BlogJava-jinfeng_wang-随笔分类-view

网络服务器设计的模型及一些设计方法zz

jinfeng_wang — Fri, 16 Apr 2010 03:36:00 GMT

http://blog.csdn.net/proad/archive/2008/04/16/2296925.aspx

1. 常用服务器模型
a.迭代服务器：只有一个进程/线程处理请求。一般为单进程,加上select多路复用,非阻塞socket。
b.迭代/并发混合型服务器：平时迭代处理，对消耗大的请求并发处理。处理请求时设置一个超时，当请求的处理时间超时时，创建一个进程/线程，把处理转给新的进程/线程处理，主进程/线程继续处理其他请求。
c.并发服务器：多个进程/线程并发处理请求。

2. 以上三类的服务器比较
迭代服务器：最简单，性能不高。
并发服务器：性能较高，但结构相对比较复杂，开发难度中等。
迭代/并发混合型服务器：性能不错，但结构通常比单纯的并发服务器更复杂。

3. 多进程的并发服务器
a. 每个连接fork一个进程：主进程accpet连接，有新连接到来时fork一个进程，然后继续accept，等待新的连接。数据传输由子进程处理，处理完后子进程exit。每个子进程只处理一个连接。
b. Prefork进程：主进程预先fork一些进程，各个子进程竞争accept，然后处理数据传输。一个子进程可以处理一个连接，也可以同时处理多个连接（通过select等）。
c. Prefork进程：由父进程accept请求，通过流管道转发fd到子进程，子进程收到fd后，处理数据传输，处理结束后通知父进程。父进程处理的事情比较简单，容易监控子进程。

以上3种方式性能比较：
a.每个连接fork一个进程：处理smtp等状态较多，数据量比较大时比较简单实用，总体性能不大好。
b.Prefork进程，各个子进程竞争accept：比较简单，性能不错。
c.Prefork进程，由父进程accept请求，通过流管道转发fd到子进程：代码复杂，性能一般不如上一种。

4. 多线程的并发服务器
a.每个连接一个线程
b.Prethread多个线程，各个线程互斥accept
c.Prethread多个线程，主线程accept并分发连接给子线程

5. 多进程与多线程的比较
使用线程的模型：性能比使用进程要高，但代码比较复杂，对代码质量要求更高，线程出错后可能会影响到所有线程，多进程的模式一个进程出错一般不会影响其他进程。
多线程模型共享数据比较简单有效，多进程模型共享数据比较麻烦，效率也不如线程。

6. 一些流行的网络服务器采用的模型

Sendmail: 采用多进程，每个连接fork一个进程.
每个连接fork一个子进程
子进程只处理一个连接
子进程fork一个localmail进程（可以由用户自己编写），通过管道把数据转给localmail处理，把邮件处理业务逻辑独立出来
优点：结构简单，不用维护复杂的状态机

Apache1.3:采用多进程, prefork进程
子进程竞争accept，每次只处理一个连接
主进程不accept，根据负载情况调整子进程数量
子进程运行一段时间后，主进程会让它退出，然后创建一个新的进程，防止内存泄漏等
主进程通过shared memory监控子进程

移动QQ: Prefork多个进程，竞争accept,
典型的一问一答TCP服务器，结构简单
每个进程通过select可以同时处理多个连接
采用这种结构的原因有：
每秒请求<1000，可以满足要求
结构简单，容易开发、维护

jinfeng_wang 2010-04-16 11:36 发表评论

劳动法分析

jinfeng_wang — Thu, 18 Mar 2010 16:27:00 GMT

A)中华人民共和国劳动合同法

http://www.molss.gov.cn/gb/news/2007-06/30/content_184630.htm

B)中华人民共和国劳动合同法实施条例(解释劳动法实施)

http://www.gov.cn/flfg/2008-09/19/content_1099500.htm

C)关于确立劳动关系有关事项的通知

http://www.law-lib.com/law/law_view.asp?id=92395

D)上海市女职工劳动保护办法

http://www.shanghai.gov.cn/shanghai/node2314/node3124/node3125/node3133/userobject6ai655.html

· C)的相关内容：

用人单位未与劳动者签订劳动合同，认定双方存在劳动关系时可参照下列凭证：

(一)工资支付凭证或记录(职工工资发放花名册)、缴纳各项社会保险费的记录；

(二)用人单位向劳动者发放的“工作证”、“服务证”等能够证明身份的证件；

· B) 的相关内容：

第六条用人单位自用工之日起超过一个月不满一年未与劳动者订立书面劳动合同的，应当依照劳动合同法第八十二条的规定向劳动者每月支付两倍的工资，并与劳动者补订书面劳动合同；劳动者不与用人单位订立书面劳动合同的，用人单位应当书面通知劳动者终止劳动关系，并依照劳动合同法第四十七条的规定支付经济补偿。(1，相当于给2倍工资，2，补合同，3，如果辞退，再按照有合同补偿）

第二十七条　劳动合同法第四十七条规定的经济补偿的月工资按照劳动者应得工资计算，包括计时工资或者计件工资以及奖金。

· A)的相关内容：

第四十二条　劳动者有下列情形之一的，用人单位不得依照本法第四十条、第四十一条的规定解除劳动合同：

（四）女职工在孕期、产期、哺乳期的

　第四十七条　经济补偿按劳动者在本单位工作的年限，每满一年支付一个月工资的标准向劳动者支付。六个月以上不满一年的，按一年计算；不满六个月的，向劳动者支付半个月工资的经济补偿。

第八十二条　用人单位自用工之日起超过一个月不满一年未与劳动者订立书面劳动合同的，应当向劳动者每月支付二倍的工资。

用人单位违反本法规定不与劳动者订立无固定期限劳动合同的，自应当订立无固定期限劳动合同之日起向劳动者每月支付二倍的工资。

第八十七条　用人单位违反本法规定解除或者终止劳动合同的，应当依照本法第四十七条规定的经济补偿标准的二倍向劳动者支付赔偿金。

第十四条　无固定期限劳动合同，是指用人单位与劳动者约定无确定终止时间的劳动合同。

用人单位与劳动者协商一致，可以订立无固定期限劳动合同。有下列情形之一，劳动者提出或者同意续订、订立劳动合同的，除劳动者提出订立固定期限劳动合同外，应当订立无固定期限劳动合同：

（一）劳动者在该用人单位连续工作满十年的；

（二）用人单位初次实行劳动合同制度或者国有企业改制重新订立劳动合同时，劳动者在该用人单位连续工作满十年且距法定退休年龄不足十年的；

（三）连续订立二次固定期限劳动合同，且劳动者没有本法第三十九条和第四十条第一项、第二项规定的情形，续订劳动合同的。

用人单位自用工之日起满一年不与劳动者订立书面劳动合同的，视为用人单位与劳动者已订立无固定期限劳动合同。

· D) 的相关内容：

第十一条对妊娠期的女职工，不应延长其劳动时间；

第十四条女职工产假分别按下列情况执行：

（一）单胎顺产者，给予产假九十天，其中产前休息十五天，产后休息七十五天。

第十五条女职工生育后，在其婴儿一周岁内应照顾其在每班劳动时间内授乳两次（包括人工喂养）。每次单胎纯授乳时间为三十分钟，亦可将两次授乳时间合并使用。多胞胎生育者，每多生一胎，每次哺乳时间增加三十分钟。

第十八条女职工在产假期间的工资照发。按本规定享受的产前假和哺乳假的工资按本人原工资的百分之八十发给。单位增加工资时，女职工按规定享受的产前假、产假、哺乳假，应作出勤对待。

· 结论：

1） 认定劳动关系：工作证

2） 是否签合同

3） 如果没签合同，怎么补偿（1，相当于给2倍工资，2，补合同，3，如果辞退，再按照有合同补偿）

4） 如果是固定合同，怎么补偿（N+1）

5） 如果是无期合同，2倍

6） 孕妇怎么处理？

1、公司辞退孕妇的补偿情况标准是怎样？

答：发放工资到哺乳期满；按工作年限计算经济补偿金。

2、公司是否可以以我的考核和我是孕产妇不能胜任工作为由对我进行降职降级降薪处理？

答：不可以。

我们的工资分为基本工资（约占1/4)+岗位工资+绩效工资等。是否可能出现只要不降低我的基本工资就是合法的行为？

答：不合理。工资是包括了岗位工资和绩效工资。

3、如果公司依法破产，我是否有向集团主张赔偿的权利？

答：破产也可以主张权利，在破产财产中优先演戏偿。

4、如果可能需要诉诸法律，我应该准备哪些方面的举证？

答：存在劳动关系的证据最重要，此外，工资条、怀孕的证据、结婚证、准生证

也比较重要。（按照劳动法42条，不得解除三期【孕期、产期、哺乳期】妇女。那么如果一定要违反劳动法解除劳动关系，只能按照违反劳动法，按照第八十七条进行二倍赔偿，也就是3倍）

案例:

http://www.tianya.cn/publicforum/content/law/1/119373.shtml

案情：A公司辞退B孕妇（不考虑B可能存在的过错，假设A毫无道理毫无依据的辞退B孕妇）。

　　一审结果：判赔全额孕期工资、全额产期（晚育还加了15天）工资、75%的哺乳期工资，并以入职时间至三期届满为劳动合同关系存续期间计算在职时间，然后以该在职时间按照《劳动合同法》第八十七条判赔了赔偿金（即合法解除的补偿金的双倍）。一审不是我代理的。

　　二审A公司找到我，我想当然的以为，按照《劳动合同法》第八十七条的规定，劳动者可以选择要求继续履行，不要求继续履行的，应当仅支付双倍补偿即可，一审判决属适用法律错误。

jinfeng_wang 2010-03-19 00:27 发表评论

单点登陆(SSO)组件的设计与实现 zz

jinfeng_wang — Fri, 07 Mar 2008 08:36:00 GMT

http://www.cnblogs.com/jillzhang/archive/2008/02/01/1061212.html

先说几句废话，自我感觉此方案还不错，至少解决了安全性的问题，也实现了统一登出，能跨平台，跨服务期，跨域名，当然需要相应的联盟站点的支持，但从原理上绝对能跨平台。设计和具体实现的描述比较长，今天先介绍一部分

1引言

1.1 编写目的

详细说明单点登录组件(SSO)的设计思想和实现方法，是日后该组件维护和扩展工作的基本依据文档。预期读者是要实现单点登录(SSO)系统的系统设计人员，系统开发人员，系统维护人员。

1.2 背景

说明：

待开发软件系统的名称；jillzhang的SSO组件
本项目的任务提出者为jillzhang、开发者为jillzhang、用户为有用户整合需求平台的开发和设计人员。

1.3 定义

SSO是Single Sign On的缩写，该技术主要用于用户整合。
认证中心：认证中心是用户注册，成员站点管理，用户登录，验证登录信息，保存登录信息，颁发登录认证的中心站点。
成员站点: 成员站点是遵从认证中心规则，享用认证中心统一用户的站点。
注册站点：如果想成为成员站点，必须先在认证中心进行站点登记，登记后，认证中心会保存注册站点的配置信息，并将该配置信息发给注册站点。注册站点也需保存这些配置信息，供日后与认证中心交互时候使用。
联盟用户：指在认证中心注册的用户，这些用户能被所有的成员站点所共享。
登录请求：指成员站点向认证中心发出的带有站点配置的用户登录请求信息。
登出请求：只用户向认证中心发出的要求退出登录的请求。
登录请求验证：指的是认证中心根据存储的站点信息对成员站点的登录请求信息进行来源和真实性的验证。
登出请求验证：指认证中心在接受来自成员站点的登出请求的时候，对请求的来源和真实性进行的验证
登录答复：指认证中心对经过验证的登录请求作出的答复信息。该答复包含用户的登录信息。
在线联盟用户数：指的是在成员站点中，在线的联盟用户数量。
在线联盟用户列表：指的是在成员站点中，在线的联盟用户的列表信息。
登录站点清单：是由认证中心维护的用户的登录站点信息，当用户注销的时候，会遍历此清单，逐个登出。

1.4 参考资料

本组件的设计和实现参考了下面的系统和书籍

http://www.cnblogs.com/David-weihw/archive/2007/01/25/630621.html
《数字签名技术原理及技术》

2 程序系统的结构

本组件包括下面几个应用接口，分别如下：

ISite：ISite是用于描述和操作成员站点的接口
IUser : IUser是用于描述和操作联盟用户的接口
IServer:IServer是认证中心处理登录请求和登出请求的接口
IClient: IClient是成员站点发出登录请求和处理登录答复的接口
IUserLoginList：IUserLoginList是描述和操作用户登录站点清单的接口
ILoginRequest：是记录和操作成员站点发送登录请求的接口。
ILoginRequestContainer：用于保存和维护登录请求列表的接口
IUserStateContainer：是联盟站点中保存用联盟用户登录信息的接口。

它们的定义如下：

组件的工作流程描述如下：

第一步，首先注册联盟站点，注册联盟站点用到接口ISite
第二步：注册好联盟站点之后，将认证中心产生的站点配置信息（包括站点编号，站点公钥，站点私钥，认证中心的登录地址，认证中心登出地址）存储到联盟站点本地。
在认证中心上注册一新用户，注册用户需要使用IUser接口
在联盟站点对认证中心发出登录请求
认证中心验证登录请求
在认证中心进行登录
登录成功后，保存登录票据，认证中心对联盟站点发送登录答复，并将此次登录记录到登录站点清单
联盟站点接收到登录答复后，先进性验证，正确后，根据登录答复中的信息产生用户登录票据，并且更新联盟用户登录数和登录列表
在联盟站点中发出登出请求
认证中心验证登出请求，正确的话，销毁认证中心用户登录票据，通过用户的登录站点清单，逐个调用联盟站点的登出页面
在认证中心回调联盟站点的登出页的时候，联盟站点会在登出页中销毁各个的登录票据，并更新在线用户数和用户列表。

3 ISite接口设计说明

3.1 接口描述

ISite接口包括7个属性和2个方法，分别用于在认证中心用于描述和操作站点的配置

信息。

其中，各个属性的含义如下

属性名称	类型	含义
SiteID	string	站点编号，用于表示站点的唯一性。
HomePage	string	当登录请求中未提供来源网址项的时候，登录答复发送的地址
LogOutUrl	string	在进行统一登出的时候，回调的联盟站点页面地址，这个页面会负责销毁本站的登录票据信息。
PublicKey	string	用于数据交换时加密或签名用的公钥
PublicAndPrivateKey	string	用于数据交换时加密或签名用的私钥
FromUrlKey	string	用于指示联盟站点在发送登录请求和认证站点进行请求验证的时候来源网址存储位置。
UidField	string	用于指示联盟站点在发送登录请求和认证站点进行请求验证的时候用户信息的存储位置。

还包括两个方法，分别为：

方法名	含义和作用
Add	添加新的联盟站点。
Validate	验证联盟对象是否已经存在

3.2功能

该接口能在认证中心完成新联盟站点添加操作，添加之前可以验证站点是否存在。

3.3 默认实现

在SSO组件中，已经实现了一个默认的ISite对象。为DefaultServer/ DefaultSite.cs，它将放置在认证中心根目录下的sites.config文件作为存储介质，通过Add方法添加新联盟站点后的效果为：附件中的site.config文件，可自行下载文件后，看其结构。

