|�时被指定的调用者。而调用链中随后节点的调用者也变�ؓ与被讄��? Run As Identities的组件的调用者相同�?

囑֛� 用户标识传�?/b>

�q�一部分介绍了j2ee的安全概念，意在使读者能够对j2ee在安全方面有一定的了解�Q�后面还会有应用�q�些概念的具体例子�?/font>

J2EE 中的安全�W�二部分--j2ee安全应用

在本�p�d��文章的第一部分作者介�l�了j2ee的安全概��c��验证模型和授权模型�Q�这部分更偏重于理论的介�l�。本文的�W�二部分作者将通过具体的例子向读者展�C�如何在开发中应用j2ee提供的安全服务。本部分的重点在于应用与实践�?/font>

�? 释：本文的目的是介绍如何应用j2ee提供的安全服务，而�ƈ不针对特定的产品。因此作者选择sun�? j2ee参考实玎ͼ�j2sdkee�Q�作为演�C��^台。因为j2sdkee是完全遵照j2ee规范开发的�Q�虽然它不像IBM WebSphere 、BEA WebLogic�{�j2ee产品那么产品化和商业化，但它�l�对是学习j2ee的理惛_�^台。你可以通过 http://java.sun.com/j2ee/获取sun 的j2ee参考实现的最新版本。本文选择的是Sun的j2sdkee1.3.1�?

本文��包括以下内容：

一个采用HTTP基本的验证的例子
一个采用基于表单的验证的例�?/font>
一个ejb�Ҏ��授权的例�?/font>
一个可�~�程安全性和传播调用者��n份标识的例子

采用HTTP基本的验证的例子

http基本验证是Web客户端验证的一�U�，它和�pȝ��的授权机制一��h��制受保护资源的访问�?/font>

步骤�Q?/font>

1�Q?创徏一个j2ee应用

在应用程序部�|�工��L��File菜单选中New子菜单中的Application菜单��（见图1�Q�。会弹出新徏应用�E�序对话框。填写应用程序文件名和应用程序显�C�名�Q�见�?�Q��?/font>

�?

�?

2�Q?创徏一个web�l��g

�? 应用�E�序部��v工具的File菜单选中New子菜单中的Web Compent菜单��?会弹出新建web�l��g向导对话�?见图3)。选择Create New WAR File in Application,在下拉框中选择步骤1创徏的应用test�Q�在WAR Display Name框中填写WebAppTest.点击Content栏中的Eidt按钮选择此Web�l��g包含的文件。在�q�个例子中只有一个webtest.jsp文�g。然后点击Next�Q�进入下一个对话框�Q�见�?�Q�。由于我�? 的web�l��g是一个jsp文�g�Q�因此在�l��g�c�d��中选择JSP。然后一直按Next直到�l�束。此时我们已�l�创��Z��一个只包含一个jsp文�g的web�l��g。接下来是配�|�安全属性的步骤�?/font>

�?

�?

3�Q?配置安全属�?/span>

3�Q?创徏安全角色

在部�|�工��L��左导航栏中点中步�?创徏的web�l��gWebAppTest�Q�在双��的属性页中选择Roles属性页�Q�见�?�Q�。点击Add按钮�Q�在Name栏中填写安全角色名user,Description栏填写描�q�C��息。安全角色代表具有相同安全权限用��L��集合�?/font>

�?

3.2 配置安全�{�略

创徏了安全角色后�Q�应该对安全角色配置相应的安全策略。点击Security属性页�Q�见�?�Q��?/font>

�?

�? 先选择你想用的验证方式�Q�从User Authentication Method下拉框中选择Basic。这意味着你将通过基本的HTTP验证方式验证用户。下面我们进行web资源的授权。点击Security Constraint栏中的Add按钮��d��一条安全约束，�U�束名可以自定。接下来对创建好的约束添加Web资源。首先在Web Resource Collections中添加资源集合，然后选取资源集合包含的资源。此例中WRCollection资源集合中包含webtest.jsp文�g�Q�也可以包含各种属于�q�个web�l��g的文件。接下来选择哪些web操作要收到约束，j2sdkee1.3.1中只包含两种操作�Q�GET和POST�Q�，不同的��品支持的操作有所不同�Q�在开发是应结合具体��品提供的操作来选取。现在应该指定安全角色了�Q�点击Authorized Roles栏中的Edit按钮�Q�会弹出安全角色列表对话框，从中选取已定义的安全角色。本例中选择user。至此安全策略已�l�配�|�完毕，下面的步骤是��实际环境中的用户和用户�l�映��与安全角色�q�行映射�?/font>

4�Q?映射

�? 左导航栏中选中应用�E�序test在右辚w��择Security属性页�Q�见�?�Q�，在Role Name Reference栏中选中user�Q�点��L��下方的Add按钮�Q�会弹出用户和用��L��列表对话框，从中选择要映��成安全角色user的用��h��l�。此例中我们 ��用户j2ee映射为安全角色user。这��L��户J2ee��具有�ؓ安全角色user分配的访问授权�?/font>

�?

5�Q?部��v应用

选中Web Context属性页�Q�在Context Root文本框中填写test,右键点击左导航栏的应用test�Q�在弹出菜单中选择deploy完成应用�E�序的发布。至此我们完成了�W�一个例子的全部步骤�?/font>

部��v描述文�g

�q�个例子使用了说明性的安全服务�Q�因此我们不需要编写�Q何的安全相关的代码，而是完全通过配置�l��g的部�|�描�q�文件来实现的。下面是�q�个web�l��g的部�|�描�q�文件�?/font>

'-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN' 'http://java.sun.com/dtd/web-app_2_3.dtd'> WebAppTest //Web�l��g名称 webtest webtest /webtest.jsp //�l��g中包含的jsp文�g 30 //安全�U�束部分 //受约束的web资源�?br> WRCollection //资源集名 /webtest.jsp //资源的url表达�?br> GET //受约束的资源操作�Ҏ�� POST //对安全角色授�?br> user //安全角色�?br> NONE //验证方式讄�� BASIC //使用基本的HTTP验证方式 //定义安全角色 this is a user user

从部�|�描�q�文件可以知道这�? 一个名为WebAppTest的web�l��g�Q�包含一个名为webtest.jsp的文�Ӟ��只有被赋予user安全角色的用��h��用户�l�才有权�? webtest.jsp�q�行GET或POST操作。这里�ƈ没有包含安全角色对实际用��L��映射�Q�j2ee部��v描述文�g的DTD中�ƈ没有定义用于安全角色和实际用��L��映射的元素，因�ؓ实际环境中有多种不同的用��L��l�（如关�p�L��据库�Q�系�l�文件�Ş式和LDAP�pȝ��{�）。因此安全角色和实际用户的映��方式是�? j2ee产品厂商制定的�?/font>

��试�q�行�l�果

�? 开ie�Q�在��D��栏输入http://localhost:8000/test/webtest.jsp回�R�Q�会弹出验证对话框，要求用户提供用户名和密码 �Q�见�?�Q�，输入用户名j2ee和密码j2ee。通过用户验证后执行jsp文�g�Q�webtest.jsp打印�?hello!"�Q�见�?�Q��?/font>

�?

�?

注释�Q�在�W�一个例子中已经详细的描�q�C��各个步骤�Q�在接下来的例子中会有一些与�W�一个例子相同的操作�Q�因此对下面的例子只描述与第一个例子不同的步骤�?/font>

��Z��表单的验证的例子

��Z��表单的验证与基本的HTTP验证的唯一区别是基本的HTTP验证用浏览器提供的验证信息对话框攉��用户验证信息�Q�而基于表单的验证允许自定义登陆页面来攉��用户验证信息。本例子与第一个例子的步骤基本相同�Q�不同的地方在于此例子要提供登陆��面和出错页面�?/font>

登陆��面login.html

此文件有几个地方值得注意�Q?/font>

Action的值必��Mؓ"j_security_check"
获取用户名的域名必须�?j_username"
获取用户密码的域必须�? j_password"

出错��面 error.html

用户名或密码不正��！

出错��面只是��单的昄��出错信息�?/font>

配置��Z��表单的验�?/b>

首先��login.html和error.html加入到WebAppTest�l��g中�?
然后见图10选择Security属性页�Q�在User Authentication Method下拉框中选择Form Based选项。点击Settings…弹出用户验证设�|�对话框�Q�在Login Page下拉框选login.html,在Error Page下拉框选error.html�?

