java基础学习心得范文
目录
正文
第一篇:java学习需要什么基础
java学习需要什么基础
随着java这种语言的广泛运用,越来越多从事开发的人员开始学习接触这门课程,那么,java学习需要什么基础?java刚刚入门应该接触哪些知识呢?java入门应该学习什么内容呢?
首先要说明的,java有三个大的方向(j2se,j2me,j2ee),走不同的方向可能学的技术和要花费的时间可能有所不同。我是搞web方向的(j2ee),我学java除了以前一些简单的c语言语法外,没有太多的编程基础,我以前一直认为编程要有很强的数学和英语功底,现在看来这也不是必需,只要有一定的逻辑思维能力和掌握一些常见的计算机词汇,还需要具备一定的自学能力,因为软件开发工作是需要不断学习的。
其次,我想说下我的学习过程,我在网上下载了java教学视频,将java基础从头到尾看了一遍,将上面的代码基本上跟着敲了一遍,然后我把java基础的书看了一遍,一本书看完包括上面的习题大概做一遍差不多一个月。这时你对java的语法和基本知识应该都有比较充分的认识和了解了。
然后,再做一些小项目,跟着视频上的步骤做,最好能自己独立再写写,能写多少是多少。一般网上比较新的免费的项目库很不好找,因为项目库是需要实时更新以保证适合市场需要的,而它的升级和更新是需要钱的,所以去报一个培训中心利用它强大的项目库进行实战操作是个很好的选择。
操作一段时间之后,你对java已经有了一定的感觉,就要开始选择你的发展方向了。我选择了j2ee,如果你也是想走这条路,你可以接着看关于j2ee的视频,先是html+js+css,然后jsp+serverlet,再看struts+spring+hibernate等一些框架。同时可以看一些大的培训机构的关于设计模式的视频,最好是it牛人录制的,当然数据库也得学下,然后加上做项目的经验累积,半年就差不多可以出去工作了。
如果你做其他方向的话我不是很了解。再说下我个人的看法,j2me和j2se好像前景没j2ee好,不过我有同事是做android平台开发的,这个不需要j2ee的知识,你可以去买本android的看看,这个方向貌似很有前途,你应该也常听说android平台的手机,如果走这方向可以再学一下linux知识和c的知识,因为这个平台底层是这些,这也不是必要。
说了这么多希望对大家能有所帮助。最后再说一句,学东西,最重要的是动手,只有动手做了才能深深的理解,牢牢的记住。
第二篇:java 基础要点总结 学习java必看
java基础
1.java程序是由1个或者n个class组成的程序
2.编写---javac进行编译------java进行执行
3.类名的命名:规范:第一个字母要大写 第一字母必须是字母 下划线美圆符号 人民币符号//
4.不是第一个字母的话 可以是数字
5.文件名和类名的关系 如果class前面没有public 是可以不一样的 但是如果有的话 必须一样
6.两个byte short类型进行加减乘除的时候 返回的结果是int类型
/*
需求:定义一个hello world小程序。
步骤:
1,通过class关键字定义一个类。将代码都编写到该类中。
2,为了保证该的独立运行。在类中定义个主函数。格式public static void main(string[] args) 3,保存成一个扩展名为java的文件。
4,在dos控制台中通过javac工具对java文件进行编译。
5,在通过java命令对生成的class文件进行执行。
*/
class demo//定义一个类。
{
//主函数。
public static void main(string[] args)
{
//输出语句。
system.out.println("hello haha");
}
}
6.字符串数据和任何数据使用+都是相连接,最终都会变成字符串。
system.out.println("5+5"+(5+5));//"5+5=55"
转义字符:通过 来转变后面字母或者符号的含义。
n:换行。
b:退格。相当于backspace。
r:按下回车键。window系统,回车符是由两个字符来表示rn.
t:制表符。相当于tab键。
7.if else 结构 简写格式: 变量 = (条件表达式)?表达式1:表达式2;
三元运算符:
好处:可以简化if else代码。
弊端:因为是一个运算符,所以运算完必须要有一个结果。
class operatedemo
{
public static void main(string[] args)
{
int x= 7;
//逻辑运算符用于连接boolean类型的表达式。
//x>3 & x<6 = true & true = true;
/*
true & true = true;
true & false = false;
false & true = false;
false & false = false;
& : 只要两边的boolean表达式结果,有一个为false。那么结果就是false。只有两边都为true,结果为true。
true | true = true;
true | false = true;
false | true = true;
false | false = false;
| : 两边只要有一个为true,结果为true。
只有两边都有false,结果为false。
^ : 异或;就是和|有点不一样。当true ^ true = false;
true ^ true = false;
true ^ false = true;
false ^ true = true;
false ^ false = false;
^ : 两边相同结果是false。
两边不同结果是true。
&和&&的特点:
&:无论左边是true是false。右边都运算。
&&:当左边为false时,右边不运算。
|:两边都参与运算。
||:当左边为true。右边不运算。
int n = 3,m = 8;
system.out.println("n="+n+",m="+m);
1,通过第三方变量。
/*int temp; temp = n; n = m; m = temp;
2不用第三方变量。
11 = 3 +8; 3 = 11 - 8; 8 = 11 - 3; n = n + m;//如果n和m的值非常大,容易超出int范围。 m = n - m;
3.用^来交换
}
} n = n - m; n = n ^ m; m = n ^ m;//(n^m)^m; n = n ^ m;//n ^ (n ^ m) system.out.println("n="+n+",m="+m);
if和switch语句很像。
具体什么场景下,应用哪个语句呢?
如果判断的具体数值不多,而是符合byte short int char这四种类型。虽然两个语句都可以使用,建议使用swtich语句。因为效率稍高。
其他情况:对区间判断,对结果为boolean类型判断,使用if,if的使用
范围更广。
第三篇:java学习心得笔记
j2ee学习笔记
注:框架可以用word菜单中的 “视图/文档结构图” 看到
j2ee模式
value object(值对象)用于把数据从某个对象/层传递到其他对象/层的任意java对象。
通常不包含任何业务方法。
也许设计有公共属性,或者提供可以获取属性值的get方法。
jsp
1.jsp的基础知识
__
_____ |directive(指令)
| |-- script(敬请期待好范文网更好文章:wWw.haOWoRd.cOm)ing (脚本)
jsp -------| |__ action(动作)
|
|_____template data :除jsp语法外,jsp引擎不能解读的东西
1)在jsp中使用的directive(指令)主要有三个:
a) page指令
b) include指令
c) taglib指令
在jsp的任何地方,以任何顺序,一个页面可以包含任意数量的page指令
2)scripting(脚本)包括三种类型
a) <%!declaraction%>;
b) <%scriptlet %>;
c) <%= expression%>;
3)action(动作)
标准的动作类型有:
a)<jsp:usebean>;
b)<jsp:setproperty>;
d) <jsp:getproperty>;
e) <jsp:param>;
f) <jsp:include>;
g) <jsp:forward>;
h) <jsp:plugin>;
1. 注释: <% -----jsp comment-------%>;
<! -----html comment-------%>;
2. <%@ page session = “true”import =”java.util.*” %>;
session可以不赋值,默认为true,如果session=”false”,则在jsp页面中,隐含的变量session就不能使用。
3. 请求控制器结构(request controller)
也被称之为jsp model 2 architecture
这种途径涉及到使用一个servlet或一个jsp作为一个应用程序或一组页面的入口点。
为创建可维护的jsp系统,request controller是最有用的方式之一。
不是jsp,而是java类才是放置控制逻辑的正确的地方。
请求控制器的命名模式为: xxxcontroller.jsp
请求控制器类的命名模式为: xxxrequestcontroller
2.jsp中的javabean
jsp三种bean的类型
1) 页面bean
2) 会话bean
3) 应用bean
大多数的系统会使用一个会话bean来保持状态,而对每一个页面使用一个页面bean 来对复杂的数据进行表示。
页面bean是一个模型,而jsp是一个视图。
3.custom tag
bean是信息的携带者,
而tag更适用于处理信息。
标记库包含一个标记库描述符(tld)和用于实现custom tag的java类
在翻译阶段,jsp容器将使用tld来验证页面中的所有的tag是否都被正确的使用。
标记处理程序只是一个简单的适配器,而真正的逻辑是在另一个类中实现的,标记处理程序只是提供了一个供其他的可复用的类的jsp接口
servlet
1.servletconfig
 一个servletconfig对象是servlet container在servlet initialization的时候传递给servlet的。
servletconfig包涵 servletcontext 和 一些 name/value pair (来自于deployment descriptor)
 servletcontext接口封装了web应用程序的上下文概念。
2.会话跟踪
1) session
 当一个client请求多个servlets时,一个session可以被多个servlet共享。
 通常情况下,如果server detect到browser支持cookie,那么url就不会重写。
2) cookie
 在java servlet中,如果你光cookie cookie = new cookie(name,value)
那么当用户退出browser时,cookie会被删除掉,而不会被存储在客户端的硬盘上。
如果要存储 cookie,需加一句cookie.setmaxage(200)
 cookie是跟某一个server相关的,运行在同一个server上的servlet共享一个cookie.