4 IUser接口设计说明

4.1接口描述

IUser接口包括2个属性和2个方法，用于在认证中心端描和操作述联盟用户。

其中，各个属性的含义如下

属性名称	类型	含义
Uid	string	用户编号，是用户的标识
Pwd	string	用户密码

还包括两个方法，分别为：

方法名	含义和作用
Validate	验证用户是否存在
Register	添加新用户

4.2功能

该接口能在认证中心完成新联用户添加操作，添加之前可以验证用户是否存在。

4.3 默认实现

在SSO组件中，已经实现了一个默认的IUser对象。为DefaultServer/ DefaultUser.cs，它将放置在认证中心根目录下的users.config文件作为存储介质，通过Register方法添加新联盟用户的效果为：附件中的users.config文件，可自行下载文件后，看其结构。

5 IUserLoginList接口设计说明

5.1接口描述

IUserLoginList接口包括3个方法，用于在认证中心描述和操作用户登录的站点清单。

还包括三个方法，分别为：

方法名	含义和作用
Add	验证用户是否存在
GetLoginSites	获取用户的登录站点清单
DeleteUser	删除用户的登录站点清单数据

5.2功能

该接口在认证中心用于用户记录和维护用户登录的站点清单

5.3 默认实现

在SSO组件中，已经实现了一个默认的IUserLoginList对象。为DefaultServer/ UserLoginLog.cs，它通过一个Collection对象来实现用户登录站点清单的维护工作。

6 IServer接口设计说明

6.1接口描述

IServer接口包括2个属性和5个方法，用于接收，验证登录请求，发送登录答复，接搜，验证登出请求，创建本地登录票据，维护用户登录清单。

两个属性为：

属性名称	类型	含义
Site	ISite	当前上下文处理请求和答复的站点对象
Uid	string	当前处理的上下文中的用户编号

还包括三个方法，分别为：

方法名	含义和作用
CheckUser	验证用户对象是否存在
CheckExistToken	验证登录票据已经存在
SaveToken	在认证中心本地保存登录票据
Jump	通过url跳转，发送登录答复
LogOut	统一登出。

6.2功能

该接口在认证中心，用于接收，验证登录请求，发送登录答复，接搜，验证登出请求，创建本地登录票据，维护用户登录清单

6.3 默认实现

在SSO组件中，已经实现了一个默认的IServer对象。为DefaultServer/ LoginRequest.cs。

7 ILoginRequest接口设计说明

7.1接口描述

ILoginRequest接口包括2个属性，用于记录和描述联盟站点的登录请求，这些信息在发出登录请求的时候创建，在收到登录答复的时候销毁。用于确保登录答复的不可复用性。

两个属性为：

属性名称	类型	含义
Identity	string	登录请求标志符，该标志符会发送给服务端，服务端在发送登录答复的时候会回传该标志，联盟站点会根据此标志来验证请求是否是伪造的。
TimeStamp	DateTime	请求的时间戳

7.2功能

该接口在联盟站点，用于记录和描述联盟站点的登录请求，这些信息在发出登录请求的时候创建，在收到登录答复的时候销毁。用于确保登录答复的不可复用性。7.3 默认实现

7.3 默认实现

在SSO组件中，已经实现了一个默认的ILoginRequest对象。为DefaultServer/ LoginRequest.cs。

8 ILoginRequestContainer接口设计说明

8.1接口描述

ILoginRequestContainer接口包括3个方法，用于在联盟站点中记录和维护登录请求

方法名	含义和作用
Add	添加登录请求信息
Check	检查登录请求是否存在
Remove	销毁存在的登录请求

8.2功能

该接口在联盟站点，用于在联盟站点中记录和维护登录请求

8.3 默认实现

在SSO组件中，已经实现了一个默认的ILoginRequestContainer对象。为DefaultServer/ LoginRequestContainer.cs。

9 IUserStateContainer接口设计说明

9.1接口描述

IUserStateContainer接口包括5个方法，用于在联盟站点中记录和维护在线联盟用户信息

方法名	含义和作用
Add	添加登录用户
GetList	获取在线用户清单
Check	检查某个用户是否已经在线
Remove	移除某个在线用户。
GetUserCount	获取在线用户个数

9.2功能

该接口在联盟站点，用于在联盟站点中记录和维护在线联盟用户信息

9.3 默认实现

在SSO组件中，已经实现了一个默认的IUserStateContainer对象。为DefaultServer/ UserState.cs。

10 IClient接口设计说明

10.1接口描述

IClient接口包括6个属性和2个方法，用于发出登录请求和登出请求

8个属性为：

属性名称	类型	含义
SiteID	string	站点编号
PrivateKey	string	数据交换时加密或者签名用的公钥
LoginAddress	string	认证中心登录地址
LogoutAddress	string	认证中心登出地址
Uid	string	登录的用户编号
TimeOut	int	登录答复的超时时间，单位s
UidField	string	登录登出请求中的用户信息的存储位置
FromUrlField	string	登录请求中的来源网址存储位置

2个方法为

方法名	含义和作用
Login	发出登录请求，并处理登录答复
LogOut	登出

10.2功能

该接口在联盟站点，用于发出登录请求和登出请求

10.3 默认实现

在SSO组件中，已经实现了一个默认的IClient对象。为DefaultServer/ DefaultClient.cs

11 本系统的安全性

11.1 登录请求的格式

联盟站点向认证中心发送的登录请求格式如下：

站点信息+登录请求编号+时间戳+空用户信息+对站点信息和登录清秋号的签名信息。
除了签名信息之外的全部信息均为明文传送，但因为重要的数据均经过数字签名，结果是站点信息和登录请求编号是不能被篡改的，保证了认证中心收到的登录请求的真实性。

11.2 登录答复的格式

认证中心发给联盟站点的登录答复格式如下

登录用户信息+登录请求编号+时间戳+对用户信息和登录请求号和时间戳的签名信息
其中登录用户信息是经过非对称加密的。请求号和时间戳因为经过签名，故也不能篡改，这样就可以保证联盟站点收到的登录答复的真实性和完整性。并且非正常联盟站点无法解密用户信息，也无法从中获取好处。

篇幅太大，下面还有很长的内容要说，先发布以下，感兴趣的朋友可以先下载程序尝试使用。以后，我会逐渐添加Sql 和 Oracle的实现。您也可以根据接口规范，开发符合自己系统需求的SSO系统，今天先到这吧

程序文件：/Files/jillzhang/SSO.rar

更新：新增登录流程图：

[原创]单点登陆(SSO)组件的设计与实现二-登录流程图

新增登出流程图 2008-02-02

上面是整体流程图，这个SSO组件在安全上有了很充分的考虑，可以说是非常安全，那么下面看看登录请求数据的格式，和为何它能保证真实性和完整性

这样，当数据在传输过程中，如果站点编号，用户编号，请求号任意一项做任何的修改，当认证中心接收到数据之后，均无法与签名信息进行匹配。凡是认证中心能验证通过的请求均为合法的，真实的，完整的请求信息。

登录答复的格式如下图所示

因为登录号，时间戳，用户信息均加入数字签名信息，所以这些数据在传输中不能被伪造和篡改，而用户信息经过非对称性加密，也防止非真正请求发送者能解析出用户信息，这样在接受和发送请求和响应的时候，就实现了绝对的安全。
当然不是没有破绽，破绽在于当请求答复未到达联盟站点之前，有人截获并先于正常用户登录了联盟站点，此时我们可以将用户的ip信息作为答复数据的一部分，加入签名，以此实现很高的安全保证

登出流程图

jinfeng_wang 2008-03-07 16:36 发表评论

大嘴日语的破解

jinfeng_wang — Tue, 10 Apr 2007 14:58:00 GMT

最近想要一个背单词的软件

自己做一个容易，词库比较麻烦。

在网上找啊找，都没啥特别好用的

后来就盯上了《大嘴日语》

从大嘴2.0开始，就没有破解版可以下载
（自己也是做软件的，还想破解别人的免费用，sigh）

下了个最新的6.0 和可以破解的2.0

来回把词库拷贝，居然发现大嘴用的的DBISAM文件数据库

不厚道的找东西，破解

不厚道的来回倒腾数据，现在词库已经在我的Access中了。

对于我来说，数据才是重要的。
TTS，其他功能，都是可以做出来的。

软件的漏洞到底在哪儿？

怎么确保软件没有漏洞？

大嘴从2.0到7.0，做足了加密功夫，一直没有破解版流出，

竟然还有这么大的一个后门。

不得不值得好好的思量一番周边软件的质量。

参见：http://www.blogjava.net/jinfeng_wang/archive/2007/02/14/99819.html

btw: 个人研究，不算盗版吧 ^_^

jinfeng_wang 2007-04-10 22:58 发表评论

人员、资源、操作及这三者构成的权限控制

jinfeng_wang — Wed, 14 Feb 2007 06:53:00 GMT

Web系统因为是面向Internet/Intranet的，所以其安全性比常规的应用程序系统更难以保证。

在谈到其安全性的时候，很多的都是从“网络安全”的角度去看待问题，殊不知，堡垒
的内部是最最不安全的。对付“黑客攻击”是系统管理员所要面对的问题，而如何更好的
加强堡垒内部自身的安全，是在Web程序的设计中就需要考虑的问题。

系统管理员所要面对的网络攻击、操作系统安全不是我所考虑的问题，如何加强Web系统
自身的健康是我所最最关心的事情。

从“构造URL”攻击到“注入SQL文”攻击，都是属于过分信任用户输入，而造成的安全问题。
这恰恰应该是由应用程序自身加以重视、解决的问题。

基于角色的安全控制已经逐渐的被大家逐渐的接受，每个用户被分配为不同的角色，不同的角色
具有不同的操作权限。但是如何划分角色、用户、操作权限，则是需要认真对待的问题。

举例：
一个MIS系统中，员工有查询工资的权限，但是某个员工是否具有查询其他员工的权限呢？

不能深入的追问问题，详细的分辨清楚系统中到底有多少角色、每个用户所在的角色，是不能完成安全控制的。

btw: 以上的问题，大家不妨在自己的类似系统中自己去检查一下，有此问题的占绝大多数吧。
看过此文的，愿意回答“是”“否”的，可以留言，也当作一个调查吧。

上面的这个例子，就是一个很成熟的办公系统中存在的问题。使用客户端script脚本，控制了用户的界面操作，殊不知maxthon就可以解除这个限制。此系统中，用户的请求都被整理为URL（get方式提交），虽然URL中的键值含义并不是很明显，但是还是可以尝试着去攻击，获取秘密。

认真的核查用户的输入，利用AOP部署，细密的对用户的输入进行核查，是很有必要的事情。

某个人、某个资源、某个操作，这三个要素组织在一起则是：某个人对某个资源进行某项操作
实际情况下，许多人、许多资源、对每个资源冰存在着多个操作。

将人、资源、操作进行划分，可以得到：
具体的某一类人，可以对某些资源，进行某些的操作＝》这就是具体的某项权限限制。
    某一类人，则可以归纳为角色。
    对某些资源的某些操作，则可以归纳为工作任务。
也就是说，整个系统是“某个角色去完成某些工作任务，而具体的一个帐户属于某个角色，某项工作则具体的是指对某个资源进行某个操作”。

相对来说，系统中的人员是最容易辨认的，系统中的资源也是可以在系统的功能调查时分清楚的，系统中的操作则是最复杂、最难分清晰，甚至在系统完成时都会变化的。

只有分辨清楚了系统中的人、资源、操作，才能辨别清楚系统中的具体的权限限制。

“基于角色的安全控制”这样的提法，只提及了人，未能强调将资源、操作进行规类，这是很不充分的一种提法。

在Web系统中，系统在设计的过程中，就分清楚资源，分清楚操作，极大缩小每个页面的功能、提高页面功能的原子性，这也是权限控制对系统设计提出的一项要求。

前面提及使用AOP进行权限控制，现在简述一下各部件的功能：
   业务模块－－完成具体的对某个资源的操作；
   前台页面模块－－完成整体页面的整合；
   安全控制模块－－实现安全控制功能，完成人员、角色、工作的逻辑判断；
   AOP配置整合模块－－粘合安全控制模块和业务模块；

在于如何去解决，而是如何去发现。隐藏起来的问题更是危险。

而如何发现问题，则完全是一个素质、能力的事情，也许这是下一个话题。

jinfeng_wang 2007-02-14 14:53 发表评论

buying notbook

jinfeng_wang — Fri, 02 Feb 2007 01:21:00 GMT

标题: 中海购T40手记
发信站: 水木社区 (Fri Feb 2 00:30:29 2007), 站内

本来看中的是nc6000,觉得性价比不错，但是昨天mm转了一圈之后，就定在了T40上

中午11点半从东门出发，骑车
先去北大南门吃饭，不表
到太平洋买了一块三星银盘+盘盒：470 + 50 = 520
将近1点了，：）

中海小传一圈，回到580柜台，T40摆了好几台，分两种
一种就是迅驰1.5G/512M/40G/DVD/ATI 7500 32M/ 3800
另外一种多了蓝牙、无线，光驱是DVD-CDRW 4000
同时问了nc6000的价格，高分才3500

蓝牙没用，CDRW也没用，就是奇怪为什么迅驰还不带无线网卡
加网卡还要另收50，讲价未果，于是不要网卡了，反正暂时用不到

开始挑机器，只摆了4台第一种机器
让老板再拿出几台，被告知只有这几台，感觉必然说谎阿
没办法，埋头挑

先看屏幕，把亮度都调到最高，开始对比
有一台的屏幕很亮，但是用手按水波纹很严重
还有一台屏幕发黄，直接淘汰
最后选了一台水波纹不是很明显的，但是显示的颜色不是很鲜艳，没有第一台的颜色正，显得有点灰灰的

键盘都不错，不油

继续，因为赶时间回实验室有事，很多没很仔细测
ntest看屏，没看出什么问题，也许是自己太菜吧
erest看配置，符合
cpu-z看cpu和内存，发现两条内存牌子不一样，一个英飞铃，一个金士顿，让老板给换成一样的，于是老板把另外一个机器拆开，找到一条英飞铃，给我按上。在另外一台机器上看内存，发现竟然还有现代的。
super-pi计算100万，用了1分04秒，另外一台用了1分39秒。测了3200位的，初始化用了39秒，没继续，回来也没全测完，明天测一下
mentest测内存，测了200%多
hdtune测硬盘，没问题

试了一下光驱，发现读CD的时候还很安静，但是读DVD（找了一个划的比较厉害的）的时候风扇就响的利害了，没办法，说风扇没法换，我也不懂，忍了

看电池，只有两台机器有电池，于是到带蓝牙的机器上拿了一块用过25次的，可是健康状况显示差。不懂。那掉电源显示还能用1小时，另外一个用过118次，将看情况显示良好，但是显示只能用44分钟。拿了第一块