�?0

重新部��v应用�Q�再一�ơ访问http://localhost:8000/test/webtest.jsp 会出现login��面�Q�见�?1�Q�，如果用户名或密码错误�Q�error.html��显�C�给用户�?/font>

�?1

部��v描述文�g

'-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN' 'http://java.sun.com/dtd/web-app_2_3.dtd'> WebAppTest . . . NONE FORM //使用��Z��表单的验证方�?br> Default //使用�~�省的安全域 /login.html //定义登陆��面 /error.html //定义出错��面 this is a user user

回页�?/b>

ejb�Ҏ��授权的例�?/span>

从j2ee1.3 开始便提供了对ejb的方法进行授权的安全服务�Q�这�U�授权服务由ejb容器实现。当调用者调用ejb的方法时�Q�ejb容器用调用者的�w�䆾来查找授予此调用者的讉K��权限条目�Q�如果调用者调用的�Ҏ��属于授权条目�Q�那么ejb容器调用�Ҏ��。否则，ejb容器拒绝调用此方法，�q�向调用者返回拒�l�访问异常。可以对�q? �E�方法和home接口�Ҏ��q�行授权。本例中我们��对一个远�E�方法和一个home接口�Ҏ��q�行授权�?/font>

首先创徏一个session bean CountEjb �q�程接口 Count.java import javax.ejb.*; import java.rmi.RemoteException; public interface Count extends EJBObject { /** * �q�程�Ҏ��count */ public int count() throws RemoteException; } Home接口 CountHome.java import javax.ejb.*; import java.rmi.RemoteException; /** * This is the home interface for CountBean. * One create() method is in this Home Interface, which * corresponds to the ejbCreate() method in the CountBean file. */ public interface CountHome extends EJBHome { /* * This method creates the EJB Object. * * @param val Value to initialize counter to * * @return The newly created EJB Object. */ Count create(int val) throws RemoteException, CreateException; } 实现�c?CountBean.java import javax.ejb.*; import java.security.Principal; /** public class CountBean implements SessionBean { // The current counter is our conversational state. public int val; private SessionContext sessionCtx; // // �q�程商业�Ҏ��实现 public int count() { System.out.println("count()"); return ++val; } // // home接口Create�Ҏ��的实�?br> // public void ejbCreate(int val) throws CreateException { this.val = val; System.out.println("ejbCreate()"); } public void ejbRemove() { System.out.println("ejbRemove()"); } public void ejbActivate() { System.out.println("ejbActivate()"); } public void ejbPassivate() { System.out.println("ejbPassivate()"); } public void setSessionContext(SessionContext ctx) { sessionCtx=ctx; } } 客户端程�?CountClient.java import javax.ejb.*; import javax.naming.*; import java.util.Properties; /** * This class is a simple example of client code. */ public class CountClient { public static void main(String[] args) { try { InitialContext ctx = new InitialContext(); CountHome home = (CountHome) javax.rmi.PortableRemoteObject.narrow( ctx.lookup("java:comp/env/CountHome"), CountHome.class); int countVal = 0; Count count=null; /* 创徏�q�执行远�E�方�? */ System.out.println("Instantiating beans..."); count = home.create(countVal); countVal = count.count(); System.out.println(countVal); /* remove Count对象 */ count.remove(); } catch (Exception e) { System.out.println(e.getMessage()); e.printStackTrace(); } } }

�q�个ejb包括一个远�E�商业方法count()�Q�我们将��此�Ҏ��授权�l�某个安全角艌Ӏ�此外还��home接口的Create()�Ҏ��授权�l�安全角艌Ӏ?/font>

步骤1

�~�译以上源程序�ƈ用j2sdkee1.3.1的组装发布工��P��deploytool.bat�Q�进行组装（如图12�Q��?/font>

�?2

步骤2�Q�配�|�安全角�?/b>

在对�Ҏ��q�行授权前，必须创徏��被授权的安全角艌Ӏ�创建安全角色的步骤前边已经介绍�q�了�Q�此处不再重复。本例中我们创徏名�ؓadmin的安全角艌Ӏ?/font>

步骤3�Q�方法授�?/b>

�Ҏ��授权的过�E�是��定那些安全角色可以讉K��特定�Ҏ��的过�E�。方法授权一般是应用�E�序�l�装或应用程序部�|�者的责�Q。他们根据企业特定的需求创��Z��同的安全角色�Q��ƈ授予�q�些安全角色特定的访问权限�?/font>

�? 鼠标选中CountBean�Q�在右端的窗口选择Security属性页�Q�如�?3�Q�，在Security Identity选项中选择Use Caller ID,�q�意味着ejb容器��用�Ҏ��调用者的�w�䆾来验证方法调用权限�? Run As Specified Role选项��在"传播调用者��n份标识的例子"�q�行介绍。由于在前面创徏了admin安全角色�Q�因此你可以看到Method Permissions栏中出现admin列。首先对�q�程�Ҏ��count()�q�行授权。选择Remote选项�Q��ƈ在count()�Ҏ��? Availability列中选择Sel Roles�Q�然后选中count()�Ҏ��的admin列。到此�ؓ止我们已对远�E�方法count()�q�行了授权。接下来对home接口的create()�? 法进行授权。在Show栏中选择Remote Home�Q�剩下的步骤与count()�Ҏ��授权相同。我们已�l�将count()�Ҏ��和create()�Ҏ��授权�l�了admin安全角色。但安全角色�q�是一个逻辑的集合，�q�不代表具体的用��h��用户�l�，因此�l�下来我们要做的��是��安全角色与实际的用��h��v来�?/font>

步骤4�Q�角色映��?/b>

首先我们需要在我们的j2ee环境中创��Z��个用��P��用户起名为Tony�Q�密码�ؓ1�?/font>

�?3

�q? 里我们��用用户名和密码的方式�q�行�w�䆾验证。我们在default Realm中创建此用户。可以��用命令行方式�Q?realmtool -add Tony 1 eng"。详�l�的使用�Ҏ��参见j2sdk1.3.1文档的工具部分。接下来映射安全角色到用戗��选中ejb应用CountEjb�Q�在双��H�口中选择 Security属性页�Q�如�?4�Q�，点击Edit Roles按钮�Q�选择安全角色admin。再点击Add按钮选择Tony用户。这样已�l�将安全角色admin和用户Tony映射��h��了�?/font>

步骤5�Q�部�|�应�?/b>

部��v应用到本地机�Q�右键点击ejb应用CountEjb�Q�选择弹出菜单的deploy��，按要求配�|�各��V�?/font>

步骤6�Q�创建客��L��

创徏客户端将客户端程序的�ȝ��和其他辅助类打包。创建端��客的过�E�比较简单，�q�里��׃��作描�q�C��?/font>

步骤7�Q�运行程�?/b>

现在可以�q�行客户端程序来验证�Ҏ��的授权了。通过命��orunclient.bat -client客户端jar包文件名 -name �ȝ��名来执行客户端程序。客��L��E�序的容器将昄��一个对话框来提�C�用戯��入用户名和密码（如图15�Q�，填写用户名和密码�Q�按OK�?/font>

�?5

若用户名或密码与授权的方法不�W�，则会抛出没有权限异常�Q�如�?6�Q��?/font>

�?6

回页�?/b>

Countejb的部�|�描�q�文件ejb.xml

'-//Sun Microsystems, Inc.//DTD Enterprise JavaBeans 2.0//EN' 'http://java.sun.com/dtd/ejb-jar_2_0.dtd'> count // CountBean属于session bean CountBean //ejb�l��g的显�C�名 CountBean //ejb�l��g�?br> CountHome //Home接口 Count //�q�程接口 CountBean //实现�c?br> Stateful // CountBean属于Stateful Bean Container //CountBean事务�c�d��为容器管理的 //安全标识 //CountBean使用调用者的�w�䆾标识 admin //定义安全角色admin //��方法count和remove授权�l�安全角色admin admin //�Ҏ��定义 CountBean Remote count CountBean Home remove java.lang.Object //不检查以下方法的授权 CountBean Remote getHandle . . . . CountBean Remote getEJBHome // CountBean的事务属�?br> CountBean Remote count Required

回页�?/b>

可编�E�安全性和传播调用者��n份标识的例子

此例�E�包括两个部分，分别演示可编�E�安全性和调用者��n份传播�?/font>

可编�E�安全性例�E?/span>

�? �~�程安全性可应用在web层和EJB层，分别是通过javax.servlet.http.HttpServletRequest接口�? isUserInRole ()、getUserPrincipal ()�Ҏ��和javax.ejb.EJBContext接口的isCallerInRole ()、getCallerPrincipal ()�Ҏ��来实现的�? public boolean isUserInRole(java.lang.String role)�Ҏ�� 此方法用来判断调用者是否属于某一特定的安全角�Ԍ��如果属于�q�回true�Q�否则返回false�? 参数role指定某一安全角色。通过此方法开发者可以在�E�序代码中加入自��q��安全逻辑判断�Q�从而增��Z��J2EE在安全方面的灉|��性�?/font>

public java.security.Principal getUserPrincipal()�Ҏ�� 调用此方法可以得��C��个java.security.Principal对象�Q�此对象包含了调用者的用户名，通过Principal.getName() �Ҏ��可以得到用户名。通过调用getUserPrincipal()�Ҏ��开发者可以得到调用者的用户名，然后对调用者的用户名进行特定的逻辑判断�?/font>

public java.security.Principal getCallerPrincipal()�Ҏ�� 和public boolean isCallerInRole(java.lang.String roleName)�Ҏ��的作用和�Ҏ��同上�?/font>

下面我们通过例程来演�C��些方法的用法
�E�序清单�Q?
webtest.jsp

<%@page contentType="text/html"%> JSP Page <%-- --%> <%-- --%> Hello! the caller is <%=request.getUserPrincipal().getName()%> <%--得到调用者的用户�?-�Q?gt; <% if (request.isUserInRole("admin")){%> <%--判断调用者是否属�?admin"安全角色--%> the caller is admin Role; <%} %> web.xml '-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN' 'http://java.sun.com/dtd/web-app_2_3.dtd'> WebApp webtest webtest /webtest.jsp adminref admin guestref guest 30 webtest.jsp WRCollection /webtest.jsp GET POST admin guest NONE BASIC admin guest

从web.xml文�g的内容可以看出，只有安全角色�?admin"�?guest"的用��h��有权对webtest.jsp文�g�q�行POST和GET操作�?/font>

�q�行�l�果�Q?/b>

�? ��Z��个web应用�Q�将webtest.jsp作�ؓ一个web�l��g�Q��ƈ按照web.xml的内定w��|�web应用�Q�在�q�行环境中将用户j2ee分配�? admin安全角色�Q�将用户Tony分配为guest角色。发布web应用到本地j2ee Server上。用ie讉K��webtest.jsp 如图17用用户j2ee的��n份进行验证，用户j2ee属于admin安全角色。显�C�结果见�?8