3) url rewriting
在使用url rewriting来维护session id的时候,每一次http请求都需要encodeurl()
典型的用在两个地方
1) out.print(“form action=” ”);
out.print(response.encodeurl(“sessionexample”));
out.print(“form action=” ”);
out.print(“method = get>;”);
2) out.print(“<p>;<a href=” ”);
out.print(response.encodeurl(“sessionexample?database=foo&datavalue=bar”));
out.println(“” >;url encoded </a>;”);
3.singlethreadmodel
默认的,每一个servlet definition in a container只有一个servlet class的实例。
只有实现了singlethreadmodel,container才会让servlet有多个实例。
servlet specification上建议,不要使用synchronized,而使用singlethreadmodel。
singlethreadmodel(没有方法)
保证servlet在同一时刻只处理一个客户的请求。
singlethreadmodel是耗费资源的,特别是当有大量的请求发送给servlet时,singlethreadmodel的作用是使包容器以同步时钟的方式调用service方法。
这等同于在servlet的service()方法种使用synchronized.
single thread model一般使用在需要响应一个heavy request的时候,比如是一个需要和数据库打交道的连接。
2. 在重载servlet地init( )方法后,一定要记得调用super.init( );
3. the client通过发送一个blank line表示它已经结束request
而the server通过关闭the socket来表示response已结束了。
4. 一个http servlet可以送三种东西给client
1) a single status code
2) any number of http headers
3) a response body
5. servlet之间信息共享的一个最简单的方法就是
system.getproperties().put(“key”,”value”);
6. post和get
post:将form内各字段名称和内容放置在html header内传送给server
get:?之后的查询字符串要使用urlencode,经过urlencode后,这个字符串不再带有空格,以后将在server上恢复所带有的空格。
get是web上最经常使用的一种请求方法,每个超链接都使用这种方法。
7. web.xml就是web applicatin 的deployment descriptor
作用有:组织各类元素
设置init param
设置安全性
8. request dispatcher用来把接收到的request forward processing到另一个servlet
要在一个response里包含另一个servlet的output时,也要用到request dispatcher.
9. servlet和jsp在同一个jvm中,可以通过serveltcontext的
setattribute( )
getattribute( )
removeattribute( )
来共享对象
10. 利用request.getparameter( )得到的string存在字符集问题。
可以用strtitle = request.getparameter(“title”);
strtitle = new string(strtitle.getbytes(“8859-1”),”gb2312”);
如果你希望得到更大得兼容性
string encoding = response.getcharacterencoding();
//确定application server用什么编码来读取输入的。
strtitle = new string(strtitle.getbytes(encoding),”gb2312”);
xml
1.xml基础知识
1. 一个xml文档可以分成两个基本部分:
首部( header )
内容( content )
2. xml名字空间规范中指定:
xml文档中的每一个元素都处在一个名字空间中;如果没有指定的名字空间,缺省的名字空间就是和该元素相关联的名字空间。
3. a document that is well-formed obeys all of the rules of xml documents (nested tags, etc.)
" if a well-formed document uses a document type definition (more on these in a minute), and it follows all the rules of the dtd, then it is also a valid document
4. a tag is the text between the <angle brackets>;
" an element is the start tag, the end tag,and everything (including other elements) in between
5. 标签( tags ) 实际上包含了“元素”( elements ) 和 “属性”( attributes )两部分。
用元素( elements )来描述有规律的数据。
用属性( attributes ) 来描述系统数据。
如果你有一些数据要提供给某个应用程序,该数据就可能要用到一个元素。
如果该数据用于分类,或者用于告知应用程序如何处理某部分数据,或者该数据从来没有直接对客户程序公开,那么它就可能成为一种属性。
6. cdata (读作:c data ) c是character的缩写。
7.org.xml.sax.reader
/|
org.xm.l.sax.xmlreader
/|
org.apche.xerces.parsers.saxparser
2.webservice
2.1 webservice的基本概念
webservice是一种可以接收从internet或者intranet上的其它系统中传递过来的请求,轻量级的独立的通讯技术。
这种技术允许网络上的所有系统进行交互。随着技术的发展,一个web服务可以包含额外的指定功能并且可以在多个b2b应用中协作通讯。
web服务可以理解请求中上下文的关系,并且在每一个特定的情况下产生动态的结果。这些服务会根据用户的身份,地点以及产生请求的原因来改变不同的处理,用以产生一个唯一的,定制的方案。这种协作机制对那些只对最终结果有兴趣的用户来说,是完全透明的。
uddi
在用户能够调用web服务之前,必须确定这个服务内包含哪些商务方法,找到被调用的接口定义,还要在服务端来编制软件。所以,我们需要一种方法来发布我们的web服务。
uddi (universal description, discovery, and integration) 是一个主要针对web服务供应商和使用者的新项目。uddi 项目中的成员可以通过uddi business registry (ubr) 来操作web服务的调用,ubr是一个全球性的服务。
web服务供应商可以在ubr中描述并且注册他们的服务。
用户可以在ubr中查找并定位那些他们需要的服务。
uddi是一种根据描述文档来引导系统查找相应服务的机制。
uddi包含标准的“白皮书”类型的商业查询方式,
“黄皮书”类型的局部查找,以及
“绿皮书”类型的服务类型查找。
uddi利用soap消息机制(标准的xml/http)来发布,编辑,浏览以及查找注册信息。它采用xml格式来封装各种不同类型的数据,并且发送到注册中心或者由注册中心来返回需要的数据。
wsdl
对于商业用户来说,要找到一个自己需要使用的服务,他必须知道如何来调用。
wsdl (web services description language) 规范是一个描述接口,语义以及web服务为了响应请求需要经常处理的工作的xml文档。这将使简单地服务方便,快速地被描述和记录。
以下是一个wsdl的样例:
<?xml version="1.0"?>;
<definitions name="stockquote"
targetnamespace="http://example.com/stockquote.wsdl"
xmlns:tns="http://example.com/stockquote.wsdl"
xmlns:xsd1="http://example.com/stockquote.xsd"
xmlns:soap="http://schemas.xmlsoap.org/wsdl/soap/"
xmlns="http://schemas.xmlsoap.org/wsdl/">;
<types>;
<schema targetnamespace=http://example.com/stockquote.xsd
xmlns="http://www.w3.org/xx/10/xmlschema">;
<element name="tradepricerequest">;
<complextype>;
<all>;
<element name="tickersymbol" type="string"/>;
</all>;
</complextype>;
</element>;
<element name="tradeprice">;
<complextype>;
<all>;
<element name="price" type="float"/>;
</all>;
</complextype>;
</element>;
</schema>;
</types>;
<message name="getlasttradepriceinput">;
<part name="body" element="xsd1:tradepricerequest"/>;
</message>;
<message name="getlasttradepriceoutput">;
<part name="body" element="xsd1:tradeprice"/>;
</message>;
<porttype name="stockquoteporttype">;
<operation name="getlasttradeprice">;
<input message="tns:getlasttradepriceinput"/>;
<output message="tns:getlasttradepriceoutput"/>;
</operation>;
</porttype>;
<binding name="stockquotesoapbinding"
type="tns:stockquoteporttype">;
<soap:binding style="document"
transport="http://schemas.xmlsoap.org/soap/http"/>;
<operation name="getlasttradeprice">;
<soap:operation
soapaction="http://example.com/getlasttradeprice"/>;