这里发现一个问题，拔掉电源屏幕会闪，而且每个机器都是这样，不知道会有什么隐患。不爽的是我挑的这台屏幕黑的时间比别的长，大牛给分析一下。

又看了看bios，对比了一下序列号，没啥问题。别的也不知道看啥了

关机，换上80G的硬盘，把40G的换到移动硬盘盒里
看了一下机器外观，发现上盖上有条划痕，我忍
让老板给擦了擦机器
送一个包，好烂
一个IBM小鼠

说声谢谢，然后走人，被叫回来，忘了给钱了，：）

回来测了3DMARK，4004分
大牛说说，我还需要做些什么测试？机器可能有些什么问题？
争取3天内解决出现的问题。

over
菜鸟第一次在中海买东西，多谢一勺等大牛的帖子指导
欢迎点评

＝＝＝＝＝＝＝＝＝＝
sp2004使劲跑一晚上

jinfeng_wang 2007-02-02 09:21 发表评论

MindManager6使用体会

jinfeng_wang — Sat, 27 Jan 2007 05:45:00 GMT

过年放假的一个好处就是，终于可以比较悠闲的靠在床上，随便想想该写些什么。

　　在这篇MindManager的免费阅读器后面，94smart等朋友热情怂恿我写一篇教程，今天准备试着写一点儿，不过不能算是教程，只是浮光掠影，介绍一下在使用中曾给我带来惊喜的几个亮点而已。

　　一直希望有一个电子化的工具能够方便、形象的整理头脑中漫无边际的杂乱想法，就像铅笔和白纸能够做到的那样，但是又能避免写满东西的白纸不易传播和保存的缺点。

　　最初通过一些介绍文章，看到了FreeMind，著名的开源free思维管理工具，优势是明显的，比如：

跨平台。除了Windows之外，也提供了Mac OS X、Linux等版本，实际上，它支持所有的操作系统。
免费使用。不需要任何破解和注册码之类，可以心安理得的不花钱永远使用它。
功能比较强大，基本的思维导图应该具备的功能都有，也可以发布到web上。
轻便小巧，但是可定制程度依然很好，当然这是针对那些动手能力较高的用户而言，对我这样不会写代码的人，这个方面的特性并不在考虑之列。

　　使用的时候需要先安装java的运行库，有点麻烦，而且关键是有一些操作方式，个人感觉不太顺手，导致思路频频被打断，被迫开始摸索使用的方法，这样对于一个普通的使用者来说，学习的时间成本便上升了，后来不得不尝试了商业软件－MindManager，这款软件并不开源，也不能跨平台，只支持Windows这一家系统，但是由于很好的迎合了windows软件的操作方式，大大降低了熟稔windows软件用户的学习成本，更和office系列软件做到了紧密整合，数据在其中流动非常顺畅。

　　第一个令我激动的MindManager应用就是Web2.0周刊的制作，我当时的需要就是每天用最简单的方法收集相关信息，包含链接、笔记或评论、分类等信息，在周末的时候统一整理一下，直接输出相应的html页面，可以上传到服务器上供访问，MindManager刚好可以近乎完美的实现，（这里可以看到实际效果）我只需要自己写一下css，用来保证最终的html页面以我想要的样式呈现，其它的html代码，就无需我操心，全部由MindManager代劳了。想尝试一下这个功能的话，可以在"File"--"Export"--"Save as Webpages..."中找到。

　　实际上无需什么教程，安装完MindManager之后，“help”和"Learning Center"都是非常棒的使用教程，而且后者还是直观的视频模式，快速浏览一下，就可以对MindManager这款软件有大致的了解了。

　　在“Learn More”中的“提示和技巧”使用了MindManager的格式来展示，很有意思，在这里可以学到“生成图片格式”、“格式编排”、“浏览导图”、“编辑技巧”等方面的知识。

　　MindManager6分为基础版和专业版，两个版本共有的一些新特性包括：

大纲编辑模式。"view"--"outline"
制表制图。"topic"--"Spreadsheet"
组织结构图布局，可用来展示团队和公司的组织结构。"format"--"topic..."之后选择"Subtopics Layout"的标签，然后选择"Org-Chart"
输出到powerpoint。"format"--之后选择"Microsoft PowerPoint Slides..."
从IE导入。如果使用IE的话，可以通过点击工具栏的按钮添加某个网页的标题和链接到MindManager中自动生成一个topic。
支持掌上电脑手写笔记及大纲。"topic"--"notes"以及"view"--"outline"
分类线，可以把同类的topics用一条线划到一起，以示区别。
自动编号。"Format"--"Numberling..."
自动平衡,可以重新摆放topic的位置，使其看起来更协调。"view"--"balance map"
note中的拼写检查。"topic"--"notes"
特别的粘贴。可以选择需要以何种格式粘贴剪贴板中的内容。"edit"--"paste special"

　　而只在MindManager6专业版中才有的特性如下：

导出到visio。"format"--"Microsoft Visio Stencils...","File"--"export"--"Microsoft Visio Export"
链接到excel表格。"insert"--"Microsoft Excel Range..."
插入附件。"file"--"Add Attachment..."
超强过滤器。"edit"--"filter"-"power filter"
超强选择。"edit"--"select"--"power edit"
自定义属性。"topic"--"Custom Properties..."
加入书签。"topic"--"bookmark"
评论模式，可以区分别人所作的评论，并方便的拒绝或者接受。"tools"--"start review"
闹钟提示。"topic"--"alert..."
文本记号。希望和你进行对话的使用者可以在你制作到导图上使用文本记号（text marker），标记出他们的意见。"topic"--"test marker"
记时器。"tools"--"timer"
标签。"topic"--"label..."

　　如果你主要使用Windows系统工作，而且office也始终在你的电脑中占有一席之地，最后，你也不在乎花一些美刀或者勇于想办法不花这些美刀，来得到一个真正强大、全能的思维导图工具的话，选择MindManager pro 6吧，应该不会后悔。

jinfeng_wang 2007-01-27 13:45 发表评论

测试的全路经覆盖

jinfeng_wang — Thu, 04 Jan 2007 17:20:00 GMT

在Junit/Nunit测试出现之后，出现了一个工具Jcover/Ncover,此工具代码覆盖率分析工具，可以分析测试代码的测试范围的覆盖率。

第一次知道此工具的时候，相当的兴奋，因为这样可以轻松的把握项目中的测试代码情况。在看到自己的每行代码都被测试之后，相当的幸福啊，再加上Maven等工具可以自动连跑，那是足够保证了单元测试的覆盖率了啊。

正是因为不假思索的信任，导致了问题的出现：Cover工具的覆盖，是代码行的覆盖，而不是代码Step的覆盖。所谓的代码行，是指代码中可以被执行到的具体某物理行，但是Step则是指每一步逻辑。对于if (a==b||c==d||e==f)这样的判断，应该是有三个step在其中的。正是由于信任了Cover工具，导致代码覆盖率不够，未能测试到e==f的判断，导致了一个bug在最后才被发现。问题发现的越迟，付出的代价越大。

上面已经说明了全路径覆盖的含义（目前Cover工具无法达到的功能），那么全路径覆盖是不是很有必要且一定要的呢？答案是“YES”.做到全路径覆盖的测试是很痛苦的一件事情，但是，当你从全路径覆盖中找到重大问题时，才会回头来看“如果我做了全副该测试，这段路径的错误逻辑就不会出现的”。

就拿上篇"CheckedException VS UncheckedException"中的例子，当代码结构逐渐演化为多出入口调用C模块时，“C处不能决定具体的出错信息”。但是在代码中，如果恰恰就是在"C处误认为可以决定错误消息"时，对于这个“误操作”，就可以通过全路径覆盖发现这个问题。if(a==b||c==d||e==f) {throw new MyException("error msg.")}，这样的一行代码，需要面对三种问题去报出错信息，其负担太重，情况复杂（然后有了错误代码）。

如果做了全路径覆盖，可以走到（e==f）的判断，此时即可发现错误消息不正确的问题。

如何才能保证完成全路径覆盖呢？
1）手工debug跟踪，保证每一步都走到，对于最后的(e==f)，跟踪的好辛苦阿，创造这样的条件（走到e==f）就好累的。
2）利用Ncover的功能，对于这样的复杂逻辑，手工进行debug跟踪。
3)拆开代码，为三行（每个step为单独的一行），利用NCover自动分析。哈，老师教过的"，不允许出现过于复杂的代码"这个原则被发挥到极致了。

jinfeng_wang 2007-01-05 01:20 发表评论

错误处理的恢复

jinfeng_wang — Mon, 10 Jul 2006 14:52:00 GMT

错误处理的恢复一直是容易被恢复的问题，
一个状态机中，出现错误的时候，一定要及时地修正状态机的状态。
上面的一句话可能是很容易理解的一句话，
但是在实际运用中，如何去真的体会到状态机的存在，及时进行错误恢复
却不是一件很容易能够做到的事情。

之所以在“.NET C#中使用Unchecked Exception”，很大的一个原因--“很多时候是用户是没法去做错误修复的”，这真的是很奇怪的一个理由，而且这个理由竟然被很多人相信了。

今天才意识到错误处理的恢复是自己没有遇到的一个重要的问题，胆战心惊！

jinfeng_wang 2006-07-10 22:52 发表评论

ADO.NET Connection Status Map

jinfeng_wang — Sat, 03 Jun 2006 13:35:00 GMT

jinfeng_wang 2006-06-03 21:35 发表评论

Checked Exception VS UnChecked Excetion (续2)

jinfeng_wang — Sat, 03 Jun 2006 13:22:00 GMT

　　假设我的团队正在开发一个库程序，由于某种原因，现在希望能够得到所有最外层 API 所抛出的所有异常的类型、各自的信息、并且能够附上各种异常所出现的原因和解决办法。如果开发过程中内部使用的是 Unchecked Exception ，那么对于这个任务简直就麻烦了。没办法，开发人员一个个的自我进行检查然后统计吧，但是往往这样的统计总会有漏网之鱼。现在的 MSDN 中的异常信息糟糕的很，最底层的公有库的异常信息内容可能完整一点，但是上层的库的异常信息糟糕的不行，根本不能完整的报全所有出错的可能性。

你可以想象的出，一个库函数的异常信息不完整，对于他的用户来说，是多么不友好的事情。假设 MSDN 中 File.Open() 会抛出 IOException ，你的程序就很难想到很规矩的对 IOException 做了 catch ，然后提示用户检查相应位置的文件是否存在 / 被打开等。别指望 MSDN 的那些信息能够对终端用户有多大的帮助，太多不懂计算机的人在傻呆呆的握着鼠标了。再加上 MicroSoft 的提示信息本身就存在着“答非所问”，“莫名其妙”的事情，用户看到这些情况就更不知道怎么解决问题了。再加上自己的应用程序中会弹出一个个“蹩脚”的运行时错误的错误框，真的不是一个很如意的创作。

但是，如果使用的是 Checked Exception ，这时候编译器会强迫你的外部接口的异常相当的完整，最起码可以做到比 MSDN 的异常类型齐整。

jinfeng_wang 2006-06-03 21:22 发表评论

数据库驱动程序的测试需要注意的问题

jinfeng_wang — Sun, 28 May 2006 07:52:00 GMT

1. 不要用TestCase的构造函数初始化Fixture，而要用
setUp()和tearDown()方法。

2. 不要依赖或假定测试运行的顺序，因为JUnit利用
Vector保存测试方法。所以不同的平台会按不同的
顺序从Vector中取出测试方法。

3. 避免编写有副作用的TestCase。例如：如果随后的
测试依赖于某些特定的交易数据，就不要提交交易数
据。简单的会滚就可以了。

对于我们来说，有时是必须要提交，以至于有副作用的。

例如：在执行“插入“后，数据库显然会多出一条数
据来。那么必须在随后每个测试自己消除自己的副
作用。

在这里，就是自己“再删除刚插入的数据”。（这时候
需要考虑到这个善后的工作不能自己就不能有副作用，

删除多了其他的数据）。

这里的副作用还指“影响到周围环境”，因为我们现
在工作的人比较多，所以最好大家的测试服务器能够
分开来，

例如一个人一个Database实例（可以建得稍微小一
点）或者一个人一个数据库，注意将这些个人之间
有区别的内容用常量在每个人自己的所有程序中公
用。而不是分布在各个位置。否则以后要改换测试
服务器，所有的程序都需要改动。

为了保证测试程序能够很容易的到处执行，请保证
大家的数据库服务器的测试数据全部一致。否则，
就不能做到很容易得拿到FJ也可以很容易的运行，
所以需要准备“测试数据集“。包括：Schema ,table ，
stored procedure等数据库对象的结构一致，还包
括数据库的数据内容保持一致。

4. 当继承一个测试类时，记得调用父类的setUp()和
tearDown()方法。

5. 将测试代码和工作代码放在一起，一边同步编译
和更新。（使用Ant中有支持junit的task.）

6. 测试类和测试方法应该有一致的命名方案。如在
工作类名前加上test从而形成测试类名。

可能这里我们需要改动，将函数名和我们的测试用
例的编号一致起来。

7. 确保测试与时间无关，不要依赖使用过期的数据
进行测试。导致在随后的维护过程中很难重现测试。

8. 如果你编写的软件面向国际市场，编写测试时要
考虑国际化的因素。不要仅用母语的Locale进行测试。

9. 尽可能地利用JUnit提供地assert/fail方法以及
异常处理的方法，可以使代码更为简洁。

这个内容有其关键，assert语句的好坏直接影响
到测试的正确性。因为assert就是用于当前测试
项的正确性的。

10.测试要尽可能地小，执行速度快。

==========
1）将所有的数据库的测试数据用ODBC程序自动
生成的。用户可以简单的修改ConnectionString，
然后运行程序，就可以创建生成数据库/数据库
表/存储结构，并且自动插入数据。

2）为了保证多个测试人员的不干扰，建议分别
各自单独使用自己的数据库。否则会因为一个自
己的错误，影响别人的工作。

3）在自己的程序中，所有涉及环境的内容都用
单独放到一个类中，用static常量共享使用（这样
就便于很容易的更换环境再进行测试，做到很容
易的移植测试环境）。

4）关于数据库表结构，我建议测试表中含有一
个主键，我们在插入数据的时候，保证测试用例，
测试用例程序，测试用例程序中的数据，这三者
的编号一致起来。便于出现问题时，可以排除数据。

jinfeng_wang 2006-05-28 15:52 发表评论

Checked Exception VS UnChecked Excetion (续)

jinfeng_wang — Fri, 12 May 2006 12:21:00 GMT

上篇：http://www.blogjava.net/jinfeng_wang/archive/2006/05/11/45726.html

先来回复两个回帖：
"你可以把IO等异常转化成你类库中中定义的异常。当然你定义的异常是Checked Exception 还是 UnChecked Excetion 那你自己定了。 "