�?7

�?8

如果用用户Tony�q�行验证�Q�结果见�?9

�?9

ejb中应用可�~�程的安全性与在web中的�Ҏ��怼��Q�本文不再进行介�l?/font>

回页�?/b>

传播调用者��n份标识例�E?/span>

本例�E�将演示调用者��n份标识如何在调用链中传递的�Q��ƈ且介�l�如何应�?Run As"来实现在调用链中更改调用者的�w�䆾。本例将用一个web�l��g�Q�一个jsp文�g�Q�和两个ejb�l��g来�Ş成一个调用链�?
�E�序清单�Q?
webtest.jsp

<%@page contentType="text/html"%> <%@page import="andy.*"%> <%@page import="javax.naming.*"%> JSP Page <%-- --%> <%-- --%> Hello! the caller is <%=request.getUserPrincipal().getName()%> <% if (request.isUserInRole("admin")){%> the caller is admin Role; <%} %> <% try { Context ctx = new InitialContext(); andy.CountHome home = (andy.CountHome)javax.rmi.PortableRemoteObject.narrow( ctx.lookup("java:comp/env/CountHome"), andy.CountHome.class); andy.Count count = home.create(1); count.count(); }catch (Exception e) { e.printStackTrace(); } %>

CountBean.java

package andy; import javax.ejb.*; import javax.naming.*; public class CountBean implements SessionBean { public int val; private SessionContext EjbCxt = null; public int count() { int temp = 0; System.out.println("CountBean.count()"); //打印调用者名 System.out.println("the caller is "+EjbCxt.getCallerPrincipal().getName()); //判断调用者的安全角色 if(EjbCxt.isCallerInRole("adminref")) // adminref为安全角色admin的引用名 { System.out.println("the caller is admin Role"); } if(EjbCxt.isCallerInRole("guestref")) // guestref为安全角色guest的引用名 { System.out.println("the caller is guest Role"); } if(EjbCxt.isCallerInRole("userref")) // userref为安全角色user的引用名 { System.out.println("the caller is user Role"); } //调用另一个ejb的远�E�方�?br> try { Context ctx = new InitialContext(); CountHome1 home = (CountHome1)javax.rmi.PortableRemoteObject.narrow( ctx.lookup("java:comp/env/CountHome1"), CountHome1.class); Count1 count = home.create(1); temp = count.count(); }catch (Exception e) { e.printStackTrace(); } return ++temp; } public void ejbCreate(int val) throws CreateException { this.val = val; } public void ejbRemove() { } public void ejbActivate() { } public void ejbPassivate() { } public void setSessionContext(SessionContext ctx) { EjbCxt = ctx; //获取EjbContext对象 } } CountBean1.java package andy; import javax.ejb.*; public class CountBean1 implements SessionBean { public int val; private SessionContext EjbCxt = null; public int count() { System.out.println("CountBean1.count()"); System.out.println("the caller is "+EjbCxt.getCallerPrincipal().getName()); if(EjbCxt.isCallerInRole("adminref")) { System.out.println("the caller is admin Role"); } if(EjbCxt.isCallerInRole("guestref")) { System.out.println("the caller is guest Role"); } if(EjbCxt.isCallerInRole("userref")) { System.out.println("the caller is user Role"); } return ++val; } public void ejbCreate(int val) throws CreateException { this.val = val; } public void ejbRemove() { } public void ejbActivate() { } public void ejbPassivate() { } public void setSessionContext(SessionContext ctx) { EjbCxt = ctx; } }

以上的三个文件分别是一�? web�l��g和两个ejb�l��g的源代码,�q�三个组件构成了一个调用链.webtest.jsp�?首先通过HttpServletRequest.. getUserPrincipal ()�Ҏ��来得到调用webtest.jsp的用��L��Principal对象,在通过Principal.getName()�Ҏ��得到调用者的用户�? 然后通过HttpServletRequest..isUserInRole()�Ҏ��来判断调用这是否属于特定的安全角�?CountBean是一�? stateful SessoinBean,它拥有一个count()�q�程�Ҏ��,在这个远�E�方法中写了用于得到调用者用户名和判断调用这安全角色的代�?�q�包括调�? CountBean1对象的代�?用于展示调用者��n份标识是如何在调用链中传递和调用者的安全角色如何被改变的.CountBean1也是一�? stateful SessoinBean,它的代码内容与CountBean基本相同,只不�q�它不包含调用其他Bean的代�?

�? 在我们应该配�|�各�l��g的安全属性了.我们在组件webtest中创建安全角色admin,引用名�ؓadminref,在组件CountBean�? CountBean1中分别创建安全角色admin和user, 引用名分别�ؓadminref和userref.��webtest�l��g配置�?HTTP Basic Authentication",�l�安全角色admin赋予讉K��webtest.jsp的权�?把CountBean讄��为Run As Specified Role,选择user安全角色.在运行环境中��用户j2ee赋予admin安全角色和user安全角色.然后发布应用到服务器.用用户j2ee讉K�� webtest.jsp.

执行�l�果:
客户端见�?0

�?0

服务器端:
CountBean.count()
the caller is j2ee
the caller is admin Role
CountBean1.count()
the caller is j2ee
the caller is user Role

�? �q�行�l�果�?讉K��webtest.jsp的用户�ؓj2ee,其安全角色�ؓadmin,讉K��CountBean的用户名为j2ee,安全角色为admin. 可以看到用户�w�䆾标识从web容器传递到了ejb容器.再看�l��gCountBean1的输出结�?�׃��CountBean被设�|�成了Run As Specified Role,因此在CountBean向下调用其他�l��g对象�?用户安全角色已经被改为指定的安全角色,�q�里是user.所以我们会看到,调用�l��g CountBean1的用户名为j2ee,安全角色为user.j2ee的这�U�安全特性满��了同一用户在不同应用中��h��不同安全角色的需�?开发�h员也�? 以利用这�U�特性进行灵�zȝ��安全逻辑判断.

静夜�?/a> 2006-02-16 11:03 发表评论

走出 JNDI �q�宫

Thu, 16 Feb 2006 02:32:00 GMT

从单机编�E��{�?EJB 技术和分布式计��这些更复杂领域�?Java 开发�h员常�怼�陷入困境�Q�编写成功地游历 JDNI �q�宫的代码会很困难，多计��机和配�|�也增加了出错的可能性。在本文中，EJB开发�h�?Daniel Would 解释了如何编写可以成功地扑ֈ��? JNDI 名称�I�间中发布的 EJB �l��g的客户代码。他向您展示了��处理更容易的各种�~�程选项�Q��ƈ提供了一些可以在您自��q��应用�E�序中作为实用工��L��使用的代码�?/font>

如果您在让客��h��应用�E�序看到 EJB �l��g�q�一斚w��从来都没有�Q何问题，�q�且认�ؓ�?Java �q�_��的不同安装上、或者在完全不同的计��机上运行您的客��h��? bean 一点也不复杂，那么本文可能不会吸引您。不�q�，如果您才刚刚开始，�q�且在试囄��真实的配�|�做��M��事情时看见弹��Z��许多奇怪和意义不明的错误消息，那么��p��M��厅R�?/font>

EJB 错误�Q�不要慌�Q?/span>

您已�l�在自己所钟爱�?Java 书籍中读�q�了关于企业 Javabean 技术的那一章，也已�l�练习过了简单的 HelloWorld bean�Q��ƈ遵��@所��的部�|�过�E�发布了它。现在您得编写一个客��h��Q�以侉K��过�q�个客户机来调用�q�个��C��。因此您写出了类似清�? 1 中的代码�Q?/font>

清单 1. 一个调�?bean 的非常简单的客户�?/b>

InitialContext ic = new InitialContext(); Object or = ic.lookup("ejb/HelloWorldHome"); if (or != null) { // Narrow the return object to the Home class type HelloWorldHome home = (HelloWorldHome)PortableRemoteObject.narrow(or, HelloWorldHome.class); // Create an EJB object instance using the home interface. HelloWorld hw = home.create(); // Invoke the method System.out.Println(hw.hello()); }

在命令行中运行这个客��h��Q��用手头最方便的一�?Java 安装 ―�?卛_��用服务器使用的那一个。所有事情都很完��！带着成功的喜悦，您�{�U�d��W�二台计��机上运行您的客��h��。这回，您得��C��一个可怕的错误消息。首先，您可能得�? java.lang.NoClassDefFoundError: javax/ejb/EJBObject �Q�然后是一大堆其他�? NoClassDefFoundError s�Q�因为您忘记提交一个带有必需�?stub �?tie �?JAR 文�g�Q��ƈ且没有提供或者考虑到其他各�U? EJB 相关的内宏V��不�q�最�l�，您的客户��行到了第一行有意思的代码�Q? InitialContext ic = new InitialContext(); �Q�。在到达�q�一行时得到的异�? ―�?您几乎肯定会得到一个异�?―�?��会�Ҏ��您所选择的特�? 上下�?provider而有所不同�?