<input>;
<soap:body use="literal"/>;
</input>;
<output>;
<soap:body use="literal"/>;
</output>;
</operation>;
</binding>;
<service name="stockquoteservice">;
<documentation>;my first service</documentation>;
<port name="stockquoteport" binding="tns:stockquotebinding">;
<soap:address location="http://example.com/stockquote"/>;
</port>;
</service>;
</definitions>;
它包含了以下的关键信息:
消息的描述和格式定义可以通过xml文档中的<types>;和<message>; 标记来传送。
<porttype>; 标记中表示了消息传送机制。 (e.g. request-only, request-response, response-only) 。
<binding>; 标记指定了编码的规范 。
<service>; 标记中表示服务所处的位置 (url)。
wsdl在uddi中总是作为一个接口描述文档。因为uddi是一个通用的用来注册wsdl规范的地方,uddi的规范并不限制任何类型或者格式描述文档。这些文档可能是一个wsdl文档,或者是一个正规的包含导向文档的web页面,也可能只是一个包含联系信息的电子邮件地址。
现在java提供了一个 java api for wsdl (jwsdl)规范。它提供了一套能快速处理wsdl文档的方法,并且不用直接对xml文档进行操作,它会比jaxp更方便,更快速。
soap
当商业用户通过uddi找到你的wsdl描述文档后,他通过可以simple object access protocol (soap) 调用你建立的web服务中的一个或多个操作。
soap是xml文档形式的调用商业方法的规范,它可以支持不同的底层接口,象http(s)或者smtp。
之所以使用xml是因为它的独立于编程语言,良好的可扩展性以及强大的工业支持。之所以使用http是因为几乎所有的网络系统都可以用这种协议来通信,由于它是一种简单协议,所以可以与任何系统结合,还有一个原因就是它可以利用80端口来穿越过防火墙。
soap的强大是因为它简单。soap是一种轻量级的,非常容易理解的技术,并且很容易实现。它有工业支持,可以从各主要的电子商务平台供应商那里获得。
从技术角度来看,soap详细指明了如何响应不同的请求以及如何对参数编码。一个soap封装了可选的头信息和正文,并且通常使用http post方法来传送到一个http 服务器,当然其他方法也是可以的,例如smtp。soap同时支持消息传送和远程过程调用。以下是一个soap请求。
post /stockquote http/1.1
host: www.stockquoteserver.com
content-type: text/xml; charset="utf-8"
content-length: nnnn
soapaction: "some-uri"
<soap-env:envelope
xmlns:soap-env="http://schemas.xmlsoap.org/soap/envelope/"
关。
以下是你应该回避使用的一些java特色,并且在你的ejb组件的实现代码中要严格限
制它们的使用:
1.使用static,非final 字段。建议你在ejb组件中把所有的static字段都声明为final型的。这样可以保证前后一致的运行期语义,使得ejb容器有可以在多个java虚拟机之间分发组件实例的灵活性。
2.使用线程同步原语来同步多个组件实例的运行。避免这个问题,你就可以使ejb容器灵活的在多个java虚拟机之间分发组件实例。
3.使用awt函数完成键盘的输入和显示输出。约束它的原因是服务器方的商业组件意味着提供商业功能而不包括用户界面和键盘的i/o功能。
4.使用文件访问/java.io 操作。ejb商业组件意味着使用资源管理器如jdbc来存储和检索数据而不是使用文件系统api。同时,部署工具提供了在部署描述器(descriptor)中存储环境实体,以至于ejb组件可以通过环境命名上下文用一种标准的方法进行环境实体查询。所以,使用文件系统的需求基本上是被排除了。
5.监听和接收socket连接,或者用socket进行多路发送。ejb组件并不意味着提供网络socket服务器功能,但是,这个体系结构使得ejb组件可以作为socket客户或是rmi客户并且可以和容器所管理的环境外面的代码进行通讯。
6.使用映象api查询ejb组件由于安全规则所不能访问的类。这个约束加强了java平台的安全性。
7.欲创建或获得一个类的加载器,设置或创建一个新的安全管理器,停止java虚拟机,改变输入、输出和出错流。这个约束加强了安全性同时保留了ejb容器管理运行环境的能力。
8.设置socket工厂被url's serversocket,socket和stream handler使用。避免这个特点,可以加强安全性同时保留了ejb容器管理运行环境的能力。
9.使用任何方法启动、停止和管理线程。这个约束消除了与ejb容器管理死锁、线程
和并发问题的责任相冲突的可能性。
通过限制使用10-16几个特点,你的目标是堵上一个潜在的安全漏洞:
10.直接读写文件描述符。
11.为一段特定的代码获得安全策略信息。
12.加载原始的类库。
13.访问java一般角色所不能访问的包和类。
14.在包中定义一个类。
15.访问或修改安全配置对象(策略、安全、提供者、签名者和实体)。
16.使用java序列化特点中的细分类和对象替代。
17.传递this引用指针作为一个参数或者作为返回值返回this引用指针。你必须使用
sessioncontext或entitycontext中的getejbobject()的结果。
java2平台的安全策略
以上所列的特点事实上正是java编程语言和java2标准版中的标准的、强有力的特色。ejb容器允许从j2se中使用一些或全部的受限制的特色,尽管对于ejb组件是不可用的,但需通过j2se的安全机制来使用而不是通过直接使用j2se的api。
java2平台为ejb1.1规范中的ejb容器所制定的安全策略定义了安全许可集,这些许可在ejb组件的编程限制中出现。通过这个策略,定义了一些许可诸如:java.io.filepermission,java.net.netpermission,java.io.reflect.reflectpermission,java.lang.security.securitypermission,以便加强先前所列出的编程限制。
许多ejb容器没有加强这些限制,他们希望ejb组件开发者能遵守这些编程限制或者是带有冒险想法违背了这些限制。违背这些限制的ejb组件,比标准方法依赖过多或过少的安全许可,都将很少能在多个ejb容器间移植。另外,代码中都将隐藏着一些不确定的、难以预测的问题。所有这些都足以使ejb组件开发者应该知道这些编程限制,同时也应该认真地遵守它们。
任何违背了这些编程限制的ejb组件的实现代码在编译时都不能检查出来,因为这些特点都是java语言和j2se中不可缺少的部分。
对于ejb组件的这些限制同样适用于ejb组件所使用的帮助/访问(helper/access)类,j2ee应用程序使用java文档(jar)文件格式打包到一个带.ear(代表enterprise archive)扩展名的文件中,这个ear文件对于发送给文件部署器来说是标准的格式。ear文件中包括在一个或多个ejb-jar文件中的ejb组件,还可能有ejb-jar所依赖的库文件。所有ear文件中的代码都是经过深思熟虑开发的应用程序并且都遵守编程限制和访问许可集。
未来版本的规范可能会指定通过部署工具来定制安全许可的能力,通过这种方法指定了一个合法的组件应授予的许可权限,也指定了一个标准方法的需求:如从文件系统中读文件应有哪些要求。一些ejb容器/服务器目前在它们的部署工具中都提供了比标准权限或多或少的许可权限,这些并不是ejb1.1规范中所需要的。
理解这些约束
ejb容器是ejb组件生存和执行的运行期环境,ejb容器为ejb组件实例提供了一些服务如:事务管理、安全持久化、资源访问、客户端连接。ejb容器也负责ejb组件实例整个生命期的管理、扩展问题以及并发处理。所以,ejb组件就这样寄居在一个被管理的执行环境中--即ejb容器。
因为ejb容器完全负责ejb组件的生命期、并发处理、资源访问、安全等等,所以与容器本身的锁定和并发管理相冲突的可能性就需要消除,许多限制都需要使用来填上潜在的安全漏洞。除了与ejb容器责任与安全冲突的问题,ejb组件还意味着仅仅聚焦于商务逻辑,它依赖于ejb容器所提供的服务而不是自己来直接解决底层的系统层的问题。
可能的问题
通常,ejb组件在容器之间的移植不可避免地与如下问题相关:
1.它需要依靠的受限制的特点在特定ejb容器中没有得到加强。
2.它需要依靠的非标准的服务从容器中可获得。
为了保证ejb组件的可移植性和一致的行为,你应该使用一个具有与java2平台安全
策略集相一致的策略集的容器来测试ejb组件,并且其加强了前述的编程限制。
总结
ejb组件开发者应该知道这些推荐的关于ejb组件的编程限制,明白它们的重要性,并且从组件的稳定性和可移植性利益方面考虑来遵循它们。因为这些编程限制能阻止你使用标准的java语言的特点,违背了这些编程限制在编译时不会知道,并且加强这些限制也不是ejb容器的责任。所有这些原因都使你应很小心地遵守这些编程限制,这些限制在组件的合同中已经成为了一个条款,并且它们对于建造可靠的、可移植的组件是非常重要的。
2. 优化ejb
entity bean为在应用程序和设计中描述持久化商业对象(persistent business objec ts)提供了一个清晰的模型。在java对象模型中,简单对象通常都是以一种简单的方式进行处理但是,很多商业对象所需要的事务化的持久性管理没有得到实现。entity bean将持久化机制封装在容器提供的服务里,并且隐藏了所有的复杂性。entity bean允许应用程序操纵他们就像处理一个一般的java对象应用。除了从调用代码中隐藏持久化的形式和机制外,entity bean还允许ejb容器对对象的持久化进行优化,保证数据存储具有开放性,灵活性,以及可部署性。在一些基于ejb技术的项目中,广泛的使用oo技术导致了对entity bean的大量使用,sun的工程师们已经积累了很多使用entity bean的经验,这篇文章就详细阐述的这些卡发经验:
*探索各种优化方法
*提供性能优化和提高适用性的法则和建议
*讨论如何避免一些教训。
法则1:只要可以,尽量使用cmp
cmp方式不仅减少了编码的工作量,而且在container中以及container产生的数据库访问代码中包括了许多优化的可能。container可以访问内存缓冲中的bean,这就允许它可以监视缓冲中的任何变化。这样的话就在事物没有提交之前,如果缓存的数据没有变化就不用写到数据库中。就可以避免许多不必要的数据库写操作。另外一个优化是在调用find方法的时候。通常情况下find方法需要进行以下数据库操作:
查找数据库中的纪录并且获得主键
将纪录数据装入缓存
cmp允许将这两步操作优化为一步就可以搞定。[具体怎么做我也没弄明白,原文没有具体阐述]
法则2:写代码时尽量保证对bmp和cmp都支持
许多情况下,ejb的开发者可能无法控制他们写的bean怎么样被部署,以及使用的container是不是支持cmp.