假设我按照这条建议去做了，那么我可以抛出XXXLibException。假设我的异常采用的是CheckedException，那么客户程序员可以捕捉它。但是对于不同的出错原因（例如不同的原因，包括无权限、硬盘满、U盘被拔了等等，导致无法正常写日志文件），程序都是捕捉XXXLibException，那么客户程序员就无法根据不同的异常去做相应的处理（例如提示用户修改权限、直接启用备用目录，直接退出程序）。总之，如果异常类型不同，客户程序可以根据“异常类型”做不同的工作（编译器＋工具可以实现自动代码生成）；但是如果全部合并为一个异常，那么客户程序只能根据“ExceptionMessage”尝试着做不同的工作（恰恰目前没有办法完成自动编码）。

"要知道 JDK 的 FileWriter 是可以抛出 IOException 的子类的，只要文档足够详细，Java代码中也可以只去捕捉更明细的异常，也可以就捕捉并重新抛出包装过的异常（甚至是RuntimException），除非呆板地去捕获每个异常，不然代码怎么会丑陋呢？"

RuntiomeException，也就是UncheckedException（类于.NET的Exception），它不会要求客户代码强行捕捉异常，据此我写了下面的一个程序：
private void button1_Click(object sender, System.EventArgs e)
  {
   throw new Exception("s");
  }
     我只试了.NET的程序，出现的界面大家自己试。因为UncheckedException没有要求客户程序去捕捉（客户程序员不能自觉的发现库中抛出的各种异常），让最终用户直接面对这样的异常，是一个道德的事情么？

jinfeng_wang 2006-05-12 20:21 发表评论

Checked Exception VS UnChecked Excetion

jinfeng_wang — Thu, 11 May 2006 13:18:00 GMT

1 、 .NET Framework IO Interface and JDK IO Interface

1.1 ． .NET Framework 1.1

public StreamWriter( string path );

异常

异常类型	条件
UnauthorizedAccessException	访问被拒绝。
ArgumentException	path 为空字符串 ("") 。
ArgumentNullException	path 为空引用（ Visual Basic 中为 Nothing ）。
DirectoryNotFoundException	指定的路径无效，比如在未映射的驱动器上。
PathTooLongException	指定的路径、文件名或者两者都超出了系统定义的最大长度。例如，在基于 Windows 的平台上，路径必须小于 248 个字符，文件名必须小于 260 个字符。
IOException	path 包含不正确或无效的文件名、目录名或卷标的语法。
SecurityException	调用方没有所要求的权限。

1.2 JDK 1.4.2 :

public FileWriter(String fileName) throws IOException

				Constructs a FileWriter object given a file name.

Parameters:

fileName - String The system-dependent filename.

Throws:

IOException - if the named file exists but is a directory rather than a regular file, does not exist but cannot be created, or cannot be opened for any other reason

2 、解析

.NET 的 Excetpion 是 Unchecked 异常，客户端不要求去 Check 代码，但是 JAVA 的绝大部分 Checked 异常，它要求客户端的代码检测异常。

假设一个这样的场景，方法 OutMethod 调用 InnerMethod ，而内部方法 InnerMethod 抛出的异常 InnerException 。

对于 Java 的 CheckedException ，或者 OutMethod 去抛出 InnerException ，或者 OutMethod 捕捉 InnerException （然后做处理）。

再来观察一下 JDK 的 FileWriter 的异常声明，我没有详细测试其在各种可能出错情况下抛出的 IOException 的消息，但是其分类远远不如 .NET 的 StreamWriter 。假设 Java 想照抄 .NET 的 StreamWriter ，对于 Java 的使用者来说，无异于恶梦。外部的代码需要捕获如此多的异常消息（不捕捉就会在 OutMethod 抛出一大堆的异常，问题继续传播下去，这是 CheckException 的一个弱点）。也许正是出于这样的问题，所以此处 Java 接口的异常声明比较简单。

那么假设我是一个库设计者，正在用到了 IO 。如果我使用 .NET 进行开发，对于 IOException 来说，我是否有必要捕捉呢？捕捉的目的是为了“处理”，那么对于库设计者，显然这时候需要通知其“客户程序员”出错的原因，所以这里的库设计者的行为最好就是“不处理”。如果处理，那只能是“ catch 、再 throw ”。那么这样的处理显然是无意义的，因为原始异常已经足以提醒客户程序员出错的原因了。如果捕捉，那代码会特别的丑陋（直接 catch Exception 的行为是不可取的）。

CheckedException 的另外一个缺点就是“将 Exceotion 加入了 Interface 的规格声明“。假设 OutMethod 调用了 InnerMethod ，此时 InnerMethod 的设计者需要增加一个异常，那么会直接影响到 OutMethod 。当然这里的 InnerMethod 的设计者此时已经做了“修改接口声明“的行为。

随后待续......

jinfeng_wang 2006-05-11 21:18 发表评论

测试、构建和重构(zz)

jinfeng_wang — Wed, 26 Apr 2006 08:52:00 GMT

测试、构建和重构

NUnit2.0详细使用方法

重构啊重构

.Net Code Cover

让代码更具有可测试性

NMock --- 从零开始

Unit Test : rules,design and strategy

Concurrent connection limit

Log4Net Appender 之 ADONetAppender

Bug管理的流程和几个重点

把单元测试代码跟项目代码放在一个工程中

Subversion配置安装教程（三）

Subversion配置安装教程（二）

Subversion配置安装教程（一）

敏捷（AM）：TDD(Test Driven Development）实践与变化-->TAD（Test Assist Development)

如何在*.CS文件中加入版本跟踪信息？

什麼是 LoadRunner？

实战dailybuild-cc.net的配置

[翻译] NMock 两分钟教程

[翻译] NMock 简介

测试驱动开的的实例

让代码更具有可测试性

重构（Refactoring）技巧读书笔记之三

第一次用CVS后的流程小结（其实VSS也一样）

我也再补充一个NANT使用注意事项

重构（Refactoring）技巧读书笔记之二

重构（Refactoring）技巧读书笔记之一

Bugzilla简明使用手则

Daily Build 的链接

Test-Driven Development In .NET 部分译文

有关于Refactor(重构)与Source(源)的比较

终于完成了DailyBuild

用MSBuild.... DailyBuild和软件开发流程的东东

DailyBuild全攻略

关于Peer Review、代码评审和测试驱动等

测试开发驱动实践

jinfeng_wang 2006-04-26 16:52 发表评论

追求代码质量: 不要被覆盖报告所迷惑(zz)

jinfeng_wang — Wed, 26 Apr 2006 08:24:00 GMT

测试覆盖工具对单元测试具有重要的意义，但是经常被误用。这个月，Andrew Glover 会在他的新系列 —— 追求代码质量 中向您介绍值得参考的专家意见。第一部分深入地介绍覆盖报告中数字的真实含义。然后他会提出您可以尽早并经常地利用覆盖来确保代码质量的三个方法。

您还记得以前大多数开发人员是如何追求代码质量的吗。在那时，有技巧地放置 main() 方法被视为灵活且适当的测试方法。经历了漫长的道路以后，现在自动测试已经成为高质量代码开发的基本保证，对此我很感谢。但是这还不是我所要感谢的全部。Java™ 开发人员现在拥有很多通过代码度量、静态分析等方法来度量代码质量的工具。我们甚至已经设法将重构分类成一系列便利的模式！

要获得有关代码质量问题的答案，您可以访问由 Andrew Glover 主持的 Code Quality 论坛。

所有的这些新的工具使得确保代码质量比以前简单得多，不过您还需要知道如何使用它们。在这个系列中，我将重点阐述有关保证代码质量的一些有时看上去有点神秘的东西。除了带您一起熟悉有关代码质量保证的众多工具和技术之外，我还将为您说明：

定义并有效度量最影响质量的代码方面。
设定质量保证目标并照此规划您的开发过程。
确定哪个代码质量工具和技术可以满足您的需要。
实现最佳实践（清除不好的），使确保代码质量及早并经常地 成为开发实践中轻松且有效的方面。

在这个月，我将首先看看 Java 开发人员中最流行也是最容易的质量保证工具包：测试覆盖度量。

谨防上当

这是一个晚上鏖战后的早晨，大家都站在饮水机边上。开发人员和管理人员们了解到一些经过良好测试的类可以达到超过 90% 的覆盖率，正在高兴地互换着 NFL 风格的点心。团队的集体信心空前高涨。从远处可以听到 “放任地重构吧” 的声音，似乎缺陷已成为遥远的记忆，响应性也已微不足道。但是一个很小的反对声在说：

女士们，先生们，不要被覆盖报告所愚弄。

现在，不要误解我的意思：并不是说使用测试覆盖工具是愚蠢的。对单元测试范例，它是很重要的。不过更重要的是您如何理解所得到的信息。许多开发团队会在这儿犯第一个错。

高覆盖率只是表示执行了很多的代码，并不意味着这些代码被很好地 执行。如果您关注的是代码的质量，就必须精确地理解测试覆盖工具能做什么，不能做什么。然后您才能知道如何使用这些工具去获取有用的信息。而不是像许多开发人员那样，只是满足于高覆盖率。

回页首

测试覆盖度量

测试覆盖工具通常可以很容易地添加到确定的单元测试过程中，而且结果可靠。下载一个可用的工具，对您的 Ant 和 Maven 构建脚本作一些小的改动，您和您的同事就有了在饮水机边上谈论的一种新报告：测试覆盖报告。当 foo 和 bar 这样的程序包令人惊奇地显示高覆盖率时，您可以得到不小的安慰。如果您相信至少您的部分代码可以保证是 “没有 BUG” 的，您会觉得很安心。但是这样做是一个错误。

存在不同类型的覆盖度量，但是绝大多数的工具会关注行覆盖，也叫做语句覆盖。此外，有些工具会报告分支覆盖。通过用一个测试工具执行代码库并捕获整个测试过程中与被 “触及” 的代码对应的数据，就可以获得测试覆盖度量。然后这些数据被合成为覆盖报告。在 Java 世界中，这个测试工具通常是 JUnit 以及名为 Cobertura、Emma 或 Clover 等的覆盖工具。

行覆盖只是指出代码的哪些行被执行。如果一个方法有 10 行代码，其中的 8 行在测试中被执行，那么这个方法的行覆盖率是 80%。这个过程在总体层次上也工作得很好：如果一个类有 100 行代码，其中的 45 行被触及，那么这个类的行覆盖率就是 45%。同样，如果一个代码库包含 10000 个非注释性的代码行，在特定的测试运行中有 3500 行被执行，那么这段代码的行覆盖率就是 35%。

报告分支覆盖 的工具试图度量决策点（比如包含逻辑 AND 或 OR 的条件块）的覆盖率。与行覆盖一样，如果在特定方法中有两个分支，并且两个分支在测试中都被覆盖，那么您可以说这个方法有 100% 的分支覆盖率。

问题是，这些度量有什么用？很明显，很容易获得所有这些信息，不过您需要知道如何使用它们。一些例子可以阐明我的观点。

回页首

代码覆盖在活动

我在清单 1 中创建了一个简单的类以具体表述类层次的概念。一个给定的类可以有一连串的父类，例如 Vector，它的父类是 AbstractList，AbstractList 的父类又是 AbstractCollection，AbstractCollection 的父类又是 Object：

清单 1. 表现类层次的类

												
														package com.vanward.adana.hierarchy;

import java.util.ArrayList;
import java.util.Collection;
import java.util.Iterator;

public class Hierarchy {
  private Collection classes;
  private Class baseClass;

  public Hierarchy() {
    super();
    this.classes = new ArrayList();
  }

  public void addClass(final Class clzz){
    this.classes.add(clzz);
  }
  /**
   * @return an array of class names as Strings
   */
  public String[] getHierarchyClassNames(){
    final String[] names = new String[this.classes.size()];        
    int x = 0;
    for(Iterator iter = this.classes.iterator(); iter.hasNext();){
       Class clzz = (Class)iter.next();
       names[x++] = clzz.getName();
    }        
    return names;
  }

  public Class getBaseClass() {
    return baseClass;
  }

  public void setBaseClass(final Class baseClass) {
    this.baseClass = baseClass;
  }
}

正如您看到的，清单 1 中的 Hierarchy 类具有一个 baseClass 实例以及它的父类的集合。清单 2 中的 HierarchyBuilder 通过两个复制 buildHierarchy 的重载的 static 方法创建了 Hierarchy 类。

清单 2. 类层次生成器

												
														package com.vanward.adana.hierarchy;

public class HierarchyBuilder {  

  private HierarchyBuilder() {
    super();		
  }

  public static Hierarchy buildHierarchy(final String clzzName) 
    throws ClassNotFoundException{
      final Class clzz = Class.forName(clzzName, false, 
          HierarchyBuilder.class.getClassLoader());        
      return buildHierarchy(clzz);
  }

  public static Hierarchy buildHierarchy(Class clzz){
    if(clzz == null){
      throw new RuntimeException("Class parameter can not be null");
    }

    final Hierarchy hier = new Hierarchy();
    hier.setBaseClass(clzz);

    final Class superclass = clzz.getSuperclass();

    if(superclass != 
      null && superclass.getName().equals("java.lang.Object")){
       return hier; 
    }else{      
       while((clzz.getSuperclass() != null) && 
          (!clzz.getSuperclass().getName().equals("java.lang.Object"))){
             clzz = clzz.getSuperclass();
             hier.addClass(clzz);
       }	        
       return hier;
    }
  }      
}

回页首

现在是测试时间！

有关测试覆盖的文章怎么能缺少测试案例呢？在清单 3 中，我定义了一个简单的有三个测试案例的 JUnit 测试类，它将试图执行 Hierarchy 类和 HierarchyBuilder 类：

清单 3. 测试 HierarchyBuilder！

												
														package test.com.vanward.adana.hierarchy;

import com.vanward.adana.hierarchy.Hierarchy;
import com.vanward.adana.hierarchy.HierarchyBuilder;
import junit.framework.TestCase;

public class HierarchyBuilderTest extends TestCase {
  
  public void testBuildHierarchyValueNotNull() {        
     Hierarchy hier = HierarchyBuilder.buildHierarchy(HierarchyBuilderTest.class);
     assertNotNull("object was null", hier);
  }

  public void testBuildHierarchyName() {        
     Hierarchy hier = HierarchyBuilder.buildHierarchy(HierarchyBuilderTest.class);
     assertEquals("should be junit.framework.Assert", 
       "junit.framework.Assert", 
         hier.getHierarchyClassNames()[1]);      
  }

  public void testBuildHierarchyNameAgain() {        
     Hierarchy hier = HierarchyBuilder.buildHierarchy(HierarchyBuilderTest.class);
     assertEquals("should be junit.framework.TestCase", 
       "junit.framework.TestCase", 
         hier.getHierarchyClassNames()[0]);      
  }
 
}

因为我是一个狂热的测试人员，我自然希望运行一些覆盖测试。对于 Java 开发人员可用的代码覆盖工具中，我比较喜欢用 Cobertura，因为它的报告很友好。而且，Corbertura 是开放源码项目，它派生出了 JCoverage 项目的前身。