回页�?/b>

解释�q�些术语

在我们��l�往下之前，定义几个术语会很有帮助。计��世界��用的都是一些奇怪的术语、时髦的语汇和首字母�~�写词，Java 技术也不例外（也许�q�应该是 JavaIsNoException �Q�）。如果您遇到了上面所说的问题�Q�那么这里面的术语可能会让您感到有些无所适从。所以让我们讨论在本文中��会遇到的术语，搞明白它们的意思是一个好��L��?
名称�I�间、上下文、初始上下文和子上下�?/b> �q�些术语都是有关位置�?―�?是从客户机的角度看时 EJB �l��g所在的概念性的位置。将一�? 名称�I�间 惛_��Z��个城镇，城镇中的商店�? EJB home接口�Q�我们将在稍后讨论它�Q�表�C��? 上下�?/i>是城镇中的一个位�|��? 初始上下�?/i> 是您开始时所在的位置 ―�?��像它是到城镇的道�\。�? 子上下文是街道名�?
home接口�Q�home interface�Q�和�q�程接口�Q�remote interface�Q?/b> 企业 JavaBean �l��g有三个部分。首先是 bean 代码本��n。然后是 home接口�Q�它定义了创建您自己�?EJB bean 的方法。home接口是在名称�I�间中发布的。当您有了home接口后，��可以调�? Create() 以从应用服务器获得远�E�接口。获得了�q�程接口后，��可以调用构成实际的 EJB 代码的方法了�?
如何��这些术语应用到您的城镇模拟中去呢？到达正确的城镇�ƈ扑ֈ�正确的地址后，您需要走�q�商店或者按铃（调用 Create() �Q�。这个过�E�对于您要去的所有商店都是一��L��Q�不�q�，您所收到的响应取决于是由谁来提供服务 ―�?比如是一位屠夫、一位面包师�q�是一位烛台制作者。这个响应代表了 �q�程接口。每个�h都是不同的�ƈ且可以要求他提供不同的东�ѝ��您必须知道与您交谈的�h�Q�即 bean�Q�的职业才能提出正确的问�?卌��用正��的�Ҏ��) ―�?向一位屠夫要一条面包可不妥当�?
CosNaming、LDAP �?JNDI Java 命名和目录接口（Java Naming and Directory Interface JNDI�Q�提供了一个标准接口，它指明您需要如何与名称�I�间交互。我们所提到�? LDAP�? CosNaming ��是 JDNI 名称�I�间�c�d��。现在扩展我们的比喻�Q�JNDI 是城镇的模板�Q��? CosNaming �?LDAP 是特定的城镇。它们以�怼�的方式操作，但是有不同的布局�?

回页�?/b>

属性提供了一个映��?/span>

让我们看一看如何��用所有这些元素以成功��C��q�程计算��Z��调用我们�?EJB �l��g上的�Ҏ��。�ؓ了让客户�E�序�q�接到您�_�ֿ�打造的 EJB �l��g�Q�需要几样东�ѝ��首先，它需要客户代码的所�? JAR 文�g、一般性的 EJB 相关 JAR 文�g�?J2EE.jar 以及在部�|?bean 时生成的 stub �?tie。这些文件让您的客户机可以一直到辑ֈ�始上下文�?/font>

接下来您的客��h��需要的信息是一些属性的倹{��首先，您将需要几�? java.naming.factory.initial 的倹{��该属性指向一个提供初始上下文工厂的类。该属性的一个典型值是 com.sun.jndi.cosnaming.CNCtxFactory �Q�这也是我们在这里的几个例子中所使用的倹{��这个类存在�? rt.jar 中，因而它是基�?JVM 的一部分。工厂是�?CosNaming 命名服务器所使用的，但是 JVM �q�包括一�?LDAP 工厂。我们在后面��会看到�Q�不同的应用服务器提供它们自��q��初始上下文工厂�?

�q�个�c�连同命名服务器 URL 和端口号的详�l�信息，用于生成与名�U�空间交互的 InitialContext �c�R��不�q�，如果没有 provider URL�Q�那么它��连接到 localhost �?900 端口�Q�或者您的上下文工厂的其他默认端口）。要�q�接到远�E�服务器�Q�您需要有属�? java.naming.provider.url 的一个倹{�?

新程序员对于所有这些觉得很隄��解的原因是：不管您在应用服务器本地运行�Q何东西，�q�东襉K��常都会听话地工作。这是由于环境照��了一切，当您要求一�? InitialContext �Ӟ��环境��׃��l�您提供您想要的那个。但是当您将客户卌��{�U�d��不同的计��机上时�Q�就得靠自己了。您需要知道拷贝哪一�?JAR 文�g�Q�以及要做哪些设�|�。我知道有些��Zؓ使他们的客户机正��工作，��应用服务器上的所�?JAR 文�g都拷贝到�W�二台计��机上！

在默认情况下�Q? InitialContext 工厂是在 jndi.properties 中定义的�Q�这个工厂类有默认的服务�?URL 和端口号默认倹{��这个文件在�c��\径中�Q�这一般意味着在本地目录）或者在您的�c��\径中的�Q�?JAR 中。不同的应用服务器可能在不同�? JAR 文�g中提供它们的默认��|��WebSphere Application Server �? namingclient.jar 中储存一个默认副本。要指定您自��q��默认��|��只需要编辑在�c��\径中的第一个副本。这是配�|�属性的一�U�方法，如果�~�少命��o行或者代码驱动的讄��Q�那么客��h��? jndi.properties 中的倹{��不�q�，虽然�q�可能适合于简单的讄��Q�但是如果处理多个服务器和名�U�空��_��那么您可能希望一个客户一个客户地�q�行配置�?

�q�些属性是如何�Ҏ��我们要��用的名称�I�间而��用不同的值的呢？正如前面提到的，有两�U��Ş式的 JNDI 名称�I�间�Q�CosNaming �?LDAP。其中每一个都有与之相兌��的传输：分别�? IIOP �?LDAP。一�?LDAP 名称�I�间使用 LDAP 传输�Q�您��用一个像 ldap://myldapnameserver �q�样�?URL �q�接到它�Q�，�?CosNaming 使用一�?IIOP 传输�Q�您��用一个像 iiop://mycosnamingserver �q�样�?URL �q�接到它�Q�。CosNaming 的默认端口号�?900�Q��?LDAP 的默认端口号�?389。不�q�，��M��l�定的名�U�空间服务器实现使用的默认值可能是不同的�?

用命令行配置属�?/span>

让我们看一下如何用命��o行配�|�属性。如果您要在安��自己�l�习�Q�进�?JDK 安装中的 bin 目录。在�q�个文�g夹中�Q�可以找��C��个名�? tnameserv.exe 的程序（对于 Windows�Q�或者只�? tnameserv �Q�对于基�?UNIX 的系�l�）。通过执行�q�个�E�序��会在端�?900 启动一个示�?CosNmaing 命名服务器�?

现在正好可以用一个可以查�?CosNaming 名称�I�间的实用工��h��装备您自己。我本�h使用 Eclipse 作�ؓ开发环境，我在下面�? 参考资�?/a> 部分中提供了�?JNDI ��览器插件的链接。理��Z��Q�您应该可以��一个名�U�空间浏览器指向自己计算机的端口 900�Q��ƈ看到一个非常无聊的�I�名�U�空��_��管一些应用服务器在默认情况下会用很多不同的内容填充名�U�空��_��。�ؓ了丰富我们的名称�I�间�Q�我们现在将�~�写一个简单的�E�序以在它里面放一些内容，如清�? 2 所�C�：

清单 2. 一个简单的 cosNaming 名称�I�间交互

package example.publisher; import javax.naming.InitialContext; public class Publish { public static void main(String[] args) { // //This example creates a subcontext in a namespace // try{ InitialContext ic = new InitialContext(); ic.createSubcontext("Test"); }catch(Exception e){ System.out.println(e); e.printStackTrace(); } } }

�q�个应用�E�序��假定�ؓ得到正确的初始上下文件所需的所有属性都是可用的。所以现在可以从命��o行运行它�q�在�q�行时提供这些属性（其中 URL 要根据您的环境作调整�Q�：

java -Djava.naming.factory.initial=com.sun.jndi.cosnaming.CNCtxFactory -Djava.naming.provider.url=iiop://mymachine:900 example.publisher.Publish

一切正常，我们的客户会扑ֈ��C�Z��名称�I�间的上下文�q�创建名�? Test 的子上下文。您可以用名�U�空间浏览器��认�q�一炏V�?

�? 在试着在一台计��机上运行命名服务器�Q�用同一个命令行�Q�当�Ӟ��?URL 再次做了调整�Q�在另一台计��机上运行清�?2 中的应用�E�序。它�q�行��h��应该没有问题�Q�您可能需要修改这个例子以改变所限定的内容，甚至删除子上下文而不是创建它�Q�这样在�W�二�ơ运行时您就可以��信它已 �l��v�q�作用了�Q��?/font>

在应用程序中配置属�?/span>

那么�Q�如果不希望在命令行中设�|�这些属性怎么办？�q�有另外一个方法。可以在�E�序中显式地声明�q�些属性。这意味着您不需要�ؓ java 命��o提供�Ҏ��的选项。改变清�?2 中的代码以显式地讄��所需要的属性后�Q�它看�v来与清单 3 中的代码一��P��

清单 3. ��单的 cosNaming 名称�I�间交互�Q�在应用�E�序代码中设�|�属�?/b>

package example.publisher; import javax.naming.InitialContext; public class Publish { public static void main(String[] args) { // //This example creates a subcontext in a namespace // try{ Properties prop = new Properties(); prop.setProperty("java.naming.factory.initial", "com.sun.jndi.cosnaming.CNCtxFactory"); prop.setProperty("java.naming.provider.url", "iiop://mymachine:900"); InitialContext ic = new InitialContext(prop); ic.createSubcontext("Test"); }catch(Exception e){ System.out.println(e); e.printStackTrace(); } } }

现在�q�个�E�序不再需要长长的命��o行配�|�，不过要记住，以这�U�方式编写的应用�E�序��编码了�q�些讄��?/font>

回页�?/b>

��L��通往 bean 的道�?/span>

到目前�ؓ止，我们已经看到了几个可以证明我们已�q�接到远�E�名�U�空间�ƈ完成一些�Q务的例子�Q�尽��这些�Q务是相当无聊�?―�?创徏一个子上下文。在实际中，一般是由工��h��为您完成所有的创徏和发布工作，�? 真正需要的做是查找一个对象。在�q�一节，我们��在 CosNaming 名称�I�间中获得已发布�?HelloWorld bean �? Home 接口。然后我们再看一下如何在 LDAP 名称�I�间中找到它�? Home 接口�?

