随笔分类(82)

     摘要:   阅读全文

Linux 的安全防护，用 fail2ban 自动封IP

　　总以为 Linux 比较安全，被攻击的概率较低，不过我用了非常简单的 root 账户密码 (password)，家里的机子两次刚挂上网没半天就被人给改了密码，很是郁闷，不过两次的原因都很简单，挂上网后就开始遭遇不断的试密码，因为密码过于简单，很快就被攻破了，想想看，这也不是个事，密码就算比较复杂，天天也还是会被人试密码，心里总是不爽，找找看有没有什么输错几次密码就自动禁止 IP 的工具。这不，还真找到了个叫 fail2ban 的小工具，通过分析日志来自动 ban 入侵者的 IP，话不多说，装上去用用。

　　下载地址在：http://fail2ban.sourceforge.net/rpms/

　　找到最新版本的  rpm 包来安装，装好后，稍微根据自己的情况改一下配置就可以使用了。

vi /etc/fail2ban.conf

#以 daemon 方式启动 fail2ban
background = true

#允许尝试次数
maxfailures = 3

#触发 maxfailures 之後的封锁时间(秒); 设为 -1 表示永远封锁
bantime = 3600

#以 findtime (秒) 时间内的错误记录作为 maxfailures 的计数基准
findtime = 600

#排除 IP 范围, 以空白隔开
ignoreip = 127.0.0.1 192.168.0.0/24

#不启用 mail 通知
[MAIL]

enabled = false

#修改自 VSFTPD, 未提及的部份保持原设定
[PROFTPD]

enabled = true
logfile = /var/log/proftpd/proftpd.log
failregex = no such user|Incorrect password

#未提及的部份保持原设定
[SSH]

enabled = true
logfile = /var/log/secure

service fail2ban start

这个服务启动以后，每天都能在 /var/log/fail2ban.log 中看到有攻击的肉鸡被 ban 了。

2008-08-01 09:13:33,532 WARNING: SSH: Ban (3600 s) 205.189.197.66
2008-08-01 12:24:41,943 WARNING: SSH: Ban (3600 s) 121.52.209.5

　　周末的时候，淘宝对后台又做出了一次较大的升级，主要是在用户体验方面的调整，其实淘宝今年以来，基本上每个月都会有这方面的调整，也说明了淘宝用户体验部门的成果了。
　　第一次让我觉得有用的改动就是对收藏的调整，不用出现登录页面了，用一个弹出层解决了这些问题。前不久对评价的改动，让用户做出好评不需要点这么多按钮了。
　　这次改动我感觉是对我买到或者卖出的东西等一系列功能做出调整，比如说可以直接在列表里面关闭项目了，也是一个弹出层解决的问题。同时，也让页面更加简洁清爽，当然同时也会伴随用户的不适应。
　　其实我们更喜欢简单易用的系统，每次操作要输入很多或点很多都是很折磨人的，毕竟上网应该是简单，轻松的。Web 发展到现在，单纯的页面跳转与刷新越来越不流行了，Ajax 的真正价值开始被越来越多的网站开发团队理解与运用。

今天在看荣登 Jolt 大奖的 The Art of Project Management，其中最让我深有感触的是这样一段话：
The simpler your view of what you do, the more power and focus you will have in doing it. If we can periodically maintain a simple view of our work, we can find useful comparisons to other ways to make things that exist all around us. There will be more examples and lessons from history and modern industries that can be pulled from, compared with, and contrasted against. This is similar to the concept defined by the Japanese word shoshin, which means beginner's mind, or open mind, an essential part of many martial arts disciplines. Staying curious and open is what makes growth possible, and it requires practice to maintain that mindset. To keep learning, we have to avoid the temptation to slide into narrow, safe views of what we do.