一个有效的解决方案是,将商业逻辑的编码完全和持久化机制分离。再cmp类中实现商业逻辑,然后再编写一个bmp类,用该类继承cmp类。这样的话,所有的商业逻辑都在cmp类中,而持久化机制在bmp中实现。[我觉得这种情况在实际工作中很少遇到,但是作者解决问题的思路值得学习]
法则3:把ejbstore中的数据库访问减小到最少。
如果使用bmp,设置一个缓存数据改变标志dirty非常有用。所有改变数据库中底层数据的操作,都要设置dirty,而在ejbstore()中,首先检测dirty的值,如果dirty的值没有改变,表明目前数据库中的数据与缓存的一致,就不必进行数据库操作了,反之,就要把缓存数据写入数据库。
法则4:总是将从lookup和find中获得的引用进行缓存。(cache)
引用缓存对session bean和entity bean 都是适用的。
通过jndi lookup获得ejb资源。比如datasource,bean的引用等等都要付出相当大的代价。因此应该避免多余的lookup.可以这样做:
将这些引用定义为实例变量。
从setentitycontext(session bean使用setsessioncontext)方法查找他们。setentitycontext方法对于一个bean实例只执行一次,所有的相关引用都在这一次中进行查找,这样查找的代价就不是那么昂贵了。应该避免在其他方法中查找引用。尤其是访问数据库的方法:ejbload()和ejbstore(),如果在这些频繁调用的方法中进行datasource的查找,势必造成时间的浪费。
调用其他entity bean的finder方法也是一种重量级的调用。多次调用finder()方法的代价非常高。如果这种引用不适合放在setentitycontext这样的初始化时执行的方法中执行,就应该在适当的时候缓存finder的执行结果。只是要注意的是,如果这个引用只对当前的entity有效,你就需要在bean从缓冲池中取出来代表另外一个实体时清除掉这些引用。,这些操作应该在ejbactivate()中进行。
法则5:总是使用prepare statements
这条优化法则适用于所有访问关系数据库的操作。
数据库在处理每一个sql statement的时候,执行前都要对statement进行编译。一些数据库具有缓存statement和statement的编译后形式的功能。数据库可以把新的statement和缓存中的进行匹配。然而,如果要使用这一优化特性,新的statement要必须和缓存中的statement完全匹配。
对于non-prepared statement,数据和statement本身作为一个字符串传递,这样由于前后调用的数据不同而不能匹配,就导致无法使用这种优化。而对于prepared statement,数据和statement是分开传递给数据库的,这样statement就可以和cache中已编译的statement进行匹配。statement就不必每次都进行编译操作。从而使用该优化属性。
这项技术在一些小型的数据库访问中能够减少statement将近90%的执行时间。
法则6:完全关闭所有的statement
在编写bmp的数据库访问代码时,记住一定要在数据库访问调用之后关闭statement,因为每个打开的statement对应于数据库中的一个打开的游标。
security
1.加密
对称加密
(1)分组密码
(2)流密码
常用的对称加密算法:
des和tripledes
blowfish
rc4
aes
非对称加密
常用的非对称加密算法
rsa
elgamal
会话密钥加密(对称加密和非对称加密一起使用)
常用的会话密钥加密协议
s/mime
pgp
ssl和tlsssl是在application level protocal和transport protocal之间的。
比如:http和tcp/ip之间
ssl 提供了服务器端认证和可选的客户端认证,保密性和数据完整性。
提供基于ssl方式的传输加密和认证,确保以下三种安全防护:
数据的机密性和准确性、
服务器端认证
客户端认证。
客户端认证比服务器端认证不很普遍的原因是每一个要被认证的客户都必须有一张verisign这样的ca签发的证书。
通常,在进行身份认证的时候,应当只接受一个ca,这个ca的名字包含在客户证书中。
由于不可能随意创建一个由指定ca签发的证书,所以这可以有效的防御通过伪造证书来进行的攻击尝试。
2.认证(authentication)
认证就是确定一条消息或一个用户的可靠性的过程。
1.消息摘要
md5
sha和sha-1
2.消息认证码(message authientication codes,mac)
3.数字签名
用户可以用自己的密钥对信息加以处理,由于密钥仅为本人所有,这样就产生了别人无法生成的文件,也就形成了数字签名
数字签名可以
1)保证数据的完整性
2)验证用户的身份
数字签名采用一个人的私钥计算出来,然后用公钥去检验。
hash算法 私钥加密
原报文 ――――――>;报文摘要( message digest ) ―――――>;数字签名
原报文和数字签名一起被发送到接受者那里,接受者用同样的hash算法得到报文摘要,然后用发送者的公钥解开数字签名。
比较是否相同,则可以确定报文确定来自发送者。
验证数字签名必须使用公钥,但是,除非你是通过安全的方式直接得到,否则不能保证公钥的正确性。(数字证书可以解决这个问题)
一个接受者在使用公钥(public key)检查数字签名(digital signature)的可信度时,通常先要检查收到的公钥(public key)是否可信的。
因此发送方不是单单地发送公钥(public key),而是发送一个包含公钥(public key)的数字证书(cetificate )。
4.数字证书
数字证书是一个经证书授权中心数字签名的包含公开密钥所有者信息以及公开密钥的文件。
数字证书cetificate中包括:
i. 用户的公钥(public key)
ii. 用户的一些信息,如姓名,email
iii. 发行机构的数字签名(digital signature), 用于保证证书的可信度
iv. 发行机构的一些信息
数字证书的格式遵循x.509国际标准。
注意:一个数字证书certificate并不适用于多种browser,甚至一种browser的多个版本。
数字标识由公用密钥、私人密钥和数字签名三部分组成。
当在邮件中添加数字签名时,您就把数字签名和公用密钥加入到邮件中。数字签名和公用密钥统称为证书。您可以使用 outlook express 来指定他人向您发送加密邮件时所需使用的证书。这个证书可以不同于您的签名证书。
收件人可以使用您的数字签名来验证您的身份,并可使用公用密钥给您发送加密邮件,这些邮件必须用您的私人密钥才能阅读。
要发送加密邮件,您的通讯簿必须包含收件人的数字标识。这样,您就可以使用他们的公用密钥来加密邮件了。当收件人收到加密邮件后,用他们的私人密钥来对邮件进行解密才能阅读。
在能够发送带有数字签名的邮件之前,您必须获得数字标识。如果您正在发送加密邮件,您的通讯簿中必须包含每位收件人的数字标识。
数字证书,可以是个人证书或 web 站点证书,用于将身份与"公开密钥"关联。只有证书的所有者才知道允许所有者"解密"或进行"数字签名"的相应"私人密钥"。当您将自己的证书发送给其他人时,实际上发给他们的是您的公开密钥,这样他们就可以向您发送只能由您使用私人密钥解密和读取的加密信息。
通过浏览器使用数字证书,必须先要设置浏览器软件 internet explorer 或 netscape使用此证书,才能开始发送加密或需要数字签名的信息。访问安全的 web 站点(以"https"打头的站点)时,该站点将自动向您发送他们的web站点证书。
3.ca(证书授证中心)
ca机构,又称为证书授证(certificate authority)中心,作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。ca中心为每个使用公开密钥的用户发放一个数字证书,数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。ca机构的数字签名使得攻击者不能伪造和篡改证书。在set交易中,ca不仅对持卡人、商户发放证书,还要对获款的银行、网关发放证书。它负责产生、分配并管理所有参与网上交易的个体所需的数字证书,因此是安全电子交易的核心环节。
对证书的信任基于对根证书的信任. 例如在申请sheca的个人数字证书前,需要先下载根证书,然后再进行各类证书的申请。
下载根证书的目的:
网络服务器验证(s);安全电子邮件(e)
申请个人数字证书可以为internet用户提供发送电子邮件的安全和访问需要安全连接(需要客户证书)的站点。
1)个人数字证书
a.个人身份证书
个人身份证书是用来表明和验证个人在网络上的身份的证书,它确保了网上交易和作业的安全性和可靠性。可应用于:网上炒股、网上理财、网上保险、网上缴费、网上购物、网上办公等等。个人身份证书可以存储在软盘或ic卡中。
b.个人安全电子邮件证书
个人安全电子邮件证书可以确保邮件的真实性和保密性。申请后一般是安装在用户的浏览器里。用户可以利用它来发送签名或加密的电子邮件。
用户在申请安装完安全安全电子邮件数字证书后,就可以对要发送的邮件进行数字签名。收信人收到该邮件后,就可以看到数字签名的标记,这样就可以证明邮件肯定来自发信者本人,而不是别人盗用该帐号伪造信件,同时也保证该邮件在传送过程中没被他人篡改过任何数据。
安全电子邮件中使用的数字证书可以实现:
保密性通过使用收件人的数字证书对电子邮件加密。如此以来,只有收件人才能阅读加密的邮件,在internet上传递的电子邮件信息不会被人窃取,即使发错邮件,收件人也无法看到邮件内容。
认证身份在internet上传递电子邮件的双方互相不能见面,所以必须有方法确定对方的身份。利用发件人数字证书在传送前对电子邮件进行数字签名即可确定发件人身份,而不是他人冒充的。