��Z��说明问题�Q�我们假设您已经部��v�?HelloWorld bean�Q�它的home接口 HelloWorldHome 发布�? example/HelloWorldHome �Q�如果您只想试一试，但是又不惌��己创��Z��?HellowWorld bean�Q�那么在参考资�?/a>中有一个下载预打包�?bean JAR 文�g的链接以及一个��用它的客��h��的文�Ӟ��?

一个上下文技�?/b>

在名�U�空�?URL 格式中，您可以设�|�自��q��初始上下文，使之从树上比默认值更高的位置开始。例如，如果在我们的例子中对�?provider URL 使用 iiop://mymachine:900/example �Q�那么您只需要查�? HelloWorldHome �Q�而不�? example/HelloWorldHome �Q�初始上下文��在 example 内。如果您在一个名�U�空间中在同一个结构下�q�行几次查询�Q�那么这��会有所帮助�Q�这��P��如果改变了设�|�，代码中要改变的惟一部分只是 provider URL�?

在上一节，我们�q�行了连接到命名服务器的艰苦工作�Q�现在我们所需要的��只是查�?EJB �l��g了。这需要我们向查询�Ҏ��传递一个字�W�串�Q�它表示�? InitialContext �Q�您在城镇中的出发点�Q�到惌��ȝ�� HomeInterface �Q�房屋或者商店）的方向。听��h��?―�?但是�q�里您所选择的特定上下文工厂��p��产生影响了。像 WebSphere �q�样的应用服务器所带的工厂�c�dƈ不��L��把您攑ֈ�名称�I�间的根上。所以我们�ؓ了查�? HomeInterface 而需要的字符串会�Ҏ�� InitialContext ��您所攑ֈ�城镇中的位置而变化。�ƈ且，在本地服务器上，上下文工厂可能将您放��C��在远�E�服务器上不同的起始位置�?

�? ��个原因，我徏议您不要像在清单 3 中那��L��~�码所使用的查询字�W�串�Q�而是用命令行或者属性文件传递。特别是对于��h��多步的体�pȝ��构更应如此。例如，您可能有一个调用一�? EJB �l��g的客��h��Q�这�?bean 可能又需要调用也许是在不同的服务器上的第二个 EJB �l��g�Q�在�q�种情况下，属性应该在每一步中传递。这为反复实验（trial-and-error�Q�查询提供了一�U�简单的机制�Q��ƈ且只需要相对较��的改变��可以得到最�l�应用程序的灉|��性。因此让我们看一个示例查询应用程序。在清单 4 中，属性是在程序中讄��的，但是它又以命令行��gؓ依据。这样命令行与在我们前一个例子中使用的稍有不同，如我们在下面所看到的�?/font>

清单 4. 查询一个home接口

package example.lookup; import java.util.Properties; import javax.naming.InitialContext; import javax.rmi.PortableRemoteObject; import example.HelloWorld; import example.HelloWorldBean; import example.HelloWorldHome; import javax.naming.InitialContext; public class Lookup { public static void main(String[] args) { // //This example looks up the home interface of an EJB to a namespace // try{ Properties prop = new Properties(); prop.setProperty("java.naming.factory.initial",args[0]); prop.setProperty("java.naming.provider.url",args[1]); InitialContext ic = new InitialContext(prop); Object or = ic.lookup(args[2]); if (or != null) { // Narrow the return object to the Home class type HelloWorldHome home = (HelloWorldHome)PortableRemoteObject.narrow(or, HelloWorldHome.class); // Create an EJB object instance using the home interface. HelloWorld hw = home.create(); // Invoke the method System.out.Println(hw.hello()); } }catch(Exception e){ System.out.println(e); e.printStackTrace(); } } }

�q�个�E�序是用三个参数调用的：要��用的上下文工厂、provider URL 和包含要查询的名字的字符丌Ӏ�我们已�l�知道前两个是什么，那么�W�三个呢�Q?/font>

如果您仍然��? tnameserv 作�ؓ命名服务器，那么您很可能��?bean 直接发布�? /example/HelloWorldHome 。在�q�种情况下，只要��? /example/HelloWorldHome 作�ؓ�W�三个参��C��递就可以�q�行成功的查询。不�q�，如果您��用的命名服务器有一个更复杂的命名空��_��那么可能会存在由所使用的部�|�工具增加的额外的层。例如，WebSphere 在默认情况下��?JavaBean 部��v�? ejb/ �Q�但是这不是名称�I�间的根�Q��ƈ且只有当使用 WebSphere 的上下文工厂�Ӟ��通过传入字符�? /ejb/example/HelloWorldHome 才会使您处于名称�I�间中的正确位置�?如果您��用一个与应用服务器提供的不同的上下文工厂�Q�例如在一台只有标�? Java 安装的计��机上运行客��h��时就需要这样做�Q�时�Q�这个问题会更加恶化。不�q�，应用服务器的命名服务器文档应当说明在查询 EJB �l��g时将会从名称�I�间的什么地方开始。看一下文��中的例子，再用��览器查看名�U�空间以��定其客��h��? InitialContext 会将它们攑ֈ�什么地斏V��名�U�空间往往会��@环，�q�样您就可以试着沿着一个分枝到无限。这意味着从最开始的上下文可以找��C��条回家的道�\�?

��M��Q�下面是传递相应参数给清单 4 中的应用�E�序的命令行�Q?/font>

java Lookup com.sun.jndi.cosnaming.CNCtxFactory iiop://mymachine:900 example/HelloWorldHome

�?CosNaming 中，名称�I�间子上下文由斜�U?/)字符分隔�Q�这与标�?URL 一栗��LDAP 的语法则不同�Q�我们在下面��会看到�?/font>

介绍 LDAP

现在让我们再加上 LDAP。就本文的内�Ҏ��Ԍ��LDAP 是另一�?JNDI 名称�I�间�Q�但是它的结构的表示�Ҏ��?CosNaming 名称�I�间的表�C�方法截然不同。它�q�需要一个不同的上下文工�? ―�?但是�q�不成问题，因�ؓ我们��M��在命令行指定正确的工厂（在我们的例子中，我们��用属于基�?JVM 一部分的工厂，但是要记住不同的应用服务器可能有自己的工厂）。�ƈ且它需要一个指向不同命名服务器的指�? ―�?�q�且�Q�幸�q�的是，我们也是在命令行中指定它的。当�Ӟ��表示home接口位置的字�W�串是不同的�Q�但是您猜如何？是的�Q�我们还是在命��o行中指定它。您可以看到使用�q�些命��o行调用的好处�Q�所有要做的只是改变调用我们的测试程序的方式�Q�理��Z��我们可以到达��M�� JDNI 命名服务器，甚至可以��利��C�� CosNaming 转移�?LDAP 而不用改变�Q何代码。是的，�q�是只是理论�Q�当然无论如何，关键是要有正��的参数�?/font>

一些命名服务器会保护部分命名空��_��q�意味着只能发布到允许的区域。假设您有一个运行的 LDAP 服务器，它的�l�节如下�Q?/font>

URL: ldap://mymachine:1389
BaseDN: c=myldap

LDAP 名称�I�间中的树结构一般来说像下面�q�样�Q?/font>

ibm-wsnName=MyServer,ibm-wsnName=HelloWorldHome

不过�Q�当我们��这个字�W�串传递给�E�序�Ӟ��我们需要反转它�Q�不要问我�ؓ什么）。所以我们��用的字符串看��h��是这��L��Q?/font>

ibm-wsnName=HelloWorldHome,ibm-wsnName=MyServer,

BaseDN 表示在名�U�空间中您希望开始的位置。对于给定的 LDAP 命名服务器来说这可以是很多位�|�，�q�取军_��是如何构造的。在�q�个例子中，我们直接�? c=myldap 的根。但是如果我们希望蟩到名�U�空间中的一个树�Q�那么可以指�? ibm-wsnTree=myTree,c=myldap 作�ؓ BaseDN 而不是蟩到那一炏V�?

�q�样�Q�我们将传递给�E�序的命令行参数��像下面�q�样�Q?/font>

java Lookup com.sun.jndi.ldap.LdapCtxFactory ldap://mymachine:1389/c=myldap/ ibm-wsnName=HelloWorldHome,ibm-wsnName=MyServer

可能出现的错误消�?/b>

无论如何�Q�您毫无疑问会熟悉在部��v EJB �l��g时出现的各种异常消息。下面是您将会经常看到的几个异常消息�Q�反正我常见到它们）�Q�以及您遇到它们的原因：
CORBA.OBJECT_NOT_EXIST : 您在错误的位�|�上查找 EJB�?

CORBA.MARSHALL _ something : CORBA marshall 异常�l�常发生。它们有不同的细节，但是它们基本上都表明同一件事情：您得��C��些数据，但这不是您的客户机所期待的。也许您查询了错误的东西�Q�也许您的客��h��所知道�? EJB �l��g�cȝ��版本与实际部�|�的不一栗��或者出��C��问题�Q�客��h�� ORB 不能理解服务�?ORB 所发送的内容�?

javax.naming.NoInitialContextException : 噢！您没有指定上下文工厂或�? provider URL�Q�也许命名服务器没有�q�行�?