回页首

Cobertura 的报告

运行 Cobertura 这样的工具和运行您的 JUnit 测试一样简单，只是有一个用专门逻辑在测试时检查代码以报告覆盖率的中间步骤（这都是通过工具的 Ant 任务或 Maven 的目标完成的）。

正如您在图 1 中看到的，HierarchyBuilder 的覆盖报告说明部分代码没有被执行。事实上，Cobertura 认为 HierarchyBuilder 的行覆盖率为 59%，分支覆盖率为 75%。

图 1. Cobertura 的报告

这样看来，我的第一次覆盖测试是失败的。首先，带有 String 参数的 buildHierarchy() 方法根本没有被测试。其次，另一个 buildHierarchy() 方法中的两个条件都没有被执行。有趣的是，所要关注的正是第二个没有被执行的 if 块。

因为我所需要做的只是增加一些测试案例，所以我并不担心这一点。一旦我到达了所关注的区域，我就可以很好地完成工作。注意我这儿的逻辑：我使用测试报告来了解什么没有被测试。现在我已经可以选择使用这些数据来增强测试或者继续工作。在本例中，我准备增强我的测试，因为我还有一些重要的区域未覆盖。

Cobertura：第二轮

清单 4 是一个更新过的 JUnit 测试案例，增加了一些附加测试案例，以试图完全执行 HierarchyBuilder：

清单 4. 更新过的 JUnit 测试案例

												
														package test.com.vanward.adana.hierarchy;

import com.vanward.adana.hierarchy.Hierarchy;
import com.vanward.adana.hierarchy.HierarchyBuilder;
import junit.framework.TestCase;

public class HierarchyBuilderTest extends TestCase {
  
  public void testBuildHierarchyValueNotNull() {        
     Hierarchy hier = HierarchyBuilder.buildHierarchy(HierarchyBuilderTest.class);
     assertNotNull("object was null", hier);
  }

  public void testBuildHierarchyName() {        
     Hierarchy hier = HierarchyBuilder.buildHierarchy(HierarchyBuilderTest.class);
     assertEquals("should be junit.framework.Assert", 
       "junit.framework.Assert", 
         hier.getHierarchyClassNames()[1]);      
  }

  public void testBuildHierarchyNameAgain() { zo       
     Hierarchy hier = HierarchyBuilder.buildHierarchy(HierarchyBuilderTest.class);
     assertEquals("should be junit.framework.TestCase", 
       "junit.framework.TestCase", 
         hier.getHierarchyClassNames()[0]);      
  }

  public void testBuildHierarchySize() {        
     Hierarchy hier = HierarchyBuilder.buildHierarchy(HierarchyBuilderTest.class);
     assertEquals("should be 2", 2, hier.getHierarchyClassNames().length);
  }

  public void testBuildHierarchyStrNotNull() throws Exception{
    Hierarchy hier = 
       HierarchyBuilder.
       buildHierarchy("test.com.vanward.adana.hierarchy.HierarchyBuilderTest");
    assertNotNull("object was null", hier);
  }

  public void testBuildHierarchyStrName() throws Exception{        
    Hierarchy hier = 
       HierarchyBuilder.
       buildHierarchy("test.com.vanward.adana.hierarchy.HierarchyBuilderTest");
    assertEquals("should be junit.framework.Assert", 
      "junit.framework.Assert",
        hier.getHierarchyClassNames()[1]);
  }

  public void testBuildHierarchyStrNameAgain() throws Exception{
    Hierarchy hier = 
       HierarchyBuilder.
       buildHierarchy("test.com.vanward.adana.hierarchy.HierarchyBuilderTest");
    assertEquals("should be junit.framework.TestCase", 
      "junit.framework.TestCase",
        hier.getHierarchyClassNames()[0]);      
  }

  public void testBuildHierarchyStrSize() throws Exception{        
     Hierarchy hier = 
        HierarchyBuilder.
        buildHierarchy("test.com.vanward.adana.hierarchy.HierarchyBuilderTest");
     assertEquals("should be 2", 2, hier.getHierarchyClassNames().length);        
  }

  public void testBuildHierarchyWithNull() {
     try{
       Class clzz = null;
       HierarchyBuilder.buildHierarchy(clzz);
       fail("RuntimeException not thrown");
     }catch(RuntimeException e){}
  }
}

当我使用新的测试案例再次执行测试覆盖过程时，我得到了如图 2 所示的更加完整的报告。现在，我覆盖了未测试的 buildHierarchy() 方法，也处理了另一个 buildHierarchy() 方法中的两个 if 块。然而，因为 HierarchyBuilder 的构造器是 private 类型的，所以我不能通过我的测试类测试它（我也不关心）。因此，我的行覆盖率仍然只有 88%。

图 2. 谁说没有第二次机会

正如您看到的，使用一个代码覆盖工具可以揭露重要的没有相应测试案例的代码。重要的事情是，在阅读报告（特别是覆盖率高的）时需要小心，它们也许隐含危险的信息。让我们看看两个例子，看看在高覆盖率后面隐藏着什么。

回页首

条件带来的麻烦

正如您已经知道的，代码中的许多变量可能有多种状态；此外，条件的存在使得执行有多条路径。在留意这些问题之后，我将在清单 5 中定义一个极其简单只有一个方法的类：

清单 5.您能看出下面的缺陷吗？

												
														package com.vanward.coverage.example01;

public class PathCoverage {

  public String pathExample(boolean condition){
    String value = null;
    if(condition){
      value = " " + condition + " ";
    }
    return value.trim();
  }
}

您是否发现了清单 5 中有一个隐藏的缺陷呢？如果没有，不要担心，我会在清单 6 中写一个测试案例来执行 pathExample() 方法并确保它正确地工作：

清单 6. JUnit 来救援！

												
														package test.com.vanward.coverage.example01;

import junit.framework.TestCase;
import com.vanward.coverage.example01.PathCoverage;

public class PathCoverageTest extends TestCase {

  public final void testPathExample() {
    PathCoverage clzzUnderTst = new PathCoverage();
    String value = clzzUnderTst.pathExample(true);
    assertEquals("should be true", "true", value);
  }
}

我的测试案例正确运行，我的神奇的代码覆盖报告（如下面图 3 所示）使我看上去像个超级明星，测试覆盖率达到了 100%！

图 3. 覆盖率明星

我想现在应该到饮水机边上去说了，但是等等，我不是怀疑代码中有什么缺陷呢？认真检查清单 5 会发现，如果 condition 为 false，那么第 13 行确实会抛出 NullPointerException。Yeesh，这儿发生了什么？

这表明行覆盖的确不能很好地指示测试的有效性。

回页首

路径的恐怖

在清单 7 中，我定义了另一个包含 indirect 的简单例子，它仍然有不能容忍的缺陷。请注意 branchIt() 方法中 if 条件的后半部分。（HiddenObject 类将在清单 8 中定义。）

清单 7. 这个代码足够简单

												
														package com.vanward.coverage.example02;

import com.acme.someotherpackage.HiddenObject;

public class AnotherBranchCoverage {
   
  public void branchIt(int value){
    if((value > 100) || (HiddenObject.doWork() == 0)){
      this.dontDoIt();
    }else{
      this.doIt();
    }
  }                             

  private void dontDoIt(){
    //don't do something...
  }

  private void doIt(){
    //do something!
  }   
}

呀！清单 8 中的 HiddenObject 是有害的。与清单 7 中一样，调用 doWork() 方法会导致 RuntimeException：

清单 8. 上半部分！

												
														package com.acme.someotherpackage.HiddenObject;

public class HiddenObject {

  public static int doWork(){
    //return 1;
    throw new RuntimeException("surprise!");
  }
}

但是我的确可以通过一个良好的测试捕获这个异常！在清单 9 中，我编写了另一个好的测试，以图挽回我的超级明星光环：

清单 9. 使用 JUnit 规避风险

												
														package test.com.vanward.coverage.example02;

import junit.framework.TestCase;
import com.vanward.coverage.example02.AnotherBranchCoverage;

public class AnotherBranchCoverageTest extends TestCase {
    
  public final void testBranchIt() {
    AnotherBranchCoverage clzzUnderTst = new AnotherBranchCoverage();
    clzzUnderTst.branchIt(101);
  }    
}

您对这个测试案例有什么想法？您也许会写出更多的测试案例，但是请设想一下清单 7 中不确定的条件有不止一个的缩短操作会如何。设想如果前半部分中的逻辑比简单的 int 比较更复杂，那么您需要写多少测试案例才能满意？

仅仅给我数字

现在，对清单 7、8、9 的测试覆盖率的分析结果不再会使您感到惊讶。在图 4 的报告中显示我达到了 75% 的行覆盖率和 100% 的分支覆盖率。最重要的是，我执行了第 10 行！

图 4.愚弄的报酬

从第一印象看，这让我骄傲。但是这个报告有什么误导吗？只是粗略地看一看报告中的数字，会导致您相信代码是经过良好测试的。基于这一点，您也许会认为出现缺陷的风险很低。这个报告并不能帮助您确定 or 缩短操作的后半部分是一个定时炸弹！

回页首

质量测试

我不止一次地说：您可以（而且应该）使用测试覆盖工具作为您的测试过程的一部分。但是不要被覆盖报告所愚弄。关于覆盖报告您需要了解的主要事情是，覆盖报告最好用来检查哪些代码没有经过 充分的测试。当您检查覆盖报告时，找出较低的值，并了解为什么特定的代码没有经过充分的测试。知道这些以后，开发人员、管理人员以及 QA 专业人员就可以在真正需要的地方使用测试覆盖工具。通常有下列三种情况：

估计修改已有代码所需的时间
评估代码质量
评定功能测试

现在我可以断定对测试覆盖报告的一些使用方法会将您引入歧途，下面这些最佳实践可以使得测试覆盖报告可以真正为您所用。

1. 估计修改已有代码所需的时间

对一个开发团队而言，针对代码编写测试案例自然可以增加集体的信心。与没有相应测试案例的代码相比，经过测试的代码更容易重构、维护和增强。测试案例因为暗示了代码在测试工作中是如何工作的，所以还可以充当内行的文档。此外，如果被测试的代码发生改变，测试案例通常也会作相应的改变，这与诸如注释和 Javadoc 这样的静态代码文档不同。

在另一方面，没有经过相应测试的代码更难于理解和安全地 修改。因此，知道代码有没有被测试，并看看实际的测试覆盖数值，可以让开发人员和管理人员更准确地预知修改已有代码所需的时间。

再次回到饮水机边上，可以更好地阐明我的观点。

市场部的 Linda：“我们想让系统在用户完成一笔交易时做 x 工作。这需要多长时间。我们的用户需要尽快实现这一功能。”

管理人员 Jeff：“让我看看，这个代码是 Joe 在几个月前编写的，需要对业务层和 UI 做一些变动。Mary 也许可以在两天内完成这项工作。”

Linda：“Joe？他是谁？”

Jeff：“哦，Joe，因为他不知道自己在干什么，所以被我解雇了。”

情况似乎有点不妙，不是吗？尽管如此，Jeff 还是将任务分配给了 Mary，Mary 也认为能够在两天内完成工作 —— 确切地说，在看到代码之前她是这么认为的。

Mary：“Joe 写这些代码时是不是睡着了？这是我所见过的最差的代码。我甚至不能确认这是 Java 代码。除非推倒重来，要不我根本没法修改。”

情况对 “饮水机” 团队不妙，不是吗？但是我们假设，如果在这个不幸的事件的当初，Jeff 和 Mary 就拥有一份测试报告，那么情况会如何呢？当 Linda 要求实现新功能时，Jeff 做的第一件事就是检查以前生成的覆盖报告。注意到需要改动的软件包几乎没有被覆盖，然后他就会与 Mary 商量。

Jeff：“Joe 编写的这个代码很差，绝大多数没经过测试。您认为要支持 Linda 所说的功能需要多长时间？”

Mary：“这个代码很混乱。我甚至都不想看到它。为什么不让 Mark 来做呢？”

Jeff：“因为 Mark 不编写测试，刚被我解雇了。我需要您测试这个代码并作一些改动。告诉我您需要多长时间。”

Mary：“我至少需要两天编写测试，然后我会重构这个代码，增加新的功能。我想总共需要四天吧。”

正如他们所说的，知识的力量是强大的。开发人员可以在试图修改代码之前使用覆盖报告来检查代码质量。同样，管理人员可以使用覆盖数据更好地估计开发人员实际所需的时间。

2. 评估代码质量

开发人员的测试可以降低代码中存在缺陷的风险，因此现在很多开发团队在新开发和更改代码的同时需要编写单元测试。然而正如前面所提到的 Mark 一样，并不总是在编码的同时进行单元测试，因而会导致低质量代码的出现。

监控覆盖报告可以帮助开发团队迅速找出不断增长的没有相应测试的代码。例如，在一周开始时运行覆盖报告，显示项目中一个关键的软件包的覆盖率是 70%。如果几天后，覆盖率下降到了 60%，那么您可以推断：

软件包的代码行增加了，但是没有为新代码编写相应的测试（或者是新增加的测试不能有效地覆盖新代码）。
删除了测试案例。
上述两种情况都发生了。

能够监控事情的发展，无疑是件好事。定期地查阅报告使得设定目标（例如获得覆盖率、维护代码行的测试案例的比例等）并监控事情的发展变得更为容易。如果您发现测试没有如期编写，您可以提前采取一些行动，例如对开发人员进行培训、指导或帮助。与其让用户 “在使用中” 发现程序缺陷（这些缺陷本应该在几个月前通过简单的测试暴露出来），或者等到管理人员发现没有编写单元测试时再感到惊讶（和愤怒），还不如采取一些预防性的措施。

使用覆盖报告来确保正确的测试是一项伟大的实践。关键是要训练有素地完成这项工作。例如，使每晚生成并查阅覆盖报告成为连续累计 过程的一部分。

3. 评定功能测试

假设覆盖报告在指出没有经过 足够测试的代码部分方面非常有效，那么质量保证人员可以使用这些数据来评定与功能测试有关的关注区域。让我们回到 “饮水机” 团队来看看 QA 的负责人 Drew 是如何评价 Joe 的代码的：

Drew 对 Jeff 说：“我们为下一个版本编写了测试案例，我们注意到很多代码没有被覆盖。那好像是与股票交易有关的代码。”

Jeff：“哦，我们在这个领域有好些问题。如果我是一个赌徒的话，我会对这个功能区域给予特别的关注。Mary 正在对这个应用程序做一些其他的修改 —— 她在编写单元测试方面做得很好，但是这个代码也太差了点。”

Drew：“是的，我正在确定工作的资源和级别，看上去我没必要那么担心了，我估计我们的团队会对股票交易模块引起足够的关注。”

知识再次显示了其强大的力量。与其他软件生命周期中的风险承担者（例如 QA）配合，您可以利用覆盖报告所提供的信息来降低风险。在上面的场景中，也许 Jeff 可以为 Drew 的团队提供一个早期的不包含 Mary 的所有修改的版本。不过无论如何，Drew 的团队都应该关注应用程序的股票交易方面，与其他具有相应单元测试的代码相比，这个地方似乎存在更大的缺陷风险。

回页首

测试有什么好处

对单元测试范例而言，测试覆盖度量工具是一个有点奇怪的组成部分。对于一个已存在的有益的过程，覆盖度量可以增加其深度和精度。然而，您应该仔细地阅读代码覆盖报告。单独的高覆盖率并不能确保代码的质量。对于减少缺陷，代码的高覆盖并不是必要条件，尽管高覆盖的代码的确更少有缺陷。

测试覆盖度量的窍门是使用覆盖报告找出未经测试的代码，分别在微观和宏观两个级别。通过从顶层开始分析您的代码库，以及分析单个类的覆盖，可以促进深入的覆盖测试。一旦您能够综合这些原则，您和您的组织就可以在真正需要的地方使用覆盖度量工具，例如估计一个项目所需的时间，持续监控代码质量以及促进与 QA 的协作。

jinfeng_wang 2006-04-26 16:24 发表评论

或许对YM很不公平,但他会勇敢的去面对不可能的任务 zz from hc

jinfeng_wang — Tue, 14 Mar 2006 03:16:00 GMT

    这个世界上有很多奇怪的不公平,比如说你永远没办法理解为什么中国的要黑会这么多,一个像YM这样对中国体育做出如此多贡献而且公众形象完美无缺的年轻人到底哪里得罪了他们,会让他们如此不遗余力的去黑他.

