【正文】 RequestKey, CollectionConfigAttribute distMap = ()。 初始化List及其數(shù)據(jù), 寫測試用例時很方便。ListString ids = (1, 2)。 另外支持并發(fā)配置，超時配置，軟連接(內(nèi)存超出時首先)的MapMaker也比較有意思，常用于做Cache3企業(yè)服務(wù) Web服務(wù): Web Service JAXWSCXF, REST JAXRS、Jersey, HttpClient1. 資料 Web Service資料(江南白衣博物館) (江南白衣博物館) Apache CXF資料(江南白衣博物館)2. 選型 在CXF， Axis2 與 Metro之中，CXF算是最好的吧。2. in SpringSide 使用Java first的開發(fā)模式，通過JSR181annotation標注Web Service接口， annotation標注JavaXML Mapping。 另外，在Showcase中還演示了WSSecurity 與 二進制數(shù)據(jù)的傳輸. 重要規(guī)則 詳見 Apache CXF資料： 注意在CXF下那些必須顯式定義，不能采取默認值的的Annotation。 為了實現(xiàn)任意客戶端都能使用的服務(wù)，盡量只使用其WS規(guī)范中最原始通用的部分，Soap Header/Fault節(jié)點都不要使用，高階的WS*就更要慎用。 雖然JavaFirst的開發(fā)方式，WSDL可由CXF在運行時動態(tài)自動生成，但一定要保存下來并加入版本管理系統(tǒng)。詳見mini service/bin/webservice/。 注意如List，Map 等類型Jaxb映射，想見XMLJaxb 錯誤返回機制 服務(wù)端的錯誤可以使用WebService的異常機制(SOAPFault節(jié)點)，也可以返回結(jié)果代碼的方式返回。因為WebService的最大價值是 簡單通用，面對眾多語言的客戶端對異常處理的不確定性，因此建議對外的接口使用結(jié)果類的形式 。 因為CXF在返回結(jié)果定義時還不支持除CollectionT 外的范型，也就是無法支持WebServiceResultUserDTO 這樣的定義，因此在miniservice里定義了多個的繼承于WebServiceResult(含Code與Message)的Result類型。 DTO 對外系統(tǒng)的Web Service接口，必須增加接口類及DTO以解耦。 為了應(yīng)付DTO中的子對象也是DTO(如UserDTO的子對象是RoleDTO，User的子對象是Role)，或者entity與DTO的屬性名不同 等情況，復(fù)制DTO與entity時采用dozer做 mapper，而不能使用BeanUtils。 內(nèi)部子系統(tǒng)間的Web Service接口 如果是內(nèi)部兩個子系統(tǒng)間采用web service作為遠程訪問手段時，也可以直接標注Service層和Entity類，并且直接用SoapFault作為異常機制，無需接口層、DTO和 WebServiceResult類。 從wsdl生成客戶端代碼 miniservice的bin/ ， 生成客戶端代碼。 具體的命令打開命令文件看一下就很清楚了。 客戶端編寫 擁有遠程服務(wù)的接口與相關(guān)的DTO文件后(合作方給予或由WSDL生成)，有兩種方法編寫客戶端 jaxws:client id=userWebService serviceClass= address=://localhost:8080/miniservice/services/UserService /jaxws:client也可以自己用API創(chuàng)建 URL wsdlURL = new URL(://localhost:8080/miniservice/services/UserService?wsdl)。 QName UserServiceName = new QName(, UserService)。 Service service = (wsdlURL, UserServiceName)。 UserWebService userWebService = ()。 WSSecurity 安全機制當(dāng)然可以自己DIY，比如在函數(shù)簽名里加上用戶名和密碼參數(shù)，或者只增加一個關(guān)聯(lián)ID參數(shù)，但必須先調(diào)用一個登錄函數(shù)獲取關(guān)聯(lián)ID。 