�q�里我们指定一�?LDAP 上下文工�?�Q�然后传�?LDAP 服务器的名字以及我们惌��开始的位置。然后是到要查询�?EJB �l��g的反转的路径。我们可以用�q�个命��o行调用在 CosNaming 例子中��用的同一�D�代码（清单 4�Q��?

当然�Q�本文中使用的代码没有理�׃��能构成一个助手类的一个方�?―�?它带三个参数�Q��ƈ且返�? Object or �Q�这个对象是在试囑ց��M��事情之前调用 ic.lookup(args[2]) 时返回的。然后，当您需要进行一�ơ查询时�Q�只需使用�q�个助手�c�，向它传递适合于当前情�늚�适当参数�Q�取回您所需要的对象引用�Q��ƈ准备��它�H�化到实际的�c�R��（注意�Q�我不保证这�U�类的性能�Q�而只是提供这�D�原本就是如此的代码�Q�我或�? IBM �Ҏ��不作��M��保证。）当然�Q�可以通过反射实现一�U�完全通用的方式，但这会��事情复杂得多�Q�也��出了本文的范围�?

�? 我们�l�束之前�q�有最后一件事要考虑。您可以�~�写一个结合了我们在清�?3 �?4 中��用的技术的客户机。它会检查命令行中是否给��Z��一个��|��如果有，它就讄��q�些��|��如果没有�Q�它��׃��用硬�~�码的倹{��这��P��在程序中可以有有意义的默�? ��|��但是如果需要，也可以用命��o行选项覆盖它们。只需要对代码�q�行微不��道的更攏V�?/font>

回页�?/b>

安全到家

作�ؓ回顾�Q�下面是在有多个 EJB 查询和多个应用服务器的情况下�Q�要使�Q何系�l�运行而应该有或者应该知道的最重要的四件事情：

在�Q何给定阶�D�，下一阶段的所�?stub �?tie 都必��d��c��\径上。除非环境知道这个类是什么样的，否则您不能窄化一个对象以使用它�?
每一阶段都需要与 EJB 相关的一般�?JAR 文�g�Q�如 J2EE.jar �?

以参数的形式传递上下文工厂�c�d��、命名服务器名和 JDNI 查询字符丌Ӏ�以便能够轻��N��应变化�?
知道您的名称�I�间。记住您�?JDNI 查询字符串需要将您从在名�U�空间中开始的位置�U�d��到您的对象所储存的位�|�。但是您�q�不��L��在同一位置开始！用一个工��h��览名�U�空��_��q�了解在本地和远�E�查询中是从什么位�|�开始的�?

对于习惯于编写全部在同一台计��机上执行的代码的开发�h员来��_��览�q�程名称�I�间可能是一个困隄��q�程。希望本文的提示和代码可以帮助您讄��q�运行您的分布式 EJB 应用�E�序。当您掌握了 JNDI 名称�I�间后，再去看一�?developerWorks 上由 Brett McLaughlin 所写的 EJB 最佛_��?/i>�p�d��Q�请参阅参考资�?/a>�Q�，以获得用于优化代码的一些很��的技巧�?

回页�?/b>

参考资�?

您可以参阅本文在 developerWorks 全球站点上的英文原文.

下蝲 helloworldejb.jar�Q�这是我们的例子中��用的��? bean。可以用 HWClient.jar 作�ؓ客户机�?

如果您��?Eclipse 或�?WebSphere Studio Application Developer�Q�那么可以��? JNDI Explorer插�g��览名称�I�间�?

了解更多关于 Eclipse�? WebSphere Application Developer Studio 开发环境的内容。WebSphere Studio 是徏立于 Eclipse 2.1 之上的�?

使用正确的工具会使您��L��得多。alphaWorks �? 几个用于 Eclipse 的插�?/a>�?

�?WebSphere Application Server 库的�? Developing applications that use JNDI”一文中�Q�可以了解如何开发��?WebSphere Application Server �?JNDI 的应用程序�?

Brett McLaughlin �?developerWorks �? EJB 最佛_��?/i> 专栏对于那些开始进�?EJB �~�程的�h来说是一个很好的资源�?

如果您确实希望了�?EJB �~�程的细节，那么 Joe Sam Shirah 的综合教�E��? Enterprise JavaBean 基础”（ developerWorks�Q?003 �q?4 月）可以为您提供坚实的基��?

�? developerWorks Java技术专�? �Q�可以找到数癄��有关 Java �~�程各方面的文章�?

回页�?/b>

关于作�?/span>

Daniel Would �?2001 �q�加�?IBM。他做了一�q?CTG �pȝ��试员，之后成�ؓ CICS �pȝ��试员一直到现在。在 IBM �Ӟ��Daniel 的工作集中于 Java 技术和 EJB �l��g。可以通过 wouldd@uk.ibm.com �?Daniel 联系�?

静夜�?/a> 2006-02-16 10:32 发表评论

EJB 调用原理分析

Thu, 16 Feb 2006 02:19:00 GMT

一个远�E�对象至��要包括4个class文�g�Q�远�E�对象；�q�程对象的接口；实现�q�程接口的对象的stub�Q�对象的skeleton�q?个class文�g�?/font>

在EJB中则臛_��要包�?0个class�Q?/font>

Bean�c�，特定App Server的Bean实现�c?/font>

Bean的remote接口�Q�特定App Server的remote接口实现�c�，特定App Server的remote接口的实现类的stub�c�d��skeleton�c?/font>

Bean的home接口�Q�特定App Server的home接口实现�c�，特定App Server的home接口的实现类的stub�c�d��skeleton�c?/font>

和RMI不同的是�Q�EJB中这10个class真正需要用��L��写的只有3个，分别是Bean�c�d��它的remote接口�Q�home接口�Q�至于其它的7 个class到底是怎么生成�Q�被打包在什么地方，或者是否需要更多的�c�L��Ӟ��会根据不同的App Server表现出比较大的差异，不能一概而论�?/font>

拿我最熟悉的Weblogic的来说吧�Q�Weblogic的Bean实现�c�，以及两个接口的Weblogic的实现类是在ejbc的时候被打包�? EJB的jar包里面的�Q�这3个class文�g可以看到。而home接口和remote接口的Weblogic的实现类的stub�c�d��skeleton�c? 是在EJB被部�|�到Weblogic的时候，由Weblogic动态生成stub�c�d��Skeleton�cȝ��字节码，因此看不到这4个类文�g�?/font>

对于一�ơ客��L��q�程调用EJB�Q�要�l�过两个�q�程对象的多�ơRMI循环。首先是通过JNDI查找Home接口�Q�获得Home接口的实现类�Q�这个过�E�其实相当复杂，首先是找到Home接口的Weblogic实现�c�，然后创徏一个Home接口的Weblogic实现�cȝ��stub�cȝ��对象实例�Q�将它序列化�? 送给客户端（注意stub�cȝ��实例是在�W?�ơRMI循环中，由服务器动态发送给客户端的�Q�因此不需要客��L��保存Home接口的Weblogic实现�cȝ�� stub�c�）�Q�最后客��L��获得该stub�cȝ��对象实例�Q�普通的RMI需要在客户端保存stub�c�，而EJB不需要，因�ؓ服务器会把stub�cȝ��对象实例�? 送给客户端）�?/font>

客户端拿到服务器�l�它的Home接口的Weblogic实现�cȝ��stub�c�d��象实例以后，调用stub�cȝ��create�Ҏ��Q?在代码上��是 home.create()�Q�但是后台要做很多事�?,于是�l�过�W?�ơRMI循环�Q�在服务器端�Q�Home接口的Weblogic实现�cȝ��skeleton �c�L��到stub�cȝ��调用信息后，由它再去调用Home接口的Weblogic实现�cȝ��create�Ҏ��?/font>

在服务端�Q�Home接口的Weblogic实现�cȝ��create�Ҏ��再去调用Bean�cȝ��Weblogic实现�cȝ��ejbCreate�Ҏ��Q�在服务端创建或者分配一个EJB实例�Q�然后将�q�个EJB实例的远�E�接口的Weblogic实现�cȝ��stub�c�d��象实例序列化发送给客户端�?/font>

客户端收到remote接口的Weblogic实现�cȝ��stub�cȝ��对象实例�Q�对该对象实例的�Ҏ��调用�Q�在客户端代码中实际上就是对remote�? 口的调用�Q�，��传送给服务器端remote接口的Weblogic实现�cȝ��skeleton�c�d��象，而skeleton�c�d��象再调用相应的remote�? 口的Weblogic实现�c�，然后remote接口的Weblogic实现�c�d��去调用Bean�cȝ��Weblogic实现�c�，如此��完成一�ơEJB对象的远 �E�调用�?/font>

看了一遍帖子，感觉�q�是没有说太清楚�Q�既然写了帖子，��想��d��把它说清楚�?/font>

先拿普通RMI来说�Q�有4个class�Q�分别是�q�程对象�Q�对象的接口�Q�对象的stub�c�d��skeleton�c�R��而对象本�w�和对象的stub�c�d��旉��实现了接口类。而我们在客户端代码调用远�E�对象的时候，虽然在代码中操纵接口�Q�实质上是在操纵stub�c�，例如�Q?/font>

接口�c�：Hello

�q�程对象�Q�Hello_Server

stub�c�：Hello_Stub

skeleton�c�：Hello_Skeleton

客户端代码要�q�样写：

Hello h = new Hello_Stub();
h.getString();

我们不会�q�样写：

Hello_Stub h = new Hello_Stub();
h.getString();