完整性利用发件人数字证书在传送前对电子邮件进行数字签名不仅可确定发件人身份,而且传递的电子邮件信息也不能被人在传输过程中修改。
不可否认性由于发件人的数字证书只有发件人唯一拥有,故发件人利用其数字证书在传送前对电子邮件进行数字签名,发件人就无法否认发过这个电子邮件。
outlook express中的个人安全电子邮件证书
签名邮件带有签名邮件图标。
签名邮件可能出现的任何问题都将在本信息之后可能出现的“安全警告”中得到描述。如果存在问题,您应该认为邮件已被篡改,或并非来自所谓的发件人。
当收到一封加密邮件时,您应该可以自信地认为邮件未被任何第三者读过。outlook express 会自动对电子邮件解密, 如果在您的计算机上装有正确的数字标识。
2)企业数字证书
a.企业身份证书
企业身份证书是用来表明和验证企业用户在网络上身份的证书,它确保了企业网上交易和作业的安全性和可靠性。可应用于:网上证券、网上办公、网上交税、网上采购、网上资金转帐、网上银行等。企业身份证书可以存储在软盘和ic卡中。
b.企业安全电子邮件证书
企业安全电子邮件证书可以确保邮件的真实性和保密性。申请后一般是安装在用户的浏览器里。企业可以利用它来发送签名或加密的电子邮件。
可使用 windows xx 中的证书服务来创建证书颁发机构 (ca),它负责接收证书申请、验证申请中的信息和申请者的身份、颁发证书、吊销证书以及发布证书吊销列表 (crl)。
通常,当用户发出证书申请时,在其计算机上的加密服务提供程序 (csp) 为用户生成公钥和私钥对。用户的公钥随同必要的识别信息发送至 ca。如果用户的识别信息符合批准申请的 ca 标准,那么 ca 将生成证书,该证书由客户应用程序检索并就地存储。
4.set
安全接口层协议——ssl(se cure socketslayer),并且已经几乎成为了目前www 世界的事实标准。这一标准使用公共密钥编码方案来对传输数据进行加密,在双方之间建立一个internet 上的加密通道,从而使第三方无法获得其中的信息,其思路与目前流行的vpn方案大致相同,目的都是要保护数据不被未经授权的第三方所窃听,或即使窃听到也不知所云。但就象vpn 一样,ssl 在认证方面没有任何作为,它们都需要通过另外的手段来确认身份和建立双方彼此间的信任,然后再通过ssl 进行交易。
正是由于ssl 标准在认证方面的缺憾,所以set 才有存在的必要。set(secure electronic transactions) 规范由masterc ard 和visa 公司于1996 年发布,专家们认为set 是保证用户与商家在电子商务与在线交易中免受欺骗的重要手段。传统的信用卡交易者总在担心不诚实的店员会将自己的信用卡号码透露给他人,而在线交易也是如此,持卡者总在担心服务器端的管理员会将信用卡号码泄露出去,或者担心黑客会在管理员不知情的情况下盗取信用卡号码。事实上这些担心都是必要的,而set 标准则可以保证用户的信用卡号码只传送给信用卡公司进行认证,不会被系统管理员看到,也不会留在交易服务器的硬盘上给黑客以可乘之机。
5.pki
pki是一种易于管理的、集中化的网络安全方案。它可支持多种形式的数字认证: 数据加密、数字签字、不可否认、身份鉴别、密钥管理以及交叉认证等。pki可通过一个基于认证的框架处理所有的数据加密和数字签字工作。p ki标准与协议的开发迄今已有15年的历史,目前的pki已完全可以向企业网络提供有效的安全保障。
pki是一种遵循标准的密钥管理平台,它能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理。pki必须具有
1)ca、
2)证书库、
3)密钥备份及恢复系统、
4)证书作废处理系统、
5)客户端证书处理系统
等基本成分,构建pki也将围绕着这五大系统来构建
一个pki由众多部件组成,这些部件共同完成两个主要功能:
1)为数据加密
2)创建数字认证。
服务器(即后端)产品是这一系统的核心,这些数据库管理着数字认证、公共密钥及专用密钥( 分别用于数据的加密和解密)。
ca数据库负责发布、废除和修改x.509数字认证信息,它装有用户的公共密钥、证书有效期以及认证功能(例如对数据的加密或对数字签字的验证) 。为了防止对数据签字的篡改,ca在把每一数字签字发送给发出请求的客户机之前,需对每一个数字签字进行认证。一旦数字认证得以创建, 它将会被自动存储于x.500目录中,x.500目录为树形结构。ldap(lightweight directory access protocol)协议将响应那些要求提交所存储的公共密钥认证的请求。ca为每一用户或服务器生成两对独立的公共和专用密钥。其中一对用于信息的加密和解密, 另一对由客户机应用程序使用,用于文档或信息传输中数字签字的创建。
大多数pki均支持证书分布,这是一个把已发布过的或续延生命期的证书加以存储的过程。这一过程使用了一个公共查询机制,x.500目录可自动完成这一存储过程。影响企业普遍接受p ki的一大障碍是不同ca之间的交叉认证。假设有两家公司,每一家企业分别使用来自不同供应商的ca,现在它们希望相互托管一段时间。如果其后援数据库支持交叉认证, 则这两家企业显然可以互相托管它们的ca,因而它们所托管的所有用户均可由两家企业的ca所托管。
* 认证机关
ca是证书的签发机构,它是pki的核心。众所周知,构建密码服务系统的核心内容是如何实现密钥管理,公钥体制涉及到一对密钥,即私钥和公钥, 私钥只由持有者秘密掌握,无须在网上传送,而公钥是公开的,需要在网上传送,故公钥体制的密钥管理主要是公钥的管理问题,目前较好的解决方案是引进证书(certificate)机制。
证书是公开密钥体制的一种密钥管理媒介。它是一种权威性的电子文档,形同网络计算环境中的一种身份证,用于证明某一主体(如人、服务器等)的身份以及其公开密钥的合法性。在使用公钥体制的网络环境中, 必须向公钥的使用者证明公钥的真实合法性。因此,在公钥体制环境中,必须有一个可信的机构来对任何一个主体的公钥进行公证,证明主体的身份以及他与公钥的匹配关系。c a正是这样的机构,它的职责归纳起来有:
1、验证并标识证书申请者的身份;
2、确保ca用于签名证书的非对称密钥的质量;
3、确保整个签证过程的安全性,确保签名私钥的安全性;
4、证书材料信息(包括公钥证书序列号、ca标识等)的管理;
5、确定并检查证书的有效期限;
6、确保证书主体标识的唯一性,防止重名;
7、发布并维护作废证书表;
8、对整个证书签发过程做日志记录;
9、向申请人发通知。
其中最为重要的是ca自己的一对密钥的管理,它必须确保其高度的机密性,防止他方伪造证书。ca的公钥在网上公开,整个网络系统必须保证完整性。
* 证书库
证书库是证书的集中存放地,它与网上"白页”类似,是网上的一种公共信息库,用户可以从此处获得其他用户的证书和公钥。
构造证书库的最佳方法是采用支持ldap协议的目录系统,用户或相关的应用通过ldap来访问证书库。系统必须确保证书库的完整性,防止伪造、篡改证书。
* 密钥备份及恢复系统
* 证书作废处理系统
* pki应用接口系统
pki的价值在于使用户能够方便地使用加密、数字签名等安全服务,因此一个完整的pki必须提供良好的应用接口系统,使得各种各样的应用能够以安全、一致、可信的方式与p ki交互,确保所建立起来的网络环境的可信性,同时降低管理维护成本。最后,pki应用接口系统应该是跨平台的。
许多权威的认证方案供应商(例如verisign、thawte以及gte)目前都在提供外包的pki。外包pki最大的问题是,用户必须把企业托管给某一服务提供商, 即让出对网络安全的控制权。如果不愿这样做,则可建造一个专用的pki。专用方案通常需把来自entrust、baltimore technologies以及xcert的多种服务器产品与来自主流应用程序供应商(如microsoft、netscape以及qualcomm)的产品组合在一起。专用pk i还要求企业在准备其基础设施的过程中投入大量的财力与物力。
7.jaas
扩展jaas实现类实例级授权
“java 认证和授权服务”(java authentication and authorization service,jaas)
在 jaas 下,可以给予用户或服务特定的许可权来执行 java 类中的代码。在本文中,软件工程师 carlos fonseca 向您展示如何为企业扩展 jaas 框架。向 jaas 框架添加类实例级授权和特定关系使您能够构建更动态、更灵活并且伸缩性更好的企业应用程序。
大多数 java 应用程序都需要某种类实例级的访问控制。例如,基于 web 的、自我服务的拍卖应用程序的规范可能有下列要求:
public static object
doas(subject subject, java.security.privilegedaction action)
throws java.security.privilegedactionexception
注意,用来保护敏感代码的方法与“java 2 代码源访问控制”(java 2 codesource access control)概述中描述的方法相同。请参阅参考资料部分以了解更多关于 jaas 中代码源访问控制和认证的信息。
jaas 中的授权
清单 4 显示一个授权请求的结果,该请求使用清单 3 中显示的 jaas 策略文件。假设已经安装了 securitymanager,并且 logincontext 已经认证了一个带有名为“admin”的 com.ibm.resource.security.auth.principalexample 主体的 subject。
清单 4. 一个简单的授权请求
public class jaasexample {
public static void main(string[] args) {
...