也可以嘗試使用WSI 支持的WSSecurity協(xié)議，showcase演示了基于WSS4J的明文密碼和根據(jù)明文+唯一標識符(多數(shù)是時間戳+隨機數(shù))散列而成的密文兩種 做法。 ，可以為原有的Web服務(wù)添加安全認證Handler, 見DigestPasswordCallback,PlainPasswordCallback 。 ，配置安全認證機制和用戶名(見 ) , 再在PasswordCalBack中設(shè)置密碼。 SoapUI中對WSSecurity也有相應(yīng)的支持。 權(quán)限控制 WSS4J用戶驗證完成之后，如果要對服務(wù)進行權(quán)限控制，SpringSide演示了與SpringSecurity的集成，詳情請看SpringSecurity. 二進制傳輸 如果只是傳輸少量數(shù)據(jù)，直接將byte[]的field由框架透明編碼為Base64即可，詳見SmallImageServiceImpl。 如果是大文件。二進制field采用DataHandler實現(xiàn) Streaming傳輸，詳見LargeImageServiceImpl. 客戶端見BinaryWebServiceTest。 SoapUI SoapUI 是目前最常用的Soap 客戶端工具，Pro版更好。 安全: Spring Security, 驗證碼JCaptcha, Utils散列、簽名、加密1. 資料 LingoSpring Security 安全權(quán)限管理手冊 江南白衣知識庫SpringSecurity資料 京山游俠SpringSide 3 中的安全框架 SpringSecurity(Acegi)算是一個比較全面的安全框架，而JAAS的概念抽象雖然嚴整，但具體實現(xiàn)太多要自己DIY的地方，而輕量級如Shiro最近除了不 停改名外沒什么發(fā)展(Shiro的介紹)。3. in SpringSide 登錄 使用SpringSecurity自帶的Login/Logout、RememerMe機制，自己實現(xiàn)UserDetailService接口負責(zé)查詢數(shù) 據(jù)庫向SpringSecurity提供身份和授權(quán)信息。 密碼可用明文，也可用SHA1散列后存放， 還可控制同時相同登陸的，(). 用戶角色授權(quán)控制 SpringSecurity只關(guān)心用戶與授權(quán) ，可以在中間加一層角色，一般三者及之間的關(guān)系都存儲在數(shù)據(jù)庫里。 基于授權(quán)的資源控制1. 。2. 在JSP中使用taglib控制頁面顯示內(nèi)容。3. 在POJO中使用annotation控制函數(shù)訪問. SpringSide不再建議將URL與授權(quán)的關(guān)系定義到數(shù)據(jù)庫。 驗證碼集成 在SpringSecurity中內(nèi)部集成驗證碼并不方便，因此在外部編寫一個驗證碼Filter，對SpringeScurity的login form提交地址j_security_check進行攔截，實現(xiàn)松耦合的集成. 詳見驗證碼JCaptcha 擴展User屬性 擴展SpringSecurity的User類，加入loginTime,loginIP等屬性。將UserDetailServiceImpl的 loadUserByUsername(String userName)的返回值改為新類型，即可在 ().getAuthentication().getPrincipal()隨時取 出該類并強制轉(zhuǎn)型之。 與CXF的集成 SpringSide封裝的SpringSecurityInInterceptor類，將WSS4J認證后的用戶身份找出來放進 SecurityContext里，見Showcase中的演示。 然后就可以AOP的形式，對CXF中的接口函數(shù)進行授權(quán)驗證。 當(dāng)然，調(diào)用結(jié)束時要SpringSecurityOutInterceptor類要將用戶身份從ThreadLocal的SecurityContext 中清除掉。 與Rest的集成 見Showcase中的演示，SpringSecurity本來就支持Http Basic/Digest的認證，所以只要在Rest客戶端發(fā)送Http Basic/Digest的Http Header，SpringSecurity就可以驗證用戶身份，然后像CXF一樣，用AOP控制接口的授權(quán)。