因�ؓ使用接口适用性更�q�，��q��更换了接口实现类�Q�也不需要更改代码。因此客��L��需要Hello.class和Hello_Stub.class�q�两个文件。但是对于EJB来说�Q�就不需要Hello_Stub.class�Q�因为服务器会发送给它，但是Hello.class文�g客户端是省不了的�Q�必��? 有。表面上我们的客��L��代码在操�U�Hello�Q�但别忘��C��Hello只是一个接口，抽象的，实质上是在操�U�Hello_Stub�?/font>

拿Weblogic上的EJB举例子，10个class分别是：

Bean�c�：HelloBean �Q�用��L��写）
Bean�cȝ��Weblogic实现�c�：HelloBean_Impl �Q�EJBC生成�Q?br>Home接口�Q�HelloHome �Q�用��L��写）
Home接口的Weblogic实现�c?((Hello Bean))_HomeImpl�Q�EJBC生成�Q?br>Home接口的Weblogic实现�cȝ��stub�c?((Hello Bean))_HomeImpl_WLStub�Q�部�|�的时候动态生成字节码�Q?br>Home接口的Weblogic实现�cȝ��skeleton�c?((Hello Bean))_HomeImpl_WLSkeleton�Q�部�|�的时候动态生成字节码�Q?br>Remote接口�Q�Hello �Q�用��L��写）
Remote接口的Weblogic实现�c?((Hello Bean))_EOImpl�Q�EJBC生成�Q?br>Remote接口的Weblogic实现�cȝ��stub�c?((Hello Bean))_EOImpl_WLStub�Q�部�|�的时候动态生成字节码�Q?br>Remote接口的Weblogic实现�cȝ��skeleton�c?((Hello Bean))_EOImpl_WLSkeleton�Q�部�|�的时候动态生成字节码�Q?/font>

客户端只需要Hello.class和HelloHome.class�q�两个文件�?/font>

((Hello Home)) home = (Home) ((Portable Remote Object)).narrow(ctx.lookup("Hello"), ((Hello Home)).class);

�q�一行代码是从JNDI获得Home接口�Q�但是请��C��Q�接口是抽象的，那么home�q�个对象到底是什么类的对象实例呢�Q�很��单，用toString()输出看一下就明白了，下面一行是输出�l�果�Q?/font>

((Hello Bean))_HomeImpl_WLStub@18c458

�q�表明home�q�个通过从服务器的JNDI树上查找获得的对象实际上是HelloBean_HomeImpl_WLStub�cȝ��一个实例�?/font>

接下来客��L��代码�Q?/font>

Hello h = home.create()

同样Hello只是一个抽象的接口�Q�那么h对象是什么东西呢�Q�打��C��下：

((Hello Bean))_EOImpl_WLStub@8fa0d1

原来是HelloBean_EOImpl_WLStub的一个对象实例�?/font>

用这个例子来��q�C��遍EJB调用�q�程�Q?/font>

首先客户端JNDI查询�Q�服务端JNDI树上Hello�q�个名字实际上绑定的对象是HelloBean_HomeImpl_WLStub�Q�所以服务端��创建HelloBean_HomeImpl_WLStub的一个对象实例，序列化返回给客户端�?/font>

于是客户端得到home对象�Q�表面上是得到HelloHome接口的实例，实际上是�q�行了一�ơ远�E�调用得��C��HelloBean_HomeImpl_WLStub�cȝ��对象实例�Q�别忘记了HelloBean_HomeImpl_WLStub也实��C��HelloHome接口�?/font>

然后home.create()实质上就是HelloBean_HomeImpl_WLStub.create()�Q�该�Ҏ��发送信息给 HelloBean_HomeImpl_WLSkeleton�Q�而HelloBean_HomeImpl_WLSkeleton接受��C��息后�Q�再去调�? HelloBean_HomeImpl的create�Ҏ��Q�至此完成第1�ơ完整的RMI循环�?/font>

注意在这�ơRMI循环�q�程中，�q�程对象是HelloBean_HomeImpl�Q�远�E�对象的接口是HelloHome�Q�对象的stub�? HelloBean_HomeImpl_WLStub�Q�对象的skeleton是HelloBean_HomeImpl_WLSkeleton�?/font>

然后HelloBean_HomeImpl再去调用HelloBean_Impl的ejbCreate�Ҏ��Q�而HelloBean_Impl�? ejbCreate�Ҏ��负责创建或者分配一个Bean实例�Q��ƈ且创��Z��个HelloBean_EOImpl_WLStub的对象实例�?/font>

�q�一步比较有��的是，在前一步RMI循环中，�q�程对象HelloBean_HomeImpl在客��L��有一个代理类 HelloBean_HomeImpl_WLStub�Q�但在这一步，HelloBean_HomeImpl自己却充当了HelloBean_Impl的代理类�Q�只不过HelloBean_HomeImpl不在客户端，而是在服务端�Q�因此不�q�行RMI�?/font>

然后HelloBean_EOImpl_WLStub的对象实例序列化�q�回�l�客��L��Q�这一步也很有��，上次RMI�q�程�Q�主角是 HelloBean_HomeImpl和它的代理类HelloBean_HomeImpl_WLStub�Q�但�q�这一�ơ换成了 HelloBean_EOImpl和它的代理类HelloBean_EOImpl_WLStub来玩了�?/font>

Hello h = home.create();h.helloWorld();

假设Hello接口有一个helloWorld�q�程�Ҏ��Q�那么表面上是在调用Hello接口的helloWorld�Ҏ��Q�实际上是在调用HelloBean_EOImpl_WLStub的helloWorld�Ҏ��?/font>

然后HelloBean_EOImpl_WLStub的helloWorld�Ҏ��发送信息给服务器上�? HelloBean_EOImpl_WLSkeleton�Q�而HelloBean_EOImpl_WLSkeleton收到信息以后�Q�再去调�? HelloBean_EOImpl的helloWorld�Ҏ��。至此，完成�W?�ơ完整的RMI循环�q�程�?/font>

在刚才HelloBean_EOImpl是作��E�对象被调用的，它的代理�c�L��HelloBean_EOImpl_WLStub�Q�但现在 HelloBean_EOImpl要作为HelloBean_Impl的代理类了。现在HelloBean_EOImpl去调�? HelloBean_Impl的helloWorld�Ҏ��。注意！HelloBean_Impl�l�承了HelloBean�Q�而HelloBean中的 helloWorld�Ҏ��是我们亲自编写的代码�Q�现在终于调用到了我们编写的代码了！
��x��Q�一�ơEJB调用�q�程�l�于完成。在整个�q�程中，服务端主要要调用的类是HelloBean_Impl�Q?Hello Bean?_HomeImpl�Q�HelloBean_HomeImpl_WLSkeleton�Q�HelloBean_EOImpl�Q? HelloBean_EOImpl_WLSkeleton。客��L��主要调用的类是HelloBean_HomeImpl_WLStub�Q? HelloBean_EOImpl_WLStub�Q�这两个�c�d��客户端代码中�q�不会直接出玎ͼ�出现在代码中的类是他们的接口HelloHome�? Hello�Q�因此客��L��需要这两个接口文�g�Q�而Stub是服务器传送给他们的�?/font>

静夜�?/a> 2006-02-16 10:19 发表评论

Thu, 16 Feb 2006 02:13:00 GMT
��?/b>

　　RMI是远�E�方法调用的��U�ͼ�象其名称暗示的那��P��它能够帮助我们查扑�ƈ执行�q�程对象的方法。通俗地说�Q�远�E�调用就象将一个class攑֜�A机器上，然后在B机器中调用这个class的方法�?br>
　　我个��为，��管RMI不是唯一的企业��q�程对象讉K��Ҏ��Q�但它却是最�Ҏ��实现的。与能够使不同编�E�语�a�开发的CORBA不同的是�Q�RMI是一�U�纯Java解决�Ҏ��。在RMI中，�E�序的所有部分都由Java�~�写�?br>
　　在看本篇文章�Ӟ��我假定读者都已经具备了较扎实的Java基础知识�Q�在�q�方面有�Ơ缺的读者请自行阅读有关资料�?br>
　　概念

　　我在前面已经提到�Q�RMI是一�U�远�E�方法调用机�Ӟ��其过�E�对于最�l�用��h��透明的：在进行现场演�C�时�Q�如果我不说它��用了RNI�Q�其他�h不可能知道调用的�Ҏ��存储在其他机器上。当然了�Q�二台机器上必须都安装有Java虚拟机（JVM�Q��?br>
　　其他机器需要调用的对象必须被导出到�q�程注册�? 务器�Q�这��h��能被其他机器调用。因此，如果机器A要调用机器B上的�Ҏ��Q�则机器B必须��该对象导出到其�q�程注册服务器。注册服务器是服务器上运行的一�U�服务，它帮助客��L��q�程地查扑֒�讉K��服务器上的对象。一个对象只有导出来后，然后才能实现RMI包中的远�E�接口。例如，如果想��机器A中的Xyz对象能够�? �q�程调用�Q�它��必��d��现远�E�接口�?br>
　　RMI需要��用占位程序和框架�Q�占位程序在客户端，框架在服务器端。在调用�q�程�Ҏ��Ӟ��我们无需直接面对存储有该�Ҏ��的机器�?br>
　　在进行数据通讯前，�q�必��d��一些准备工作。占位程序就象客��L��机器上的一个本机对象，它就象服务器上的对象的代理，向客��L��提供能够被服务器调用的方法。然后，Stub��׃��向服务器端的Skeleton发送方法调用，Skeleton��׃��在服务器端执行接收到的方法�?br>
　　Stub和Skeleton之间通过�q�程调用层进行相互通讯�Q�远�E�调用层遵��@TCP/IP协议收发数据。下面我们来大致了解一�U�称��Zؓ“绑定”的技术�?br>
　　客户端无��Z��时要调用服务器端的对象，你可曾想�q�他是如何告诉服务器他想创徏什么样的对象吗�Q�这正是“绑定”的的用武之地。在服务器端�Q�我们将一个字�W? 串变量与一个对象联�p�d��一��P��可以通过�Ҏ��来实玎ͼ��Q�客��L��通过��那个字�W�串传递给服务器来告诉服务器它要创建的对象�Q�这��h��务器��可以准��地知道客户�? 需要��用哪一个对象了。所有这些字�W�串和对象都存储在的�q�程注册服务器中�?