// where authenticateduser is a subject with
// a principalexample named admin.
subject.doas(authenticateduser, new jaasexampleaction());
...
}
}
public class jaasexampleaction implements privilegedaction {
public object run() {
filewriter fw = new filewriter("hi.txt");
fw.write("hello, world!");
fw.close();
}
}
这里,敏感代码被封装在 jaasexampleaction 类中。还要注意,调用类不要求为 jaasexampleaction 类代码源授予许可权,因为它实现了一个 privilegedaction。
扩展 jaas
大多数应用程序都有定制逻辑,它授权用户不仅仅在类上执行操作,而且还在该类的实例上执行操作。这种授权通常建立在用户和实例之间的关系上。这是 jaas 的一个小缺点。然而,幸运的是,这样设计 jaas 使得 jaas 可以扩展。只要做一点工作,我们将可以扩展 jaas,使其包含一个通用的、类实例级的授权框架。
在文章开头处我已经说明了,抽象类 javax.security.auth.policy 被用于代表 jaas 安全性策略。它的缺省实现是由 com.sun.security.auth.policyfile 类提供。policyfile 类从 jaas 格式的文件(象清单 3 中显示的那个一样)中读取策略。
我们需要向这个文件添加一个东西为类实例级授权扩展策略定义:一个与许可权语句相关的可选关系参数。
缺省 jaas 许可权语句的格式如下:
permission <permission implementation class>; [name], [actions];
我们在这个许可权语句的末尾添加一个可选的关系参数来完成策略定义。下面是新许可权语句的格式:
permission <permission implementation class>;
[name], [actions], [relationship];
在为类实例级授权扩展 jaas 时要注意的最重要的一点是:许可权实现类必须有一个带三个参数的构造函数。第一个参数是名称参数,第二个是行为参数,最后一个是关系参数。
解析新文件格式
既然文件格式已经改变,就需要一个新的 javax.security.auth.policy 子类来解析文件。
为简单起见,我们的示例使用了一个新的 javax.security.auth.policy 子类 com.ibm.resource.security.auth.xmlpolicyfile,来从 xml 文件读取策略。在实际的企业应用程序中,关系数据库更适合执行这个任务。
使用 xmlpolicyfile 类代替缺省的 jaas 访问控制策略实现的最容易的方法是向 java.security 属性文件添加 auth.policy.provider=com.ibm.resource.security.auth.xmlpolicyfile 条目。java.security 属性文件位于 java 2平台运行时的 lib/security 目录下。清单 5 是与 xmlpolicyfile 类一起使用的样本 xml 策略文件:
清单 5. 一个 xml 策略文件
<?xml version="1.0"?>;
<policy>;
<grant codebase="file:/d:/sample_actions.jar">;
<principal classname=
"com.ibm.resource.security.auth.principalexample" name="users">;
<permission classname=
"com.ibm.resource.security.auth.resourcepermission"
name="com.ibm.security.sample.auction"
actions="create" />;
<permission classname=
"com.ibm.resource.security.auth.resourcepermission"
name="com.ibm.security.sample.auction"
actions="read" />;
<permission classname=
"com.ibm.resource.security.auth.resourcepermission"
name="com.ibm.security.sample.auction"
actions="write"
relationship="owner" />;
<permission classname=
"com.ibm.resource.security.auth.resourcepermission"
name="com.ibm.security.sample.bid"
actions="create" />;
<permission classname=
"com.ibm.resource.security.auth.resourcepermission"
name="com.ibm.security.sample.bid"
actions="read" />;
<permission classname=
"com.ibm.resource.security.auth.resourcepermission"
name="com.ibm.security.sample.bid"
actions="write"
relationship="owner" />;
<permission classname=
"com.ibm.resource.security.auth.resourcepermission"
name="com.ibm.security.sample.bid"
actions="accept"
relationship="actionowner" />;
</principal>;
</grant>;
</policy>;
在这个示例策略文件中,任何与名为 principalexample 的用户有关的用户(subject)都可以创建并读取一个 auction.class 实例。但是,只有创建该实例的用户才可以更新(写)它。这是第三个 permission 元素定义的,该元素包含值为 owner 的 relationship 属性。bid.class 实例也是一样,除了相应 auction.class 实例的所有者可以更改投标接受标志。
resource 接口
要求类实例级访问控制的类必须实现 resource 接口。该接口的 getowner() 方法返回类实例的所有者。fulfills(subject subject, string relationship) 方法被用于处理特定关系。另外,这些类使用 com.ibm.resource.security.auth.resourcepermission 类保护敏感代码。例如,auction 类拥有下列构造函数:
public auction() {
permission permission =
new resourcepermission("com.ibm.security.sample.auction", "create");
accesscontroller.checkpermission(permission);
}
所有者关系
resourcepermission 类的 implies(permission p) 方法是这个框架的关键。implies() 方法就等同性比较名称和行为属性。如果定义了一个关系,那么必须把受保护的类实例(resource)传递到 resourcepermission 构造函数中。resourcepermission 类理解所有者关系。它将类实例的所有者与执行代码的 subject(用户)进行比较。特定关系被委托给受保护类的 fulfills() 方法。
例如,在清单 5 中所示的 xml 策略文件中,只有 auction 类实例的所有者可以更新(写)文件。该类的 setter 方法使用清单 6 中显示的保护代码:
清单 6. 运行中的 implies(permission) 方法
public void setname(string newname) {
permission permission =
new resourcepermission("com.ibm.security.sample.auction", "write", this);
accesscontroller.checkpermission(permission);
// sensitive code
this.name = newname;
}
被传递到 resourcepermission 构造函数中的 this 引用代表 auction 类实现的 resource 接口。由于策略文件中列出的关系是 owner,所以 resourcepermission 类使用这个引用检查当前 subject(用户)是否拥有与实例所有者相匹配的主体。如果指定了另一个关系,那么 resourcepermission 类调用 auction 类的 fulfills(subject subject, string relationship) 方法。由 resource 实现类提供 fulfills() 方法中的逻辑。
xml 策略文件中列出的 bid 类拥有清单 7 中所示的方法(假设 bid 类实例有一个对相应 auction 类实例的引用 — auction)。
清单 7. 处理特定关系
public void setaccepted(boolean flag) {
permission permission =
new resourcepermission("com.ibm.security.sample.auction", "accept", this);
accesscontroller.checkpermission(permission);
// sensitive code
this.accepted = flag;
}
public boolean fulfills(subject user, string relationship) {
if( relationship.equalsignorecase("auctionowner") ) {
string auctionowner = auction.getowner();
iterator principaliterator = user.getprincipals().iterator();
while(principaliterator.hasnext()) {
principal principal = (principal) principaliterator.next();
if( principal.getname().equals(auctionowner) )
return true;
}
}
return false;
}
传递到 fulfills() 方法中的关系字符串是策略文件中列出的关系。在这个案例中,我们使用了“auctionowner”字符串。
缺省情况下,xmlpolicyfile 类在当前工作目录中查找名为 resourcepolicy.xml 的文件。系统属性 com.ibm.resource.security.auth.policy 可以用于指定另一个不同的文件名和位置。
websphere application server 示例