确实，最近已经很久没有太多兴趣去学习新的东西了，包括曾经非常有兴趣的 ruby，真想回到当年刚毕业的时候，用那样的热情，精神去学习。或许今天算是一个起点吧，毕竟很久很久没有做下来，好好的看一本书，好好的想着作者要告诉你的东西。

给自己开了个书单，好好努力，用 beginner's mind 去感受世界，感受前人的智慧。 什么是 ESB(Enterprise Service Bus)?
对于这个问题，长期没有搞清楚，就连我自己也很难说清楚这到底这是个什么样的概念，我引经据典来大致的描述一下这个概念。

第一个定义来自于：O'Reilly 的 《Enterprise Service Bus》

The ESB concept is a new approach to integration that can provide the underpinnings for a loosely coupled, highly distributed integration network that can scale beyond the limits of a hub-and-spoke EAI broker. An ESB is a standards-based integration platform that combines messaging, web services, data transformation, and intelligent routing to reliably connect and coordinate the interaction of significant numbers of diverse applications across extended enterprises with transactional integrity.

An extended enterprise represents an organization and its business partners, which are separated by both business boundaries and physical boundaries. In an extended enterprise, even the applications that are under the control of a single corporation may be separated by geographic dispersion, corporate firewalls, and interdepartmental security policies.

另外一个定义来自于：维基百科的ESB定义
它是面向服务架构的实现。
它通常是操作系统和编程语言无关的；
它应能在Java和.Net应用程序之间工作。
它使用XML（可扩展标识语言）作为标准通信语言。
它支持Web服务标准。
它支持消息传递（同步、异步、点对点、发布-订阅）。
它包含基于标准的适配器（如J2C/JCA），用于集成传统系统。
它包含对服务编制（orchestration）和编排（choreography）的支持。
它包含智能、基于内容的路由服务（itenerary路由）。
它包含标准安全模型，用于ESB的认证、授权和审计。
它包含转换服务（通常是使用XSLT），在发送应用和接收应用之间转换格式，简化数据格式和值的转换。
它包含基于模式（schema）的验证，用于发送和接收消息。
它可以统一应用业务规则，充实其它来源的消息，分拆和组合多个消息，以及处理异常。
它可以条件路由，或基于非集中策略的消息转换，即不需要集中规则引擎。
它可监视不同SLA（服务级别合约）的消息响应门限，以及在SLA中定义的其它特性。
它（常常）简化“服务类别”，向更高或更低优先级用户做出适当的响应。
它支持队列，在应用临时不可用时用来保存消息。
它由（地理）分布式环境中的选择性部署应用适配器组成。

总的来说，ESB 提供了跨平台，跨部门，跨应用系统的服务整合的基础平台，就我们目前对项目的理解，我们或许还没有达到这个 level，我们提供的应该是个办公应用平台，除非我们确实会进行跨部门，跨业务的服务整合，那样我们真的是在做 SOA 了，那就有的折腾了。

不多说了，进入下一个主题 OSGi。

     摘要:   阅读全文

绑定在淘宝上的 SaaS 的阿里软件网店版，应该还是会有一些高级卖家愿意每天花一块钱用的，里面确实提供了一些比较有用的功能，当然不足的地方也是非常的多。

先说好的吧：首先，E客服就是比较有意思的东西，解决了很多客服平台的问题，过去我们为两个项目做的在线客服，跟它比起来，还是有差距的。平常店里可以同时有几个人一起打理，而且不会出现一个旺旺多个人使用的情况，它用的是子帐号的概念，各人独立一块，互不干涉。还是很不错的东西。

打印快递单应该也是个比较有意思的功能，如果货物量大的话，这个功能绝对是不可少的，大大减小了人力成本。不过估计我现在还是用不上的。

商品定时上架是个很好的功能，就是针对淘宝设计的功能，如果熟悉淘宝搜索结果规则的人，会很好的去利用这个规则，让自己的货物在最佳浏览时间出现在搜索靠前的位置。而定时上架就很好的解决了这个问题，如果有效利用的话，绝对会让你的商品卖的更好的。

在说一些不好的吧：首页有个统计最热卖的东西，但是没有找到热卖产品的排名，这个东西应该是挺有用的吧，不过似乎没有提供。查看报表里面，经常会刷不出图片，估计是 IE 的 Cache 原因，不再重新加载图片了。进销存这个东西没有和销售报告结合起来，应该算是一个缺憾了，希望下一个版本能有更多的东西。不过，不知道下个版本要到哪年，上个版本似乎已经发布半年了。