　　在编�E�中需要解决的问题

　　在研�I�代码之前，我们来看看必��ȝ��写哪些代码：

　　·�q�程对象�Q?/b>�q�个接口只定义了一个方法。我们应当明白的是，�q�个接口�q��L��不包括方法的代码而只包括�Ҏ��的定义。远�E�对象包含要导出的每个方法的定义�Q�它�q�实现Java.rmi中的�q�程接口�?br>
　　·�q�程对象实现�Q?/b>�q�是一个实现远�E�对象的�c�R��如果实��C��q�程对象�Q�就能够覆盖该对象中的所有方法，因此�Q�远�E�对象的实现�c�d��真正包含我们希望导出的方法的代码�?br>
　　·�q�程服务�?/a>�Q?/b>�q�是一个作为服务器使用的类�Q�它是相对于要访问远�E�方法的客户端而言的。它存储着�l�定的字�W�串和对象�?br>
　　·�q�程客户端：�q�是一个帮助我们访问远�E�方法提供帮助的�c�，它也是最�l�用戗��我们将使用查找和调用远�E�方法的�Ҏ��在该�c�M��调用�q�程�Ҏ��?br>�~�程

　　我们��首先编写远�E�对象，�q�将代码保存为名字�ؓAddServer.Java的文�Ӟ��

import Java.rmi.*;

public interface AddServer extends Remote {

public int AddNumbers(int firstnumber,int secondnumber) throws RemoteException;

}

　　我们来看看上面的代码。首先，��Z��使用其内容，我们导入rmi包。然后，我们创徏一个扩展了Java.rmi中远�E�接口的接口。所有的�q�程对象必须扩展该远�E�接口，我们��该�q�程接口�U�CؓAddServer。在该远�E�对象中�Q�有一个名字�ؓAddNumbers的方法，客户端可以调用这一�Ҏ��。我�? 必须��C��的是�Q�所有的�q�程�Ҏ��都需要启动RemoteException�Ҏ��Q�有错误发生时就会调用该�Ҏ��?br>
　　下面我们开始编写远�E�对象的实现。这是一个实现远�E�对象�ƈ包含有所有方法代码的�c�，��下面的代码保存为名字�ؓAddServerImpl.Java的文�Ӟ��

import Java.rmi.*;

public class AddServerImpl extends UnicastRemoteObject implements AddServer {
public AddServerImpl() {
super();
}
public int AddNumbers(int firstnumber,int secondnumber) throws RemoteException {
return firstnumber + secondnumber;
}
}

　　首先�Q�我们导入rmi包，然后创徏一个扩展UnicastRemoteObject和实现创建的�q�程对象的类�Q�其�ơ，我们可以为类创徏一个缺�? 的构建器。我们还了解了AddNumbers�Ҏ��的代码，它启动RemoteException。这��h��们就覆盖了创建的�q�程对象中的�Ҏ��? AddNumbers�Ҏ��的代码非常好理解�Q�它接受2个整型参敎ͼ�然后相加�q�返回它们的和�?br>
　　��x��Q�我们已�l�有了二个Java文�g�Q�远�E�对象和�q�程对象的实现。下面我们将使用Javac命��o�~�译�q�二个文�Ӟ��

　　�~�译�q�程对象�Q?br>

C:\jdk\bin\Javac workingdir\AddServer.Java

　　�~�译�q�程对象实现�Q?br>

C:\jdk\bin\Javac workingdir\AddServerImpl.Java

　　�q�样�Q�就会达��C��个Java文�g和二个类文�g�Q�下面我们将创徏stub和skeleton。�ؓ了创建stub和skeleton文�g�Q�我们必��M��用rmic�~�译器编译远�E�对象实现文件�?br>
　　用Rmic�~�译�q�程对象实现文�g�Q?br>

C:\jdk\bin\rmic workingdir\AddServerImpl.Java

　　然后�Q�我们就会发现多�?个新建的�c�L��Ӟ��它们分别是AddServerImpl_Stub.class 和AddServerImpl_Skel.class �?br>
　　The Coding (Contd.)

　　我们已经�~�译了所有的源代码，下面我们来创建客��L��和服务器端，��下面的代码保存为名字�ؓRmiServer.Java的文�Ӟ��

import Java.rmi.*;
import Java.net.*;

public class RmiServer {
public static void main (String args[]) throws RemoteException, MalformedURLException {
AddServerImpl add = new AddServerImpl();
Naming.rebind("addnumbers",add);
}
}

　　首先�Q�我们导入Java.rmi包和Java.net包。另外，我们�q��用throws从句捕获��M��异常。我们从对象中得��E�对象实玎ͼ�使用rebind�Ҏ��字�W�串addnumbers与该对象�l�定。下面的例子昄��了绑定的含义�Q?br>从现在开始，无论何时客户端要调用�q�程对象�Q��用字�W�串addnumbers��可以实现。rebind�Ҏ��有二个参敎ͼ��W�一个参数是字符串变量，�W�二个参数是�q�程对象实现�cȝ��对象�?br>
　　下面我们来创建客��L��Q�将下面的代码保存�ؓ名字为RmiClient.Java的文�Ӟ��

import Java.rmi.*;
import Java.net.*;

public class RmiClient {
public static void main(String args[]) throws RemoteException, MalformedURLException {
String url="rmi://127.0.0.1/addnumbers";
AddServer add;
add = (AddServer)Naming.lookup(url);
int result = add.AddNumbers(10,5);
System.out.println(result);
}
}

　　首先�Q�我们导入Java.rmi包和Java.net包，�q��用throws从句捕获所有必要的异常。然后通过利用Naming�c�M��的静态lookup�Ҏ��从远�E�对象中得到一个对象。（�q�也是我们无需从Naming�c�M��得到一个对象�ƈ调用它。而只使用�c�d��字的原因。）

　　lookup�Ҏ��接受�q�程对象的完整的URL名字�Q�该URL由完整的机器IP地址以及与对象绑定的字符�Ԍ��也誻对象的绑定名�Q�组成。在调用�q�程对象�Ӟ�� 我们使用了RMI协议。lookup�Ҏ��向我们返回一个对象，在能够��用它前，我们必须��它的数据类型�{换�ؓ与远�E�对象的数据�c�d��一致�?br>

Since we have both our server and client source ready, let's compile them both:

　　��x��Q�我们已�l�有了服务器端和客户端的源代码，下面我们来编译这二个源文�Ӟ��

　　�~�译�q�程服务器：

C:\jdk\bin\Javac workingdir\RmiServer.Java

　　�~�译�q�程客户端：

C:\jdk\bin\Javac workingdir\RmiClient.Java

　　在对我们的代码进行测试前�Q�还必须首先启动RMI Registry。RMI Registry存储有所有绑定的数据�Q�没有它�Q�RMI��׃��能正常地�q�行�Q?br>
　　启动Rmi Registry服务器：

C:\jdk\bin\start rmiregistry

　　我们会注意到�Q�这时会出现一个空白的DOS提示�W�窗口，�q�表明Rmi Registry服务器在�q�行�Q�注意不要关闭该�H�口。然后，我们首先在一个DOS提示�W�窗口中�q�行Rmi服务器，然后在另一个DOS提示�W�窗口中�q�行Rmi客户端�?br>
　　启动RMI服务器：

C:\jdk\bin\Java workingdir\RmiServer

　　启动RMI客户端：

C:\jdk\bin\Java workingdir\RmiClient
　　如果一切正常，我们应该能够得到15�q�个输出。我们向AddNumbers�Ҏ��输入10�?二个数字�Q�该�Ҏ��这二者加��h��Q��ƈ��其�?5�q�回 �l�我们。如果得��C��15�q�个输出�Q�说明我们已�l�成功地执行了一个远�E�方法。当�Ӟ��在这里，我们�q�没有执行真正意义上的远�E�方法，因�ؓ我们的计��机既是服务器，又是客户机。如果有计算机网�l�，我们��可以方便地�q�行执行�q�程�Ҏ��的试验了�?/font>

静夜�?/a> 2006-02-16 10:13 发表评论


	Daniel Would �?2001 �q�加�?IBM。他做了一�q?CTG �pȝ��试员，之后成�ؓ CICS �pȝ��试员一直到现在。在 IBM �Ӟ��Daniel 的工作集中于 Java 技术和 EJB �l��g。可以通过 wouldd@uk.ibm.com �?Daniel 联系�?

亚洲色在线无码国产精品不卡,亚洲欧洲国产日韩精品,亚洲午夜一区二区电影院

介绍一���关于session的好文章,写的很详�l?jsp-servlet 技�?

J2EE 中的安全

J2EE 中的安全�W�一部分

J2EE 中的安全�W�二部分--j2ee安全应用

走出 JNDI �q�宫

EJB 调用原理分析

介绍一��关于session的好文章,写的很详�l?jsp-servlet 技�?