4. SpringSide3的封裝 SpringSecurityUtils 獲取當(dāng)前用戶/用戶名的簡便函數(shù)。 獲取當(dāng)前用戶IP的簡便函數(shù), 將藏在Authentication的WebAuthenticationDetails中的IP找出來。 判斷用戶是否擁有某個角色的簡便函數(shù)。 保存用戶到SecurityContext。最重要函數(shù)！??！其他SSO 或 DIY認證方案實現(xiàn)與SpringSecurity集成的不二法門。 著名的方案有 JCaptcha與SimpleCaptcha . JCaptcha比較老牌，但使用并不方便，比如連顯示圖片的Servlet都要自己編寫. 如Play!Framework使用的就是SimplCaptcha.2. JCaptcha springsideextension中實現(xiàn)了顯示校驗碼圖片和驗證校驗碼的Filter，因為SpringSecurity并不能很容易的讓人擴展 它的認證函數(shù)，所以干脆做成Filter，攔截j_security_check的URL，如果認證成功就進入真正的 SpringSecurityFilter，失敗則跳回登錄頁面. ，在外觀上有點不敢恭維于是重新實現(xiàn)了一下，, 但現(xiàn)在還是alpha狀態(tài)，. 。4. 看不清楚，換一張的javascript ，注意為了避免瀏覽器的緩存，必須在URL中加入隨機數(shù)。 另外還無聊的加了些jquery淡入淡出的效果在內(nèi)。 對字符串進行sha1散列后, 根據(jù)不同的應(yīng)用場景可以編碼為標準的Hex16進制編碼，更短的Base64編碼，不含URL非法字符的Base64URLSafe編碼。 支持對文件進行md5和sha1摘要。 見 springsideextension中的DigestUtils 及其測試用例, 首選sha1算法。 共享對稱密鑰的不可逆的SHA1MAC簽名算法是比較快速理想的簽名算法，先用SHA1將字符串散列，然后執(zhí)行MAC加密。 支持生成簽名，判斷簽名 支持默認160位密鑰的生成. 支持Hex，Base64與Base64URLSafe編碼. 見 springsideextension中的CryptoUtils及其測試用例.共享對稱密鑰的DES加密算法是最常用的加密算法，AES則是它的替代者。1. 支持加解密2. 支持64位的DES密鑰及默認128位的AES密鑰生成.3. 支持Hex，Base64編碼. 見 springsideextension中的CryptoUtils及其測試用例. 緩存: Cache總述, EhCacheCache的類別 本地緩存：從最簡單的Map到Ehcache單機版都屬于一類。 分布式緩存：分布在不同JVM的Cache可以互相同步與備份，如JbossCache 和 Oralce那個天價的產(chǎn)品。 集中式緩存: 最著名的代表是Memcached, Terracotta其實也屬于透明的集中式架構(gòu)。本地緩存1. Ehcache Ehcache是比較完整的本地緩存方方案，詳見Ehcache2. ConcurrentMap 如果數(shù)據(jù)量不多，嫌Ehcache都太重，可以簡單的使用Map來做緩存，見showcase的MapCacheImpl 考慮到并發(fā)性，一定要使用ConcurrentHashMap，并可以調(diào)大并發(fā)鎖的數(shù)量，默認為16. 考慮到有些元素可能已經(jīng)過期不再有用，使用Goolge Collection的MapMaker，設(shè)置每個元素的過期時間，會為每個元素開一個timer來過期清理。 考慮到萬一還是可能出現(xiàn)內(nèi)存爆滿，使用Google Collection的MapMaker，設(shè)置每個元素都是SoftReference的，內(nèi)存爆滿時可以拿來GC. Ehcache資料(江南白衣博物館) Ehcache原來是比較好的，但Terracotta收購后在分布式緩存中必然只側(cè)重于TC, JGroups等廣播通知方式已停止發(fā)展，所以Ehcache還是單機使用吧 JBossCache是另一個可選的方案，新版本的Infinispan在思路上與Oralce那昂貴的商業(yè)分布式緩存已經(jīng)很接近了，這是Ehcache 欠缺的。 Memcached是集中式中央緩存的王者，在下一個版本中將進行Demo.3. Ehcache in SpringSide 3 目前主要作為Hibernate的二級緩存，在showcase中也有直接在代碼中使用緩存。 DefaultCache ehcachesafe中的默