除命令行示例之外,您可能还想运行这个简单的程序,该程序为了 ibm websphere application server,version 4.0.2 而被优化。
一个可运行的示例
综合这些信息,我们将运行一个简单的命令行示例。该示例程序包含三个 jar 文件:
resourcesecurity.jar
example.jar
exampleactions.jar
resourcesecurity.jar 文件包含允许实例级访问控制的 jaas 扩展框架。它还包含一个 loginmoduleexample 类,这个类从 xml 文件读取用户认证信息。用户标识和密码存储在 users.xml 文件中。用户组存储在 groups.xml 文件中。关于 loginmoduleexample 的更多信息,请参阅参考资料部分。
该示例包含四个附加的文件:
login.conf
policy
resourcepolicy.xml
run.bat
在试图运行这个示例程序之前,请确保更新了 run.bat、policy 和 resourcepolicy.xml 文件中的路径。缺省情况下,所有的密码都是“passw0rd”。
示例如何工作
该示例程序提示输入用户标识和密码。它用 users.xml 文件中的条目核对所提供的用户标识和密码。在认证了用户之后,程序设法创建一个 userprofile 类实例,修改它并从中读取。缺省情况下,userprofile 类的所有者是 jane(jane)。当 jane 登录时,三个操作全部成功。当 john(john)登录时,只有创建操作成功。当 jane 的经理 lou(lou)登录时,只有第一个和最后一个操作成功。当系统管理员(admin)登录时,操作全部成功。当然,只有当提供的 resourcepolicy.xml 文件未被修改时,上述这些才都是真的。
示例安装
下面的安装指导假设您正在使用 jdk 1.3 并且已经把文件解压缩到 d:jaasexample 目录。通过将文件解压缩到这个目录,您可以省去一些工作;否则您就必须使用正确的路径名修改 policy 和 resourcesecurity.xml 策略文件。
下面是运行该示例需要做的工作:
下载这个示例的源文件。
把 jaas.jar 和 jaasmod.jar 复制到 jdk jrelibext 目录(即 d:jdk1.3jrelibext)。
向位于 jdk 的 jrelibsecurity 目录(即 d:jdk1.3jrelibsecurity)中的 java.security 文件的末尾添加下面的字符串:auth.policy.provider=com.ibm.resource.security.auth.xmlpolicyfile。
执行 run.bat 文件。
结束语
类实例级授权把访问控制分离到一个通用框架(该框架使用基于所有权和特定关系的策略)中。然后管理员可以在应用程序的生命周期内更改这些策略。用这种方法扩展 jaas 减少了您或另一个程序员必须在应用程序生命周期内业务规则发生更改时重写代码的可能性。
通过将关系字符串抽象为类可以进一步扩展特定关系这个概念。不调用 resource 实现类的 fulfills(subject user, string relationship) 方法,而只要调用 relationship 实现类中定义的新 fulfills(subject user, resource resource) 方法。这样就会允许许多 resource 实现类使用相同的关系逻辑。
6.java的安全性
1. the security manager是一个application-wide object ( java.lang.securitymanager)
每个java application都可以有自己地security manager,但是默认地java application没有一个security manager
可以通过下面地代码得到一个security manager
try
{
system.setsecuritymanager(new securitymanager(“--”));
}
catch( )
{}
2.
jdbc
在 jdbc 2 开发的过程中,sql99 还处在一种变化不定的情况下。现在规范已经完成了,而且数据库厂商已经采用了部分标准。所以自然地,jdbc 规范就跟着将自己与 sql99 功能的一部分相统一。最新的 jdbc 规范已经采用了 sql99 标准中那些已经被广泛支持的功能,还有那些在五年内可能会获得支持的功能。
1. datasource
在jdbc2.0 optional package中,提供了透明的连接池(connection pooling)。
一旦配置了j2ee应用服务器后,只要用datasource获取连接(connection),连接池(connection pooling)就会自动的工作。
如果用户希望建立一个数据库连接,通过查询在jndi服务中的datasource,可以从datasource中获取相应的数据库连接。
datasource被认为是从jndi中获取的网络资源。
datasource在池中保存的对象都实现了pooledconnection接口。
当应用程序向datasource请求一个connection时,它会找到一个可用的pooledconnection对象。
如果连接池空了,它就向connectionpoolecdatasource请求一个新的pooledconnection对象
通过使用 datasource 接口 (jdbc 2.0) 或 drivermanager (jdbc 1.0) 接口,j2ee 组件可以获得物理数据库连接对象(connection)。要获得逻辑(合用的)连接,j2ee 组件必须使用以下这些 jdbc 2.0 合用管理器接口:
javax.sql.connectionpooldatasource 接口,该接口充当合用的 java.sql.connection 对象的资源管理器连接 factory。每家数据库服务器供应商都提供该接口的实现
(例如,oracle 实现 oracle.jdbc.pool.oracleconnectionpooldatasource 类)。
javax.sql.pooledconnection 接口,该接口封装到数据库的物理连接。同样,数据库供应商提供其实现。
对于那些接口和 xa 连接的每一个,都存在一个 xa(x/open 规范)等价定义。
2. resultset
在jdbc2.0中,为了获得一个uptatable result,在query语句里必须包含primarykey,并且查询的内容里必须来自一个table
ava.sql.resultset接口中定义了三种类型的结果集
type_forward_only
type_scroll_insensitive这种类型的结果集支持双向滚动
type_scroll_sensitive
如果要建立一个双向滚动的resultset,一定要在建立statement的时候使用如下参数
statement stmt = conn.createstatement(resultset.type_scroll_insensitive,
resultset.concur_read_only);
3. jdbc驱动程序
连通oracle8.1.6的jdbc
把oracle8.1.6/lib/jdbc/*.zip copy 到 %java_home%/jre/lib/ext/*.jar
如果光copy不ren为.jar是没有用的。
4. 事务处理
本地事务
java.sql.connection接口可以控制事务边界(即开始和结束)。
在事务开始的时候调用setautocommit( false ), 而在中止事务时调用rollback或commit()方法。这类事务叫本地事务。
分布式事务
但是,在特定的情况下,可能有多个客户(例如两个不同的servlet或ejb组件)参与了同一个事务。
或者,客户在同一个事务中可能会执行跨越多个数据库的数据库操作。
jdbc2.0 optional package 同jta一起来实现分布式样事务。
5. 一些技巧
检索自动产生的关键字
为了解决对获取自动产生的或自动增加的关键字的值的需求,jdbc 3.0 api 现在将获取这种值变得很轻松。要确定任何所产生的关键字的值,只要简单地在语句的 execute() 方法中指定一个可选的标记,表示您有兴趣获取产生的值。您感兴趣的程度可以是 statement.return_generated_keys,也可以是 statement.no_generated_keys。在执行这条语句后,所产生的关键字的值就会通过从 statement 的实例方法 getgeneratedkeys() 来检索 resultset 而获得。resultset 包含了每个所产生的关键字的列。清单 1 中的示例创建一个新的作者并返回对应的自动产生的关键字。
清单 1. 检索自动产生的关键字
statement stmt = conn.createstatement();
// obtain the generated key that results from the query.
stmt.executeupdate("insert into authors " +
'(first_name, last_name) " +
"values ('george', 'orwell')",
statement.return_generated_keys);
resultset rs = stmt.getgeneratedkeys();
if ( rs.next() ) {
// retrieve the auto generated key(s).
int key = rs.getint();
}
jta/jts
1.jta/jts基本知识
服务器实现jts是否对应用程序开发人员来说不是很重要的。
对你来说,应该把jta看作是可用的api。
jta是用来开发distributed tansaction的 api.
而jts定义了支持jta中实现transaction manager 的规范。
javatransaction service (jts) specifies the implementation of a transaction manager which supports the java transaction api (jta) 1.0 specification at the high-level and implements the java mapping of the omg object transaction service (ots) 1.1 specification at the low-level. jts uses the standard corba orb/ts interfaces and internet inter-orb protocol (iiop) for transaction context propagation between jts transaction managers.
a jts transaction manager provides transaction services to the parties involved in distributed transactions: the application server, the resource manager, the standalone transactional application, and the communication resource manager (crm).