From:谈谈阿里软件网店版

卡巴斯基这个俄国人做的杀毒软件呢，一直比较彪悍，经常见到什么东西都一阵嘶吼，然后你正常使用的软件也就挂了，QQ啊，这样的主流应用也是经常在它的误杀范围内。

 对于开发人员来说，因为卡巴斯基更是会有诸多不爽的问题，下面列举一二，是我的惨痛教训，也和大家分享一下。

1. SVN 问题：如果你使用 SVN 做配置管理的话，有时候 check in 代码会半天没有反应，如果这时候你把卡巴禁用，就一切正常了。
2. IntelliJ IDEA 端口冲突问题：用 IDEA 启动 Tomcat 时，使用了 8080 或者 80 端口，经常会启动就报端口冲突，而端口绝对是没有被其他应用程序占用的，而在独立的 Tomcat 下运行没有出现这样的问题，把卡巴对这些端口的监控关闭就一切正常。

这两个问题都是比较郁闷的，卡巴斯基很强悍，却总是让人很无奈。

From:对开发人员不友好的卡巴斯基

Jolt Awards 是软件界的盛宴，被誉为软件界的奥斯卡，每年的 Jolt 中，能够看出软件开发领域的发展和未来的趋势，让我们来关注一下今年的大奖得主吧。 

上周 Summer 推荐 Beautiful Code 的时候，也顺便找到了今年的 Jolt Awards Finalists，接着榜单，闲聊一下。

General Books
	Beautiful Code Edited by Andy Oram and Greg Wilson	O’Reilly
	Geekonomics: The Real Cost of Insecure Software by David Rice	Addison-Wesley Professional
	Manage It!: Your Guide to Modern Pragmatic Project Management by Johanna Rothman	Pragmatic Bookshelf
	Myths of Innovation by Scott Berkun	O’Reilly
	Outside In Software Development by Carl Kessler and John Sweitzer	IBM Press
	Release It!: Design and Deploy Production-Ready Software by Michael T. Nygard	Pragmatic Bookshelf
Technical Books
	Continuous Integration: Improving Software Quality and Reducing Risk By Paul Duvall, Steve Matyas, Andrew Glover	Addison-Wesley Professional
	Fuzzing: Brute Force Vulnerability Discovery By Michael Sutton, Adam Greene, Pedram Amini	Addison-Wesley Professional
	Head First SQL Your Brain on SQL—A Learner’s Guide by Lynn Beighley	O’Reilly
	The Rails Way by Obie Fernandez	Addison-Wesley Professional
	WPF Unleashed by Adam Nathan	Sams Publishing
	xUnit Test Patterns: Refactoring Test Code by Gerard Meszaros	Addison-Wesley Professional

图书方面，看上去几乎是被 O’Reilly 和 Addison-Wesley 给垄断了，Pragmatic Bookshelf  也在其中占有了一席之地。图书中，最大的赢家应该是，Beautiful Code，我在国内某家被我批评过的IT书店上看到了挂上了期数的预告，名字叫《代码之美》，似乎有抄袭《数学之美》的嫌疑，第一次看到这么多作者一起写出来这么好的书，33 章的书，就包括了 33 个来自于不同领域的作者，共同创造了如此完美的代码，在 O’Reilly 的牵线搭桥下，造就了 Beautiful Code，如果有机会，我希望能由东南大学出版社出版这本书的英文影印版，让我们细细的品味。

Head First 的新书 Head First SQL Your Brain on SQL 也登上了 Jolt 的舞台，之前 Head First Design Pattern 和 Head First OOAD 是如此通俗的把面向对象的两个经典内容：设计模式和面向对象的分析与设计，聊家常一般的摆在我们的面前，精妙的内容组织，浅显易懂的语言，就连我们这些非常怕看英语的人看起来都毫不费力，不愧为大师级的功力。而这本新书料想也会给 SQL 的新手带来一种全新的体验吧。

Pragmatic Bookshelf 这个书系自从《Pragmatic  Programmer》 开始，就不断的扩大其影响。从程序员修炼三部曲中，告诉了我们版本控制，单元测试，持续集成这三个开发者的基本工具。随后的 Pragmatic  Ajax 把 Ajax 推到了大家的面前。当 Ruby on Rails 开始流行的时候，Programming Ruby 和 Agile Web Development with Rails 都在一版二版的洗礼中不断的升华，已经成为 RoR 开发的经典之作。这次的 XX It 系列又从软件项目管理角度来 Pragmatic 。我似乎看到过 Ship It 还有 Deploy It 这两本，或许也是这个系列里的吧。

The Rails Way 我一开始当成了 The Ruby Way，其实后者的风格我比较喜欢了，于是又套用了它的名号来了个 The Rails Way，虽然现在还没有拿到，我想这本书会给我们一些新意的。

Development Environments
	Alpha Five version 8	Alpha Software Inc.
	CodeRush/Refactor! Pro	Developer Express Inc.
	IntelliJ IDEA	JetBrains
	Komodo IDE 4	ActiveState
	NetBeans IDE 6	Sun Microsystems
	QNX Momentics IDE 4	QNX Software Systems

Web Development Tools
	3rdRail	CodeGear
	Adobe ColdFusion 8	Adobe Systems, Inc.
	Appcelerator Platform	Appcelerator, Inc.
	IntelliJ IDEA	JetBrains
	NetBeans IDE	Sun Microsystems
	RSSBus	/n software

开发工具大奖上已经看不到了 Eclipse 的身影，而 IDEA 依然在榜单上活跃，而我也是一如既往的使用它，即便是在 Rails IDE 中，IDEA 凭借其 Rails 插件，加上它的基础，用起来还是相当的顺手，目前除了不能 Debug，我似乎没有其他不满的地方。

Netbeans IDE 在年末闪亮登场后，带来了一个更轻更小，更完整的开发工具包，而 Eclipse WTP 一个包动辄就是 2xxM，虽然功能很齐全，不过体积实在是有些过分了，并且没有一种 IDEA 的那种让人很爽的感觉。我没有用完整的 Netbeans 包，因为 Java Web 开发已经习惯了 IDEA + Eclipse 的组合，我只关注了一下 Ruby IDE，功能上来说，确实有其独到之处，不过在写代码上还不能达到非常流畅的速度。不过 Netbeans 在两年里就来了个咸鱼翻身，我们要说 Sun 很努力了。

Libraries/Frameworks
	Eclipse Modeling Project	Eclipse
	Guice	Google Inc
	JasperReports	JasperSoft
	Qt Jambi	Trolltech
	Spring Framework	SpringSource
	Zend Framework	Zend Technologies

在开发框架上最活跃的依然是 Java 平台，这和 Java 平台一直以来保持的很好的开源社区是分不开的。EMF，Guice，JasperReports，Spring Framework 这几个一直都是 Java 领域最热门的开源项目。

Google Guice 在 Google 的天才程序员 Bob Lee 的创意中诞生了，采用了一种全新的依赖注入的方式，将效率提高了传说中的 100 倍，虽然对这个数据我不是太在意，而在 Spring 如此成熟的进入 2.0 后，却有一个后辈小生提出了全新的思路，而 Spring 2.5 也接受了这样的思路，调整了一些依赖注入的策略，在性能上有了不小的提高。

经营着 Spring 的 interface21 为了凸显其 Spring 的品牌，改名为 SpringSource，并且推出了一本《Spring In Production White Paper》，希望能够在企业应用中占有更大的份额。

作为 PHP 的领头羊的 Zend 在 Rails 推出后再也按耐不住了，PHP 一定要有一套官方的 Framework，而且它的特性要很像 Rails，于是 Zend Framework 诞生了，这在几乎没有框架概念的 PHP 中注入了一种新的活力，Rails 不光激起了 Java 世界的广泛关注，在无数个类 Rails 框架后面，Zend 从 PHP 官方的角度接受了 Rails 的思想，改善 PHP 的开发。而 Java 世界里，Grails 也伴随这 Groovy 1.5 的推出，伴随着 Grails 的第三个 RC 版，即将走到 1.0 版本。Rails 带给了 Web 开发无穷的活力。

聊聊 Jolt Awards 2008

　　第一次用 Zoundry 客户端工具来发布博客，WordPress 还是不错的博客了，提供了 XML-RPC 方式的远程提交接口，我们可以比较容易的把我们的博客发布到 WordPress 上。

　　老外对这方面的支持工作还是做的不错的，国内的同类系统往往只考虑到功能，好一点的考虑到性能，而在这些新技术带来的扩展性的增强上似乎没有太多的理解，虽然 WordPress 在功能上和国内的很多博客有一定的差距，但是人家支持插件，这样就可以让地球人都上来扩展一把。Eclipse 的插件风风火火的做了几年，现在人似乎没有不用插件开发的了。

　　老外在 Web 2.0 中又很多好的思想，技术，拿到国内来就有点变味了，虽说国人在 Web 2.0 技术上跟进的速度还是相当的快，不过思想还是又相当的差距的。

　　要好好学学人家做东西的思想，而不仅仅是技术。

该文章被发布在我的新博客中：http://4think.cn/blog/index.php/archives/25

　　市面上这么多的IM工具，每次打开的时候就要开上一堆，还不时的有个新的IM工具出来，加上一两个及其有吸引力的功能，然后又不得不装上，搞的每次开机以后总是要开上一大堆的IM，比如QQ啦，MSN啦，还有Yahoo，Google Talk，飞信，Skype，真的挺麻烦的。

　　一年前的时候，突然听说 Yahoo 可以和 MSN 互通了，于是从此就没用过 MSN 了，也是对 Microsoft 歧视国内用户的一种不满吧，这么多IM工具，最不稳定的也最为常用的要属 MSN 了，虽然飞信这样“国”字号的软件似乎更加的不争气，就原谅他吧，谁叫他是咱最有钱的移动运营商呢。可以说，MSN 的掉线率是相当的高，登录速度也是惊人的，在公司内部传文字的效率呢更加不用说了，反正没有人走的快。不过据我们去过美国的一些同事说，MSN 在美国速度是非常快的，包括其下属的 hotmail，MSN Space，怪不得这么被推崇了，不过没办法，毕竟是在国内，属于不被重视的使用群体，大不了就不用了，于是机子里再也没有出现过 MSN，所有重要的好友都加到 Yahoo 里了。

　　其实说来 Yahoo 也是个比较不争气的东西，功能嘛，没啥强的，不过吃内存的能力还挺强，印象中也就 Skype 可以和他有的一拼，不过好歹人家 Yahoo 还是比较重视中文用户的，起码光缆断的时候还是能用的，而且相关的本地化服务也还是有一定的可用性的，Yahoo的邮件提示是最为迅速的，基本上是新邮件来到5秒之内就得让你知道，这个功能还是挺体贴用户的，其实我的一些 IM 的一个重要作用就是 check email，比如说 Google Talk。Yahoo 的客户端程序其实是比较不稳定的，群聊功能是个杀手，一次领导通知事情，让大家开个会，结果一位老兄图方便，Yahoo 把大家全部加进来了，大家的机器全部死翘翘，只好 reset 重启，自此以后，这个功能再也不敢使用了，Yahoo 工具箱里有个看股市行情的插件，不过这个曲线也太不本地化了，中午休息的时间也画在上面，一条长长的直线，怎看都别扭。没办法啊，公司里唯一允许的 IM 工具，不得不装，也就不得不去忍受这些了。

　　Google Talk 其实是我用的最多的，极为简洁，拥有我需要的主要功能，email 通知，语音，文本聊天，传文件（大家都喜欢装中文版的，没这个功能，所以也基本找不到人传文件），其实还有一点重要的就是所有聊天记录都会保存在 Gmail 里，在哪都不会丢失，也很连贯，这对于我们经常讨论需求的人就不会有上句没下句的了。也不用担心聊天记录留在本地泄密。另外还有一点，传代码的时候绝对不会变成一堆笑脸什么的。Google Talk 其实功能上是相当有限的，但是我却非常喜欢，简洁就是美了。

　　下面隆重出场的是唯利是图、忘恩负义外加极端不安全的 QQ 了，如果不是这么多好友在里面，我是不会开 QQ 的，当然 QQ 作为国内用的最多的 IM 工具（其实叫他聊天工具更确切），QQ 还是有相当多的优势的，首先网络稳定性好，传文件速度快，有远程协助功能，语音质量也不错，可以看 IP（还不都是珊瑚虫的功劳，被忘恩负义的腾讯扼杀了），有群聊功能，也是最适合某些夜晚不甘寂寞的人寻找刺激的工具了，其他的功能我是不大能想到的了，更不用说去用了，所以嘛，QQ 对我来说，太大了，太花哨了，对公司来说也是的，基本上正规的公司，没有哪个不封 QQ 的，所以嘛，QQ 只能被远远的拒之于企业应用的门外，腾讯的 RTX 也就不是那么容易进入企业市场的，谁让你这么花哨，看了就不想好好工作了。

　　Skype 这个东西嘛，对我用处不大，自从充值卡被封事件以后就不再常开了，开会的时候才会去用，毕竟多人语音聊天功能还是挺不错的。

　　国外的大部分 IM 工具都开放互通了，包括 MSN 和 Yahoo，Google Talk 也在和 MS 谈互通的问题，国内的 IM 互通嘛，似乎完全不可能，国外那几家都不是靠 IM 吃饭的，腾讯就不一样了，如果不保持其 QQ 的占有率，疯狂的扼杀非“官方”的客户端，LumaQQ 这么优秀的跨平台解决方案也就被腾讯自己和谐掉了，最近对珊瑚虫下狠手也表示其在此方面的决心，呵呵，我的 QQ 从此不升级了。

每个人在开发的时候，都会根据自己的喜好选择一些好用的工具，当然，通过一些年头的积累，我自己也有了这么一些顺手的工具，就把这些还不错的东西拿出来和大家分享吧。

CyberArticle (网文快捕)

　　我们在查看资料，或者遇到问题上网搜索的时候，经常会想把自己看到的一些好东西保存下来，以后需要用的时候可以找到，有人把东西复制下来保存成文本，有人用 Word 文档，也有人直接保存页面，这些方法固然是可以，不过以后找起来可就比较麻烦了。我们需要一个带分类的文档管理工具。

　　在对一堆工具的筛选之后，我选中了 CyberArticle，也就是网文快捕，安装以后，在浏览页面时，IE 和 FF 的右键会出现保存全文，保存选中部分这样的选项，我最喜欢的是保存选中部分这个功能，毕竟我们并不需要一个网页中一些不相关的文字和图片。CyberArticle 可以完整的把文章内容或选中部分的内容保存下来，无论是图片或者其他什么的，都能较好的支持。在保存下自己喜欢的内容后，我们可以手工把这些内容分类，以后会比较容易的找到自己需要的东西。

　　另外 CyberArticle 中比较有用的功能是生成电子书。我们在网上搜集到一堆某一类别的文章，为了与他人分享或者便于携带，我们可以把这一个独立的类别的内容导出成 CHM 或 EXE 版本的电子书。

　　CyberArticle 可以到 http://www.wizissoft.com/cn/index.aspx 下载，强烈建议使用最新的 5.0 版（只要25块钱），旧的版本会有相当一部分的文章保存不下来。

    昨天看到新闻，IBM 在其网站上放出了 Lotus Symphony 的 beta 版，看上去有点 Office2007 的一套办公产品，最重要的是它是基于 Eclipse-RCP 平台的，如果说 IBM 让 Lotus 去做一个标准的 Windows 应用像 Office2007 到没有什么奇怪的，关键在于它是 Eclipse 平台的，IBM 在一个强大的 Eclipse 平台上，构建出了一个向 Microsoft 最核心产品叫板的应用，这大大的壮大了 Java 爱好者的威风。

    过去我们 Swing / SWT 做的东西似乎很难有直接面向普通用户的优秀的应用，这次 IBM 是代 Java 出了重重的一拳，Eclipse 平台不但是与 Microsoft 的 Visual Studio 叫板，甚至可以和 Office 叫板了。

    从另一方面来说，从 Lotus Symphony 的推出，IBM 进一步亮相了 Eclipse RCP 的高级 UI 组件，传统的 Eclipse 开发出的东西，千篇一律，没有太大的界面差别，但是 Lotus Symphony 上却不太容易让人联想到 Eclipse，除了看到启动画面上 build on eclipse 的只有，还有一些熟悉的菜单项，和 PlugIn 相关的内容才会发现，哇，这个酷酷的应用原来是 Eclipse 平台上的产品。

    当然 Lotus Symphony 并没有说是开源的，这些新的，酷酷的 UI 组件也并没有向开源社区开放，按照 IBM 最近几年的惯例，迟早是要捐出来的，但前提是先做几套东西，卖点钱再说，Eclipse WTP 的很多东西来源于 WSAD，很多 Eclipse 的插件也是来源于 Rational 的产品，只是 IBM 觉得没有什么商业价值了，才捐出来。

    其实我是非常希望 IBM 能尽快和大家分享 Lotus Symphony 的成功经验，也希望更多的 Eclipse 爱好者能够开发出更多强大的应用，特别是桌面级应用，让更多的人看到，Java 在成长，在进取。

---------------------------------------------------
顺便做个小广告 链客中国 www.linkedcast.cn 上线运行，欢迎广大 Blogger 使用

Java Web 应用似乎总有这样的情况，有事没事总是要在 URL 后面加上个 jsessionid，而且似乎不能使用配置的方式直接禁用 URL 传递 sessionid，这样，就比较容易造成安全性的问题，或者在浏览器地址栏里留下一堆很不好看的地址，在 Struts2 中，使用了 url 标签的所有链接，甚至 CSS, JS 这样的东西，都会加上 jsessionid，如何去禁用呢，搜索国内的相关文章，无功而返，询问我们过去的架构师，也没有做过，只好想办法去找国外的网站，找到了这样的一篇文章。

http://randomcoder.com/articles/jsessionid-considered-harmful

通过加入 Filter 的方式过滤掉 URL 中包含的 jsessionid，再重新包装 Response 返回给浏览器。

因为没有太多东西，就不多解释了，大家拿了用就可以了。

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpServletResponseWrapper;
import javax.servlet.http.HttpSession;
import java.io.IOException;

/**
 * Servlet filter which disables URL-encoded session identifiers.
 * <p/>
 * <pre>
 * Copyright (c) 2006, Craig Condit. All rights reserved.
 * <p/>
 * Redistribution and use in source and binary forms, with or without
 * modification, are permitted provided that the following conditions are met:
 * <p/>
 *   * Redistributions of source code must retain the above copyright notice,
 *     this list of conditions and the following disclaimer.
 *   * Redistributions in binary form must reproduce the above copyright notice,
 *     this list of conditions and the following disclaimer in the documentation
 *     and/or other materials provided with the distribution.
 * <p/>
 * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS"
 * AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
 * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
 * ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT OWNER OR CONTRIBUTORS BE
 * LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR
 * CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF
 * SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS
 * INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN
 * CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)
 * ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE
 * POSSIBILITY OF SUCH DAMAGE.
 * </pre>
 */
@SuppressWarnings("deprecation")
public class DisableUrlSessionFilter implements Filter {

    /**
     * Filters requests to disable URL-based session identifiers.
     */
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        // skip non-http requests
        if (!(request instanceof HttpServletRequest)) {
            chain.doFilter(request, response);
            return;
        }

        HttpServletRequest httpRequest = (HttpServletRequest) request;
        HttpServletResponse httpResponse = (HttpServletResponse) response;

        // clear session if session id in URL
        if (httpRequest.isRequestedSessionIdFromURL()) {
            HttpSession session = httpRequest.getSession();
            if (session != null) session.invalidate();
        }

        // wrap response to remove URL encoding
        HttpServletResponseWrapper wrappedResponse = new HttpServletResponseWrapper(httpResponse) {
            @Override
            public String encodeRedirectUrl(String url) {
                return url;
            }

            @Override
            public String encodeRedirectURL(String url) {
                return url;
            }

            @Override
            public String encodeUrl(String url) {
                return url;
            }

            @Override
            public String encodeURL(String url) {
                return url;
            }
        };

        // process next request in chain
        chain.doFilter(request, wrappedResponse);
    }

    /**
     * Unused.
     */
    public void init(FilterConfig config) throws ServletException {
    }

    /**
     * Unused.
     */
    public void destroy() {
    }

-------------------------------------------------------------------------------------------------
顺便做个小广告 链客中国 www.linkedcast.cn 上线运行，欢迎广大 Blogger 使用

在过去使用 Spring 整合 Hibernate 的时候，都是用这样的配置方式。


每当需要加入一个新的 VO 时，我需要过来修改配置文件，来引入对新的 VO 的支持。

现在我使用的时候，是这么配的：

做项目开发的时候，就再也没有改过配置。