   你同样没办法理解,在这个如今充满了高薪低能和满篇大话的NBA联盟里面,像YM这样一个勤勤恳恳,谦虚谨慎的人居然会排在被高估球员榜的第二位,唯一排在他前面的那个人目前球队成绩联盟倒第一而他却自称自己为天下第一PG,而那个拿着上千万年薪,自称自己是联盟第二中锋如今却只能给一个塞内加尔无名小子打替补的丹皮尔却可以在被高估傍上名落孙山.

   今天的比赛如果以一个要迷的角度看或许并不糟糕,YM继续不错的发挥,拿下全场最漂亮的数据,25分10板3帽3助而且只有一个失误,火箭在TMAC和威思利两大主力同时受伤的情况下(TMAC是火箭第一得分手,威思利是火箭最准的外线投手和最好的外线防守队员),仍然跟卫冕冠军,主场成绩高达26胜4负的马刺硬拼到了最后.是的,这个结果很另人欣慰了.但如果你看了赛后美国媒体的报道,你的心情恐怕就没有这么欣慰了.

   YAHOO的赛后报道用了一半以上的文字去描述基诺比例和芬利在YM面前的那两个扣篮,同时还不忘附上这两个人在赛后采访中对这两个扣篮感想,YAHOO对这两个扣篮的描述相当的生动,绝对能让你有身临其境的感觉,而如果你想象力不够的话也不要紧,要黑电台ESPN今天晚上肯定会把这两个扣篮放上500次的.接下来他们又不忘夸奖TD在第四节的表.,当然最后也提了一下YM25分的全场最高分,可他们同时强调了17分是上半场得到的.NBA.COM的报道也大同小异,重点描述了那两个扣篮后,特别说明了YM在马刺反超比赛的第三节里只得到了2分.没错,这就是美国媒体对这场比赛的赛后分析,无视YM在马刺多人包夹防守下死拼42分钟是多么的不易,无视火箭的人员不整以及角色球员跟马刺队员的差距,他们只是一股脑地把火箭输球的责任全推给了YM,把他描述成一个关键时刻没法得分并且被小个子暴头的软蛋.

   这确实是很不公平,但现实就是这么的残忍,成王败寇是竞技场上永远不变的真理.作为领袖人物,只要球队输球,不论你个人的表现如何,你都要去承担责任,像今天湖人输给了超音速,KB也没在媒体的赛后分析里得到什么好话.美国媒体的宠儿KB尚且如此待遇,YM就更不用说了.美国的媒体从来就对他十分的苛刻和缺乏耐心.像巴克利这样伟大的球员当年居然只看了5场比赛就给YM判了死刑,说他永远得不到19分,神投米勒更甚,他在当了评论员后,只要提到YM就不停的强调YM的极限也就是当年的荷兰人史密次.这些NBA的老一代对外籍球员(特别YM还是亚洲球员)的藐视与不屑是根深蒂固的.所以在YM拿到总冠军之前,永远不要指望这些专家们会给YM什么公正的评价.

   在竞技体育里面,还有一条真理跟成王败寇同样不可颠覆,那就是ONE PERSON DOSENT MAKE A TEAM,没有人可以靠一己之力去赢得比赛,这已经被证明了无数次了.

   狼王KG是一个非常好的例子,作为联盟的效率王,KG这些年的表现一直惊人的稳定,单看个人数据他几乎年年都是MVP的水准,但角色球员的不同却决定了他球队的成绩.当他身边有好的帮手的时候,KG可以带队打进西部决赛,拿下MVP.可当角色球员的实力不济的时候,虽然他个人表现依旧神勇无比,但球队只能常年止步季后赛第一轮,甚至在最近两年连续无缘PLAYOFF.

   KB的情况也是如此,今年他个人的表现已经接近半神,平均得分上35,单场81分都是近乎神奇的表演,可即便他个人能力如此出色,再加上菲尔这样的大师指教,湖人如今仍然只有33胜31负的季后赛边缘成绩.在球队2哥奥多姆受伤的三场比赛里,KB倾尽全力仍不能避免湖人三连败,不仅被步行者横扫26分,甚至被联盟垫底的山猫拿下.而在不堪回首的去年,由于伤病和角色球员能力不足,KB在最后20场比赛里孤掌难鸣,湖人不得不最终吞下2胜18负的苦果.

   火箭的一哥TMAC当年也有跟KB类似的经历,02-03赛季,打出职业生涯最佳表现的他在拿下得分王的同时入选联盟第一阵容,而且当时魔术的阵容虽然受到HILL合同的影响算不上豪华,但起码还有最佳第六人阿姆思特朗和最佳新人米勒这样相当不错的选手.尽管如此,球队的最终成绩也只有42胜40负,连西部第九的火箭成绩都比他强.而且这个成绩还是在当时整体实力薄弱的东部取得的.03-04赛季,失去了阿姆思特朗和米勒这两位帮手,TAMC虽然还可拿下得分王,但球队开季20场比赛里只有1胜19负.最终联盟垫底.

   现在的YM获得的评价远没有KG,KB,TMAC那么高,可摆在他面前的20场比赛却比当年的KB,TMAC的20场还要恐怖,在主力受伤,龙套实力不济的情况下,YM要率领球对面对一个真正魔鬼的赛程.先是连续8场面对胜率5成的对手,包括与西部霸主小牛马刺的4场,外加客场挑战对火箭势在必得的黄蜂和复仇心切的快船.而在四月份,还有一个6连客在等待着他们.火箭要想进入PLAYOFF的话,在这魔鬼般的20场比赛里起码要拿下14场也就是70%的胜率,在TMAC和威思利都受伤的情况下,这已经不能说是严峻的考验,而完全算是一个不可能完成的任务.如果从纸面上的实力分析,如果对手完全正常发挥而火箭其他球员不超常,那么就算YM在这20场比赛里场场拿下30/10,火箭胜利的场次也不会超过5场.

   事实上除了发生奇迹外,火箭成绩不佳而YM数据出色是最后20场里可能出现的最乐观的情况了.但如果真的出现这种情况,不要天真的指望美国媒体会因为YM数据出色就把他说成孤胆英雄,他们才不会把火箭成绩不佳的责任归结给赛程,角色球员的实力和病榻上的TMAC.无视YM的努力,把他说成一个无法领导球队的软蛋和废物才是他们的方式.不要怀疑,整整四年以来,他们一直在不遗余力的这么做.绝对不要去奢望他们会给YM一个公平的评价.

   很奇怪,当YM面对不可能的任务和很可能随之而来的不公正的评价的时候,我这个要迷居然一点也不为他担心,估计这也是看YM打球多年锻炼出来的吧.因为从YM出道那天开始,挑战不可能的任务对他来说就像家常便饭一样.我已经记不清这些年来他搞定了多少所谓的"不可能"了.

   还记得十年前吗?如果有人跟我说,那个在卢家湾体育场上一场比赛要摔20个跟头的大竹杆有一天会超过WZZ,会颠覆八一王朝,我肯定会对他蔑视的一笑,连"不可能"这三个字都懒得说,而如果谁当时说YM会进NBA,而且会成为状元秀,他身旁的朋友说不定会立刻煽他一耳光,告诉他:你Y快醒醒,别TMD大白天说梦话.

   还记得四年前吗?NBA的名宿查尔斯爵士曾级毫不犹豫的宣布,单场19分是YM不可能完成的任务,他甚至为此打赌在几亿电视观众面前去亲驴屁股.

   还记得两年前的夏天吗?全世界的人都认为中国队不可能战胜塞黑进入奥运会8强,连被许多人说成BT要迷的CCTV5都放弃对YM的期望了,CCTV5先是在下午的奥运会报道里调侃YM的胡子,接下来更是在塞黑和中国的生死大战前一个小时就宣布八强对阵是欧洲冠军立陶宛对世界冠军塞黑,

   就算上面那些往事你都记不清了,那你总不会忘记就在仅仅三个月以前,还有9成的球迷不相信今年的YM可以打出20/10的平均数据,认为这绝对是不可能的任务吧.

   当然这次YM面对的挑战比上面那些更加可怕,以火箭现在的情况和赛程来看,想要进PLAYOFF,就算是状态最佳时的飞人乔丹来了,没有逆天的好运气也是完全没有希望的.理性的来看,火箭胜少负多是肯定的,甚至很有可能像去年的KB和前年的MD那样20场比赛里1胜N败.

   但我相信YM不会被失败击垮,就算在接下来的20场比赛里全负,就算NBA.COM的首页大标题变成"YM是个废物."我仍然相信他不会垮.因为如果他是一个这么容易就趴下的人,早在十几年前,姚妈妈领着还是孩子的YM满怀希望的去看国内的篮球名宿,却得到了一句:"没有天赋,难成大气,远不及WZZ."的评语的时候,他就会放弃NBA的梦想了如果YM是那么容易放弃的人,那么早在02年先是国家队兵败世界锦标赛和釜山亚运会,然后他作为NBA状元却在第一场比赛一分为得的时候就垮了.正因为过去这些种种的压力和不公正的评价他都抗了过去,所以我相信不管接下来的火箭队成绩如何,不管美国的专家媒体在赛季结束会给YM一个什么样的评价,他都会精神饱满的出现在今年夏天的世界锦标赛上,穿上国家队的战袍,像全世界展现他FIBA比赛里第一中锋的威力.而在接下来的06-07赛季,他也一定会再次生龙活虎的去继续搏杀,毫不迟疑的面对挑战.

   我最早看YM打球的时候也不喜欢他,直到他去了NBA才出于同胞的原因开是支持他.如今看YM打球看了这么多年,虽然谈不上对真正的YM有多么了解,但也多少可以看到他某些真实的一面.YM作为一个来自篮球第三世界的外籍球员,能够在身体素质BT如云的NBA走到今天这步,绝对不是靠他那除了身高外一无是处的身体素质.扒掉这个男人所谓天才的外衣,真正支持他成功的是他惊人的勤奋和面对挫折时超乎寻常的坚强意志.正像YM的主教练范甘迪说的那样,任何一个人如果能像YM那么努力的话,他都会取得自己所能取得的最大成功.在NBA里,凭借父母给的好身板而在生理上比YM"硬汉"的人多得数不过来,但这些人中能在心理上比YM坚强的"硬汉"却只是屈指可数.而这才是是我现在喜欢,相信YM的最大原因.

jinfeng_wang 2006-03-14 11:16 发表评论

Comparing Web Frameworks (zz)

jinfeng_wang — Sat, 30 Apr 2005 03:01:00 GMT

download URL : https://equinox.dev.java.net/framework-comparison/WebFrameworks.pdf

Comparing Web Frameworks:
Struts, Spring MVC, WebWork, Tapestry &
JSF
Matt Raible
www.raibledesigns.com
!ww.raibledesigns.co"

Who is Matt Raible?
. Developing websites since 1994 (before Netscape 1.0)
- Developing in J2EE webapps since 1999
. Committer on several open source projects:Roller
Weblogger, XDoclet, Struts Menu, Display Tag, AppFuse
. J2EE 5.0 Expert Group Member
. Author: Spring Live (SourceBeat) and contributor to
Pro JSP (Apress)
!ww.raibledesigns.co" !ww.springlive.co"

Framework Experience
. Struts: used since June 2001 - same time 1.0 was
released.
. Spring MVC: used since January 2004 - before 1.0
was released.
. WebWork: used since July 2004.
. Tapestry: used since July 2004.
. JSF: used since July 2004 - both Sun’s RI and
MyFaces.
!ww.raibledesigns.co"

Meet the Candidates
!ww.raibledesigns.co"

Struts
. Pros:
. The “Standard” - lots of Struts jobs
. Lots of information and examples
. HTML tag library is one of the best
. Cons:
. ActionForms - they’re a pain
. Can’t unit test - StrutsTestCase only does integration
. Mailing list volume is overwhelming
!ww.raibledesigns.co"

Spring MVC
!ww.raibledesigns.co"
. Pros:
. Lifecyle for overriding binding, validation, etc.
. Integrates with many view options seamlessly: JSP/JSTL,
Tiles, Velocity, FreeMarker, Excel, XSL, PDF
. Inversion of Control makes it easy to test
. Cons:
. Not many using it
. Requires writing lots of code in JSPs
. Almost too flexible - no common parent Controller

WebWork
!ww.raibledesigns.co"
. Pros:
. Simple architecture - easy to extend
. Tag Library is easy to customize - backed by Velocity
. Interceptors are pretty slick
. Cons:
. Documentation only recently written, few examples
. Client-side validation immature

Tapestry
!ww.raibledesigns.co"
. Pros:
. Very productive once you learn it
. Templates are HTML - great for designers
. Healthy and smart user community
. Cons:
. Documentation very conceptual, rather than pragmatic
. Steep learning curve - very few examples
. Impossible to test - page classes are abstract

JSF
!ww.raibledesigns.co"
. Pros:
. J2EE Standard - lots of demand and jobs
. Fast and easy to develop with
. Rich Navigation framework
. Cons:
. Tag soup for JSPs
. Immature technology - doesn’t come with everything
. No single source for implementation

Controllers and Views
. Struts: UserAction extends DispatchAction
. Spring MVC: UserFormController extends
SimpleFormController
. WebWork: UserAction extends ActionSupport
. Tapestry: UserForm extends BasePage
. JSF: UserForm
!ww.raibledesigns.co"

List Screens
. How easy is it to integrate a sortable/
pageable list of data?
. Struts, Spring MVC and WebWork can all
use Tag Libraries like the Display Tag
. Tapestry has a contrib:Table component
. JSF has a dataTable with no sorting - have
to write your own logic if you want it
!ww.raibledesigns.co"

Bookmarking and URLs
. Using container-managed authentication (or other filterbased
security systems) allow users to bookmark pages.
They can click the bookmark, login and go directly to the
page.
. WebWork has namespaces - makes it easy
. Struts and Spring allow full URL control
. Tapestry has ugly URLs - difficult to segment the app for
different roles
. JSF does a POST for everything
!ww.raibledesigns.co"

Validation
. Validation should be easy to configure, be robust on the
client side and either provide good out of the box messages
or allow you to easily customize them.
. Struts and Spring MVC use Commons Validator - a
mature solution
. WebWork uses OGNL for powerful expressions -
client-side support very new
. Tapestry has very robust validation - good messages
without need to customize
. JSF - ugly default messages, but easiest to configure
!ww.raibledesigns.co"

Testability
. Struts - can use StrutsTestCase
. Spring and WebWork allow easy testing with
mocks (i.e. EasyMock, jMock, Spring Mocks)
. Tapestry is impossible to test because page classes
are abstract
. JSF page classes can be easily tested and actually
look a lot like WebWork actions
!ww.raibledesigns.co"

Success Messages
. The duplicate-post problem, what is it?
. Easiest way to solve: redirect after POST
. Struts is the only framework that allows success
messages to live through a redirect
. Spring and WebWork require custom solutions
. Tapestry requires you to throw an Exception to redirect
. JSF requires a custom solution, i18n messages difficult to
get in page beans
!ww.raibledesigns.co"

Spring Integration
. All frameworks have integration with Spring
. Struts: ContextLoaderPlugin and Base classes
. WebWork: SpringObjectFactory
. Tapestry: override base engine, grab from servlet
context, put into global map
. JSF: DelegateVariableResolver or JSF-Spring Library
!ww.raibledesigns.co"

Internationalization
. JSTL’s tag makes it easy
. No standard for getting i18n messages in
controller classes
. Struts, Spring and JSF encourage one
ResourceBundle per locale
. WebWork and Tapestry advocate separate
files for each page/action
!ww.raibledesigns.co"

Page Decoration
. Used Tiles since it first came out in 2001
. SiteMesh is much easier to setup and use
. Tiles can be used in Struts, Spring and JSF
. Requires configuration for each page
. SiteMesh can be used with all frameworks
. Requires very little maintenance after
setup
!ww.raibledesigns.co"

Tools
. Struts has a lot of IDE support and even has
frameworks built on top of it (i.e. Beehive’s
PageFlow)
. Spring has Spring IDE - only does XML validation,
not a UI/web tool
. WebWork has none
. Tapestry has Spindle - great for coders
. JSF has many, all cost money and hook into
proprietary app servers
!ww.raibledesigns.co"

Business/Marketing
. Struts is still in high-demand and widely-used
. Spring is getting more press, but mostly due to the
framework’s other features
. WebWork is gaining ground, but pretty scarce on
job boards
. Tapestry is even more scarce - needs more
marketing
. JSF is quickly becoming popular
!ww.raibledesigns.co"

Dice Job Count
October 15, 2004
0
375
750
1,125
1,500
Struts
Spring Framework
WebWork
Tapestry
JSF
!ww.raibledesigns.co"

My Opinion
. Struts is fast to develop with because most problems have
been solved. HTML tag library the best of the bunch.
. Spring is nice, but lack of form tags drops it down a notch
or two. JSP 2.0 tag files exist in issue tracker.
. I like WebWork a lot, but lack of of good client-side
validation support is a killer.
. Tapestry - I haven’t finished the learning curve.
. JSF - needs to listen to developers to see what they want
instead of tools vendors.
!ww.raibledesigns.co"

Which would I choose?
. Quick and dirty project?
. Struts because I know it best
. Massive enterprise project?
. Tapestry for its reusable components
. If I got a job as an open source developer?
. WebWork because using it requires you
to dig into the frameworks
!ww.raibledesigns.co"

Resources
. Download sample apps for this presentation
. http://equinox.dev.java.net/framework-comparison
. Struts - http://struts.apache.org
. StrutsTestCase: http://strutstestcase.sf.net
. Spring MVC - http://www.springframework.org
. Spring IDE: http://www.springframework.org/spring-ide/eclipse
. WebWork - http://opensymphony.org/webwork
. Eclipse Plugin: http://sf.net/projects/eclipsework
. IDEA Plugin: http://wiki.opensymphony.com/display/WW/IDEA+Plugin
!ww.raibledesigns.co"

Resources, cont.
. Tapestry - http://jakarta.apache.org/tapestry
. Spindle: http://spindle.sourceforge.net
. JSF - http://java.sun.com/j2ee/javaserverfaces and http://
myfaces.org
. Java Studio Creator: http://sun.com/software/products/jscreator
. MyEclipse: http://myeclipseide.com
. IDEA: http://www.jetbrains.com/idea
. SiteMesh: http://opensymphony.com/sitemesh
!ww.raibledesigns.co"

Resources, cont.
. Testing Frameworks
. JUnit: http://junit.org
. EasyMock: http://easymock.org
. jMock: http://jmock.org
. jWebUnit: http://jwebunit.sourceforge.net
. Canoo WebTest: http://webtest.canoo.com
. XDoclet - http://xdoclet.sourceforge.net
. AppFuse - http://appfuse.dev.java.net
!ww.raibledesigns.co"

Books
. Struts in Action, Ted Husted and Team
. Struts Live, Rick Hightower and Jonathan Lehr
. Spring Live, Matt Raible
. Spring in Action, Craig Walls and Ryan Breidenbach
. Professional Java Development with Spring, Rod
Johnson, Juergen Hoeller and Team

Books, cont.
. WebWork in Action, Patrick Lightbody and Team
. Tapestry in Action, Howard Lewis Ship
. Core JSF, David Geary and Cay Horstmann
. JSF in Action, Kito Mann

The End
...or is it just the beginning...
!ww.raibledesigns.co"

jinfeng_wang 2005-04-30 11:01 发表评论

学习的一个过程(zz)

jinfeng_wang — Sat, 30 Apr 2005 02:59:00 GMT

学习的一个过程

头一天听到XX事物，啊，真是个好东东....一定要学好它
第二天，学习了一下，啊太难了，太麻烦了....鬼知道人们为什么说他好
第三天，仔细用了一下，原来这么简单，简直是太简单了，这么简单的东东，居然这么多人说好
第三天，看起来，自己对它的了解还不够啊
第四天，不是不够而是非常不够，看起来还得认真学习
第五天，再也不敢说对它有了解了，简直是高深莫测啊
第六天，感觉这个东东比较有意思，原来还可以这个样子的啊
第七天，好象这么做，就可以完成以前不敢想的事情了
第八天，现在用得很好了，你个呆瓜，怎么说这个东东不好？o原来你是菜鸟啊
第九天，这个东东，如果能这样一些就更好了。

对照一下自己，学的好多东西都还是停留在3、4、5啊！叹～

jinfeng_wang 2005-04-30 10:59 发表评论

SiteMesh resources(zz)

jinfeng_wang — Tue, 12 Apr 2005 13:42:00 GMT

SiteMesh is a web-page layout and decoration framework and web- application integration framework to aid in creating large sites consisting of many pages for which a consistent look/feel, navigation and layout scheme is required.

External Documentation

Documentation - documentation and a description of SiteMesh
Will Iverson's Introduction to SiteMesh
API JavaDocs
JSP Tag Reference
SiteMesh Presentation - SiteMesh presentation Mike Cannon-Brookes gave at TSSS in Vegas.
Using Velocity as SiteMesh decorator with Spring framework
Jason Chambers' SiteMesh presentation to Atlanta Java Users Group

User Contributed docs

Release Notes

Developer Notes

SiteMesh 3 Roadmap

jinfeng_wang 2005-04-12 21:42 发表评论

使用sitemesh建立复合视图(ZZ)

jinfeng_wang — Tue, 12 Apr 2005 13:31:00 GMT

(作者:chen-neu ,提供给 huihoo.com 发布)

sitemesh是opensymphony团队开发的j2ee应用框架之一，旨在提高页面的可维护性和复用性。opensymphony的另一个广为人知的框架为webwork是用作web层的表示框架。他们都是开源的，可以在www.sf.net下找到。

应用于以下大项目的例子：http://opensource.thoughtworks.com/projects/sitemesh.html

简介：

sitemesh应用Decorator模式，用filter截取request和response,把页面组件head,content,banner结合为一个完整的视图。通常我们都是用include标签在每个jsp页面中来不断的包含各种header, stylesheet, scripts and footer，现在，在sitemesh的帮助下，我们可以开心的删掉他们了。如下图，你想轻松的达到复合视图模式，那末看完本文吧。

hello sitemesh：

在WEB-INF/web.xml中copy以下filter的定义:


  sitemesh
  com.opensymphony.module.sitemesh.filter.PageFilter



  sitemesh
  /*



  sitemesh-decorator
  /WEB-INF/sitemesh-decorator.tld



  sitemesh-page
  /WEB-INF/sitemesh-page.tld

copy所需jar和dtd文件至相应目录，访问opensymphony.sourceforge.net的cvs以获取sitemesh最新版本。

sitemesh.jar WEB-INF/lib

sitemesh-decorator.tld WEB-INF

sitemesh-page.tld WEB-INF
建立WEB-INF/decorators.xml描述各装饰器页面(可仿照sitemesh例子)。
*

建立装饰器页面 /_decorators/main.jsp

<%@ page contentType="text/html; charset=GBK"%>
<%@ taglib uri="sitemesh-decorator" prefix="decorator" %>


  
    <decorator:title default="装饰器页面..." />
    
  
  
    sitemesh的例子
    
    chen56@msn.com

建立一个的被装饰页面 /index.jsp(内容页面)

<%@ page contentType="text/html; charset=GBK"%>

  
    Agent Test
  
  
    本页只有一句，就是本句.

最后访问index.jsp，将生成如下页面：

而且，所有的页面也会如同index.jsp一样，被sitemesh的filter使用装饰模式修改成如上图般模样，却不用再使用include标签。

装饰器 decorator概念

建立可复用的web应用程序,一个通用的方法是建立一个分层系统，如同下面一个普通的web应用：

前端，front-end:JSP和Servlets，或jakarta的velocity
控制层框架 Controller ： (Struts/Webwork)
业务逻辑 Business ：主要业务逻辑
持久化框架：hibernate/jdo

可糟糕的是前端的页面逻辑很难被复用，当你在每一个页面中用数之不尽的include来复用公共的header, stylesheet, scripts，footer时，一个问题出现了-重复的代码，每个页面必须用copy来复用页面结构，而当你需要创意性的改变页面结构时，灾难就爱上了你。

sitemesh通过filter截取request和response，并给原始的页面加入一定的装饰(可能为header,footer...)，然后把结果返回给客户端，并且被装饰的原始页面并不知道sitemesh的装饰，这也就达到了脱耦的目的。

据说即将新出台的Portlet规范会帮助我们标准的实现比这些更多更cool的想法，但可怜的我还不懂它到底是一个什末东东，有兴趣的人可以研究
jetspeed，或JSR (Java Specification Request) 168,但我想sitemesh如此简单，我们不妨先用着。

让我们看看怎样配置环境

除了要copy到WEB-INF/lib中的sitemesh.jar, copy到WEB-INF中的sitemesh-decorator.tld,sitemesh-page.tld文件外，还有2个文件要建立到WEB-INF/：

sitemesh.xml (可选)
decorators.xml

sitemesh.xml 可以设置2种信息:

Page Parsers ：负责读取stream的数据到一个Page对象中以被SiteMesh解析和操作。(不太常用，默认即可)

Decorator Mappers : 不同的装饰器种类，我发现2种比较有用都列在下面。一种通用的mapper,可以指定装饰器的配置文件名，另一种可打印的装饰器，可以允许你当用http://localhost/aaa/a.html?printable=true方式访问时给出原始页面以供打印(免得把header,footer等的花哨的图片也搭上)

(但一般不用建立它，默认设置足够了：com/opensymphony/module/sitemesh/factory/sitemesh-default.xml）：

范例：

decorators.xml ：定义构成复合视图的所有页面构件的描述(主要结构页面，header,footer...)，如下例：

defaultdir: 包含装饰器页面的目录
page : 页面文件名
name : 别名
role : 角色，用于安全
webapp : 可以另外指定此文件存放目录
Patterns : 匹配的路径，可以用*,那些被访问的页面需要被装饰。

最重要的是写出装饰器本身(也就是那些要复用页面，和结构页面)。

其实，重要的工作就是制作装饰器页面本身(也就是包含结构和规则的页面)，然后把他们描述到decorators.xml中。

让我们来先看一看最简单的用法：其实最常用也最简单的用法就是我们的hello例子，面对如此众多的技术，我想只要达到功能点到为止即可，没必要去研究太深(除非您有更深的需求)。

<%@ page contentType="text/html; charset=GBK"%>
<%@ taglib uri="sitemesh-decorator" prefix="decorator" %>


  
    <decorator:title default="装饰器页面..." />
    
  
  
    sitemesh的例子
    
    chen56@msn.com

我们在装饰器页面只用了2个标签：

：把请求的原始页面的title内容插入到中间。

：把请求的原始页面的body内的全部内容插入到相应位置。

然后我们在decorator.xml中加入以下描述即可：

这样，请求的所有页面都会被重新处理，并按照main.jsp的格式重新展现在你面前。

让我们看看更多的用法。(抄袭sitemesh文档)

以下列着全部标签：

Decorator Tags	Page Tags
被用于建立装饰器页面.	被用于从原始内容页面访问装饰器.

插入原始页面(被包装页面)的head标签中的内容(不包括head标签本身)。

插入原始页面(被包装页面)的body标签中的内容。

插入原始页面(被包装页面)的title标签中的内容，还可以添加一个缺省值。

例：

/_decorator/main.jsp中（装饰器页面）: <A name=decorator:title><decorator:title default="却省title-hello" /></A><A name=decorator:title> - 附加标题</A>

/aaa.jsp中 (原始页面)：<A name=decorator:title>aaa页面</A>

访问/aaa.jsp的结果：<A name=decorator:title>aaa页面</A> <A name=decorator:title>- 附加标题</A>

在标签处插入原始页面(被包装页面)的原有的标签的属性中的内容，还可以添加一个缺省值。

sitemesh文档中的例子很好理解：
The decorator: >
The undecorated page:
The decorated page:

注意，writeEntireProperty="true"会在插入内容前加入一个空格。

象jsp页面中的标签一样，可以使用被包装为一个Page对象的页面。 (懒的用)

例：可用：<%=page.getTitle()%>达到的访问结果。

...
...

应用包装器到指定的页面上，一般用于被包装页面中主动应用包装器。这个标签有点不好理解，我们来看一个例子：

包装器页面 /_decorators/panel.jsp：

...

并且在decorators.xml中有

一个公共页面，即将被panel包装：/_public/date.jsp:
... <%=new java.util.Date()%> ...

被包装页面 /page.jsp ：
page的应用
.....

 chen_p@neusoft.com

最后会是什末结果呢？除了/page.jsp会被默认的包装页面包装上header,footer外，page.jsp页面中还内嵌了date.jsp页面，并且此date.jsp页面还会被panel.jsp包装为一个title加body的有2段的页面，第1段是date.jsp的title，第2段是date.jsp的body内容。

另外，page:applyDecorator中包含的page:param标签所声明的属性值还可以在包装页面中用decorator:getProperty标签访问到。

前面的文章已经足以应用sitemesh来改善您的应用，但我发现还有一些其他的东东可能也会对大家有所帮助

可打印的界面装饰

前面说过有1种可打印的装饰器，可以允许你当用http://localhost/aaa/a.html?printable=true方式访问时，应用其他的装饰器(自己指定)，给出原始页面以供打印(免得把header,footer等的花哨的图片也搭上)。

让我们来看一看怎样实现他：

1.首先在WEB-INFO/sitemesh.xml中设置：





这样就可以通过?printable=true来使用名为printable的装饰器，而不是用原来的装饰器。

2.在WEB-INFO/decorators.xml中定义相应的printable装饰器

3.最后编写printable装饰器/decorators/printable.jsp

<%@ taglib uri="sitemesh-decorator" prefix="decorator" %>

<decorator:title />

(printable version)

这样就可以让一个原始页面通过?printable=true开关来切换不同的装饰器页面。

中文问题

由于sitemesh内部所使用的缺省字符集为iso-8859-1，直接使用会产生乱码，我们可以通过以下方法纠正之：

方法1：可以在您所用的application server的配置文件中找一找，有没有设置encoding或charset的项目，然后设成gbk或gb2312即可
方法2：这也是我们一直使用的方法。 1.在每一个jsp页里设置: <%@ page contentType="text/html; charset=gbk"%> 来告诉server你所要求的字符集。 2.在每个jsp页的head中定义：来告诉浏览器你所用的字符集。

总结：使用sitemesh最通常的途径：

1.配置好环境，

2.在WEB-INFO/decroators.xml中描述你将建立的包装器。

3.开发在decroators.xml中描述的包装器，最好存放在/_decorators目录下

4.ok ，可以看看辛勤的成果了 :)

资源：

下载我提供的ant build的例子
我在j2sdk-1_4_0,tomcat4.0.3和tomcat5下测试通过，请先运行/build.bat,以生成/dist/web.war文件，然后实施到你的服务器即可。
opensymphony团队的项目集合：
http://sourceforge.net/projects/opensymphony
Wiki ：http://wiki.opensymphony.com/
在sf的cvs上下载最新版本CVS

关于作者：

陈鹏，西安东软公司。作为一名狂热的程序员希望每一天都能成长进步，并希望与大家分享快乐和知识。
请用以下方式和他联系：email chen56@msn.com

jinfeng_wang 2005-04-12 21:31 发表评论

Introduction to SiteMesh(zz)

jinfeng_wang — Tue, 12 Apr 2005 13:27:00 GMT

Introduction to SiteMesh

by Will Iverson
03/11/2004

Contents

How Does It Work?

Installing SiteMesh

web.xml

decorators.xml

decorators/*.jsp

sitemesh-2.0.1.jar

*.tld

Advanced SiteMesh

Summary

In the past, I used to build my web applications the old-fashioned way: handcrafting assembly, carefully building my raw byte handlers to work with Unicode, counting instructions, and using make files to target different CPUs.

OK, maybe not.

Although I've never actually felt the need to build my web application with assembly (CISC or RISC), I sometimes think my fellow developers are on a quest to make their development processes as painful as possible. In particular, I've seen many developers agonize over the best way to handle basic web application building blocks: things like headers, footers, navigation bars, support for printable pages, light-weight pages for handheld devices, and more. In the end, things like includes and brute-force copy-and-paste win out surprisingly often.

In my experience, I've been able to easily solve these problems cleanly, easily, and elegantly using the open source servlet filter SiteMesh, which is hosted on java.net. Instead of requiring a new templating language, XSLT, or "porting" your pages to a new system, using SiteMesh often allows you to dramatically simplify your pages while still using ordinary HTML, JSP, servlets (including Struts), and other familiar technologies.

How Does It Work?

SiteMesh implements a page filter, taking advantage of one of the lesser-known features of the servlet specification. Let's imagine you have a simple JSP that returns the current date and time. Ordinarily, the request for the page comes in to the application server, the page is rendered, and then the results are returned to the web browser. SiteMesh, as a page filter, takes the page after it is rendered and performs additional processing before returning the document to the web browser. This change is most simply described as the additional step shown between Figure 1 and Figure 2.

Figure 1. Normal Page Rendering

Figure 2. SiteMesh Page Rendering

Let's look at a simple example of this. Consider the following simple JSP:


    
        Simple Document
    
    
        Hello World! 

        <%= 1+1 %>

You'll notice that the page has a title and a body (like any ordinary HTML page). You'll notice a tiny bit of JSP code -- this will be rendered just as you would expect. Indeed, you can use any and all features that you would expect, and you link between the various JSP and other resources just as you might expect.

Now, let's look at a simple SiteMesh "decorator" page. Listing 2 shows a JSP page, called by SiteMesh.

<%@ taglib uri="sitemesh-decorator"
prefix="decorator" %>

 
 
 My Site - <decorator:title default="Welcome!" />
 
 
 
 
 
  
 
 (printable version)

Looking at the decorator, we can see a few interesting things. First, a SiteMesh taglib is introduced in the first line. This taglib includes everything required to work with the original page. You can see that we use two of the SiteMesh declared tags, and . Not surprisingly, the returns the contents of the </CODE> tag in the original page, and <CODE><decorator:body></CODE> the content. We're making a few fairly radical changes to the page, including repeating the title both in the <CODE>HEAD</CODE> element as well as the <CODE>BODY</CODE>. We're also adding a link to a printable version of the page. For comparison, Figure 3 shows the rendered original page and Figure 4 the rendered decorated page. Notice the appearance of the title text both in the browser window title bar and in the HTML of the page in the decorated page. You'll also notice that we added a printable page link, as well -- we'll come back to this later. Figure 3. Original Undecorated Page Figure 4. Decorated Page Obviously, this is a much cleaner system for applying traditional header and footer content than using include directives (such as <CODE><jsp:include page="foo.jsp" flush="true" /></CODE>). It's much more flexible and natural, and encourages JSP pages with no navigation or other presentation data. I have found that a combination of decorators and CSS overrides of standard HTML tags allows me to virtually eliminate formatting information from my JSP pages. <H2 id=Installing_SiteMesh>Installing SiteMesh</H2> Note that the screenshots, etc. are based on Windows XP Professional, <A href="http://jakarta.apache.org/tomcat/index.html">Tomcat 5.0.19</A>, and Java 2 SDK 1.4.2_03. I'm going to assume that you have installed and are able to get Tomcat working. You might have to tweak things slightly, but I've gotten all of this to work fine on Tomcat 4.1 and WebLogic as well, and SiteMesh lists many other supported web application servers. SiteMesh 2.0.1, the version described in this article, can be downloaded <A href="https://sitemesh.dev.java.net/servlets/ProjectDocumentList?folderID=542">here</A>. There are four files available for download from SiteMesh's java.net project repository. The sitemesh-2.0.1.jar file is just the core JAR file, sitemesh-2.0.1-sources.zip is self-describing, and sitemesh-example.war provides a complex example showing some of SiteMesh's more advanced features. To keep things simple, we'll start with the <A href="https://sitemesh.dev.java.net/files/documents/887/2097/sitemesh-example.war">sitemesh-blank.war</A> file, building and modifying as we go along. Instead of just dropping the WAR file into our Tomcat webapps directory, we'll crack open the WAR open and drop it in uncompressed, as shown in Figure 5. Figure 5. SiteMesh Blank WAR Contents There are a number of files here, so let's take a moment to describe what they do. <H5 id=web_xml>web.xml</H5> First, the WEB-INF/web.xml file, shown in Listing 3, contains directives to install the SiteMesh filter and the taglib libraries. If you're adding SiteMesh to an existing web application, you'll need to add these directives to your WEB-INF/web.xml file. <PRE><CODE><?xml version="1.0" encoding="ISO-8859-1"?> <!DOCTYPE web-app PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN" "http://java.sun.com/dtd/web-app_2_3.dtd"> <web-app>  <filter> <filter-name>sitemesh</filter-name> <filter-class>com.opensymphony.module.sitemesh.filter.PageFilter</filter-class> </filter> <filter-mapping> <filter-name>sitemesh</filter-name> <url-pattern>*.jsp</url-pattern> </filter-mapping> <taglib> <taglib-uri>sitemesh-page</taglib-uri> <taglib-location>/WEB-INF/sitemesh-page.tld</taglib-location> </taglib> <taglib> <taglib-uri>sitemesh-decorator</taglib-uri> <taglib-location>/WEB-INF/sitemesh-decorator.tld</taglib-location> </taglib>  </web-app></CODE></PRE> Note: you'll notice that I've flagged the <CODE>url-pattern</CODE> line -- if you are using Tomcat 5 (instead of Tomcat 4) you'll need to change the pattern from the default <CODE>*</CODE> to something like <CODE>*.jsp</CODE>. The <CODE>*</CODE> pattern is not allowed under the latest servlet specification. <H5 id=decorators_xml>decorators.xml</H5> The WEB-INF/decorators.xml file is used to bind a decorator name to a specific JSP decorator file. So, for example, we might bind a decorator named <CODE>handheld</CODE> to the JSP page decorator <CODE>minimal.jsp</CODE>.<PRE><CODE><decorators defaultdir="/decorators"> <decorator name="main" page="main.jsp"> <pattern>*</pattern> </decorator> <decorator name="panel" page="panel.jsp"/> <decorator name="printable" page="printable.jsp"/> </decorators></CODE></PRE> As we can see in this code listing, we define three decorators, and then bind them to three similarly named JSP pages. We also see that the default decorator, <CODE>main.jsp</CODE>, will be applied for files by default. By default, SiteMesh will use the following logic to determine what decorator to apply: <TABLE cellSpacing=12 cellPadding=6 width=200 align=right border=0> <TBODY> <TR> <TD vAlign=top bgColor=#efefef> This logic is expressed in described in the sitemesh-2.0.1.jar file at \com\opensymphony\module\sitemesh\factor\sitemesh-default.xml. You can override this behavior with a wide variety of <A href="http://www.opensymphony.com/sitemesh/api/com/opensymphony/module/sitemesh/mapper/package-summary.html">built-in mappers </A>for things like language, client operating system, web browser/user agent, etc. by creating a WEB-INF\sitemesh.xml file. You'll find an example of this included in the sitemesh-example.war file.</TD></TR></TBODY></TABLE> <OL> <LI>Does the page specifically request a decorator using a meta decorator tag? <LI>Is the page a frame set (if so, don't apply a decorator)? <LI>Does the page have a <CODE>printable=true</CODE> parameter> (If so, use the printable decorator.) <LI>Does the page specifically request a decorator by the decorator file name? <LI>Does the page match a pattern in the decorators.xml file? </LI></OL> Conceptually, the first rule that evaluates to true determines the decorator that is used. In the example above, when the <CODE>printable=true</CODE> parameter is present, the <CODE>printable.jsp</CODE> decorator (rule #3) is used instead of the <CODE>main.jsp</CODE> (matched in rule #5). In SiteMesh, these rules are described as mappers. <H5 id=decorators_jsp>decorators/*.jsp</H5> The three files in the decorators directory are the various decorator JSP files, as described by decorators.xml. We saw an example of a simple decorator above, and we'll look at a more sophisticated example later in this article. <H5 id=sitemesh_jar>sitemesh-2.0.1.jar</H5> This is the main SiteMesh binary, typically installed in the WEB-INF/lib directory. You can find the Javadoc for this library at <A href="http://www.opensymphony.com/sitemesh/api/">www.opensymphony.com/sitemesh/api</A>. <H5 id=tld>*.tld</H5> SiteMesh uses two tag libraries, but most users will only need the decorator tags (sitemesh-decorator.tld). You can find documentation on these at <A href="http://www.opensymphony.com/sitemesh/tags.html">www.opensymphony.com/sitemesh/tags.html</A>. We've already touched on the main tags, used to retrieve the head, title, and body. We'll look at the remaining tag, <CODE>getProperty</CODE>, in the next section. <H2 id=Advanced_SiteMesh>Advanced SiteMesh</H2> One of the more powerful abilities of SiteMesh is to use the ordinary HTML <CODE>meta</CODE> tag (for example, <CODE><meta name="foo" content="bar"></CODE>) to pass information from the base page to the decorator. For example, let's say that we would like to define the author of an HTML page using a <CODE>meta</CODE> tag, as shown below. <PRE><CODE><html> <meta name="author" content="test@example.com"> <head> <title>Simple Document Hello World! <%= 1+1 %>

We can make a decorator "smart" enough to know to look for this meta tag, and if present, generate the appropriate HTML:

<%@ taglib uri="sitemesh-decorator" prefix="decorator" %>
 
 
 
 My Site -
    <decorator:title default="Welcome!" />
 
 
 

 
 
 
 ">
 
 

 
 
    (printable version)

You'll notice that we use a default attribute in the getProperty tag -- if no author is specified, we'll just assume that it was written by the staff. If you decide to use this model for storing page metadata, you'll want to work with your content developers and other team members to determine what tags you want to use and how you'll be using them. At the simple end, you may want to use meta tags to describe things like the author and page timestamp. At the complex end, you may do things like standardize on an XML file to manage your site navigation and use a meta tag to pass the page's node to the decorator.

The page that results from applying this decorator to the JSP page above is shown in Figure 6.

Figure 6. meta Tag Displayed

These page attributes are powerful, and you can retrieve many different properties, not just the meta tags (here's a list of generated page properties). After using SiteMesh for a while, you'll start thinking about HTML and JSP as a mechanism for generating simple markup -- closer to the original intent of HTML -- without having to make a full switch to an XML/XSL or other template engine.

Summary

As we've seen, SiteMesh provides for a powerful, easy-to-use, non-intrusive mechanism for applying page templates. It's easy to envision a wide range of possible uses. For example, you might define a decorator that emits extra debugging information about the page, as determined by the browser (this is especially powerful when combined with a web browser that lets you set an arbitrary user-agent). You might define a decorator with a stripped-down XML output, allowing for easier automated testing. You can even use the decorator to grab content from other pages, for example, to simple portal-like capability.

Once you've gotten comfortable with sitemesh-blank.war, I'd suggest looking at sitemesh-example.war for more features and ideas.

Regardless of how you use SiteMesh, I've found that it lets me centralize a tremendous amount of code, moving it out of my presentation layer and into my decorators, without having to learn a new programming language or templating system.

Oh, and as a final note for those of you still interested in building web pages in assembly, check out home.worldonline.dk/viksoe/asmil.htm.

Good luck and happy coding!

Will Iverson served as Developer Relations Manager for the VisualCafé group at Symantec, as the Java & Runtimes Product Manager at Apple Computer and has led Cascade Technology Group, a private consulting firm, since 1999.

jinfeng_wang 2005-04-12 21:27 发表评论