2.jta
1.1 事务处理的概念
jta实际上是由两部分组成的:一个高级的事务性客户接口和一个低级的 x/open xa接口。
我们关心的是高级客户接口,因为bean可以访问它,而且是推荐的客户应用程序的事务性接口。
低级的xa接口是由ejb服务器和容器使用来自动协调事务和资源(如数据库)的
1.1.1事务划分
a.程序划分
使用usertransaction启动jta事务
the usertransaction interface defines the methods that allow an application to explicitly manage transaction boundaries.(from j2ee api document)
第四篇:java学习心得
java学习心得之一——鼠标事件处理
java中,鼠标事件一般由用户界面个组件的内部实现,用户不用关心太多细节。然而,在处理一些鼠标自适应事件如鼠标绘图、鼠标移动特定组件时,就需要对鼠标事件做专门的处理了。
和其他用户界面组件的实现一样,java对鼠标事件的处理也是通过awt事件处理机制来实现的,即:事件源(在此,鼠标事件的事件源可以看做隐藏,或为需要对鼠标事件响应的相关组件,如panel对象等)注册监听器(mouselistener or mousemotionlistener)对象,并发送事件对象的对象(mouseevent)。当事件发生时(如鼠标点击、指针移动等),事件源将事件对象传递给所注册的监听器,监听器对象利用事件对象中的信息 决定如何对事件做出响应。
在此,将引用一段源码(mousetest.java)来具体说明。这段源码实现了如下功能:
1. 绘制方块:在鼠标任意键被按下时,绘制一个正方形。
2. 改变指针状态:当鼠标指针移动至图形内部时,指针变为十字形状,移出方块时,指针恢复。
3. 拖动方块:当鼠标指针移至图形内部,按下任意键,拖动指针时,图形将随之移动,直到松开按钮为止。
4. 擦除方块,当指针移至图形内部,双击鼠标任意键,可擦除当前方块。
具体源码如下:
import java.awt.*;
import java.awt.event.*;
import java.util.*;
import javax.swing.*;
import java.awt.geom.*;
public class mousetest
{
public static void main(string[] args)
{
mouseframe frame=new mouseframe();
frame.setdefaultcloseoperation(jframe.exit_on_close);
frame.setvisible(true);
}
}
class mouseframe extends jframe
{
public mouseframe()
{
settitle("mouse test");
setsize(default_width,default_height);
mousepanel panel=new mousepanel();
add(panel);
}
public static final int default_width=500;
public static final int default_height=400;
}
class mousepanel extends jpanel
{
//绘制图形
public mousepanel()
{
squares=new arraylist<rectangle2d>();
current=null;
addmouselistener(new mousehandler());
addmousemotionlistener(new mousemotionhandler());
}
public void paintcomponent(graphics g)
{
super.paintcomponent(g);
graphics2d g2=(graphics2d)g;
for(rectangle2d r: squares)
{
g2.setcolor(color.blue);
g2.draw(r);
}
}
/*
* 查询当前点是否已经存在
*/
public rectangle2d find(point2d p)
{
for(rectangle2d r: squares)
{
if(r.contains(p))
return r;
}
return null;
}
/*
* 用当前鼠标点击的点生成图形,并存入图形数组列表,同时重画
*/
public void add(point2d p)
{
double x=p.getx();
double y=p.gety();
current=new
rectangle2d.double(x-side_length/2,y-side_length/2,side_length,side_length);
squares.add(current);
repaint();
}
/*
* 删除图形
*/
public void remove(rectangle2d s)
{
if(s==null) return;
if(s==current) current=null;
squares.remove(s);
repaint();
}
private static final int side_length=20;//正方形的边长
private arraylist<rectangle2d> squares;//存放所有已绘制的方块(鼠标有效绘制路径)
private rectangle2d current;//当前需要绘制的方块
private class mousehandler extends mouseadapter
{
/*
* 当鼠标按钮被按下时,先查找当前点是否已经包含在前期图新内,* 否,则添加至数组列表
*/
public void mousepressed(mouseevent event)
{
current=find(event.getpoint());
if(current==null)
add(event.getpoint());
}
/*
* 处理鼠标点击事件,如果当前点包含于图形之中,且鼠标连续点击两次以上,则擦除该图形。
*/
public void mouseclicked(mouseevent event)
{
current=find(event.getpoint());
if(current!=null && event.getclickcount()>=2)
remove(current);
}
}
private class mousemotionhandler implements mousemotionlistener
{
/*
* 改变鼠标形状
h);*/public void mousemoved(mouseevent event){if(find(event.getpoint())==null)setcursor(cursor.getdefaultcursor());elsesetcursor(cursor.getpredefinedcursor(cursor.crosshair_cursor));}/** 拖动图形*/public void mousedragged(mouseevent event){if(current!=null){int x=event.getpoint().x;int y=event.getpoint().y;current.setframe(x-side_length/2,y-side_length/2,side_length,side_lengt
}}}} repaint();
第五篇:关于java学习的一点心得体会
管理科学与工程学院11信管2班孙鑫20144548
关于java学习的一点心得体会
我是学信管专业的,这学期除了学习了java软件开发综合实验这门选修课外,还有自己本专业要学的java面向对象的程序设计。学习了近一学期的java课程,觉得是该总结自己的心得体会了。开始学习任何一门课(包括java),兴趣最重要。一直觉得自己在学习了计算机编程语言(也就是c语言),学到了很多东西,再学习java的话,应该问题不大,但在学习了几个星期后,还是明确感到了,有点吃力,于是趁学校开设这门选修课,并且有自己院的老师讲解,还有了上机的机会,比自己自学省事多了,于是鼓足信心,开始了漫长的java征途。
还记得我编写的第一个程序是简单的输出程序。当时自己不是很理解为什么main方法要这样来定义public static void main(string[] args),问了好多同学,他们告诉我的答案是一样的“java本身要求就是这样子的”,但我自己不甘心,就自己进行了探索:把main改个名字运行一下,看看报什么错误,然后根据出错信息进行分析;把main的public取掉,在试试看,报什么错误;static去掉还能不能运行;不知道main方法是否一定要传一个string[]数组的,把string[]改掉,改成int[],或者string试试看;不知道是否必须写args参数名称的,也可以把args改成别的名字,看看运行结果如何。 结果一个简单程序反复改了七八次,不断运行,分析运行结果,最后就彻底明白为什么了main方法是这 1
样定义的了。接着在以后的学习中我也采用这样的方法解决问题,却发现自己的速度比别人慢了好多,我就把自己的课余时间也分一部分给了java。
因为基础是最重要的,只有基础牢固才有可能对后面的学习有更加深刻的认识!
学习一门新的语言,参考书是离不开的。听专业课老师说订的教材偏难,不适合我们初学者,于是我在图书馆借了本参考书(一本篇幅较短的入门书来学习那些最简单、最基本的东西,包括学习java语法等)。同时,对一个最简单的程序也应该多去调试,多想想如果改动一下会出现什么结果?为什么必须那样写?多去想想这些问题然后去操作,会让你有更多的收获。这样反复地思考是很有用的。
在学习java的语法时,java的语法是类似c语言的,所以学习的比较轻松。唯一需要注意的是有几个不容易搞清楚的关键字的用法,public,protected,private,static,什么时候用,为什么要用,怎么用,和同学一起讨论了好久才得以解决。
在学习java的面向对象的编程语言的特性。比如继承,抽象类,方法的多态,重载,覆盖。对于一个没有面向对象语言背景的人来说,我觉得这个过程需要花很长很长时间,因为学习java之前没有c++的经验,只有c语言的经验,花了很长时间,才彻底把这些概念都搞清楚,把书上面的例子反复的揣摩,修改,尝试,把那几章内容反复的看过来,看过去,看了很多遍,才彻底领悟了。
此外,我对于static,public,private等等一开始都不是很懂,
都是把书上面的例子运行成功,然后就开始破坏它,不断的根据自己心里面的疑问来重新改写程序,看看能不能运行,运行出来是个什么样子,是否可以得到预期的结果。这样虽然比较费时间,不过一个例子程序这样反复破坏几次之后。我就对这个相关的知识彻底学通了。有时候甚至故意写一些错误的代码来运行,看看能否得到预期的运行错误。这样对于编程的掌握是及其深刻的。
在学习java的过程中我得出这样的结论:
1.学习中,要养成良好的习惯(写括号时要成对,字母大小写要区分,单词拼写要准确)。
2.在学习的过程中,最好不是仅仅停留在java表层,不是抄书上的例子运行出结果就可以。要注意,即便对一个简单的例子也要有耐心去琢磨、调试、改动。
3.在学习的过程中一定要动手做、试着写代码,而不是抱一本书看看就行。很多东西和体会必须自己动手才能真正属于自己。
4. 在 java 的学习过程中,可能会遇到形形色色的问题不容易解决,应多去专业论坛了解相关的知识,书本上的知识有限。要会从网上搜索有用的信息 加以整理,促进学习的深入和知识水平的提高。
看了好多网上课程,说学到一定程度要尝试着自己做东西,但觉得自己仅仅经过一学期的学习,还远远不够,希望自己在以后学习中继续努力,能够真真正正拥有一门编程语言,对自己今后的发展起到作用。
本网推荐更多文章:
该篇java基础学习心得范文,全文共有42147个字。好范文网为全国范文类知名网站,下载全文稍作修改便可使用,即刻完成写稿任务。下载全文:
