Servlet 3.0 新特性引发争论

阅读数:2172 2008 年 6 月 6 日

话题:Java社区语言 & 开发文化 & 方法

大多数 Java Web 框架都构建于 Servlet API 之上,并且除了依赖于 WEB-INF/lib 目录之外,还需要你在应用程序的 web.xml 中配置一个或者多个 Servlet、过滤器或监听器。JSR-315,即 Servlet 3.0 规范,计划将成为 JEE 6 的一部分。它在试图改变这种现状。规范目前还处于早期的草案阶段,可以在这里下载并审阅。

为了达到零配置和可插拔的目标,规范中建议了几种新特性,其中包括:

  1. Annotation(注释):Servlet 3.0 规范引入了大量新的 Annotation,比如 @Servlet,它为 Servlet 提供了 url-mapping 信息——@Servlet(url-mapping=”/foo”);@ServletFilter,它与 @FilterMapping 一起使用,可以定义 Web 应用程序中的过滤器。
  2. 支持 web.xml 片段(flag):其中包含 Servlet、过滤器和监听器的定义,可以与 web.xml 合并到一起,允许 Web 框架将所需的控件打包到一个 jar 中,这样使用起来可以更容易。

新规范使用一个 metadata-complete(完全使用 metadata 的)标记来控制 Annotation 与 web.xml 片段的查找。这些特性在专家组内部正在引发激烈的争论,有些人担心这会带来严重的安全风险,比如无意或者故意地部署了非预期的 Filter 和 Servlet。还有一些争论是围绕这些新特性是否足够灵活展开的。最后,专家组在等待来自社区的反馈。Greg Wilkins 在他的 Blog中详细描述了他所关心的问题,特别提到了 Web 片段的自动查找与合并,并列出了三种可能的方案之一:使用可选的 <include> 选项了引导配置的自动发现行为。

“如果没有 web.xml 或者 3.0 web.xml 中没有列出任何包含项,在当前提议的草案中,默认情况下会完整查找 WEB-INF 以发现被标注过(annotated)的 Servlet 和 Filter、TLD 监听器和 web.xml 片段。但是,如果 web.xml 包含了 <include> 元素,发现过程将被改变,如下例所示:

<include src="WEB-INF/lib/dwr.jar"/>

<include src="WEB-INF/lib/cometd.jar"/>

<include src="WEB-INF/classes"/>

这些 <include> 表明只需要在 dwr.jar 和 cometd.jar 扫描 Annotation、TLD 片段和 web.xml 片段,而在 WEB-INF/classes 中扫描注释过的 Servlet。容器不会再扫描其他的类或者 jar,除非在 web.xml 的某个地方将它们列在 include 元素中。”

Rajiv Mordani 对规范提出了质疑

“实际上,Greg Wilkins 提出的 include 方案的好处非常有限,尤其是人们主要的关注点有时是在 Servlet 和 Filter 是否在用户没有预期的情况下被暴露出去。我认为确保没有特定类型的组件被暴露应该是框架开发者的工作,而不是框架使用者的事情。通过使用一个标签来控制查找,你可以有效地获得 include 机制的功能,唯一的例外是,你无法只针对某个特定的 Jar 包集合进行查找。不过,利用 include 机制列出你希望查找的 jar,可能只会令描述符变得更复杂。”

在今年的 JavaOne 大会上,专家组讨论了另外两种可能的方案。其一是除了 metadata-complete 标记外,再引入第二个标记,用来激活 / 禁用 web 片段和启用 / 关闭 Web 片断的查找,以及其他 Annotation 的功能。但是,正如 Rajiv Mordani 指出的,Annotation 机制已经可以通过 web.xml 文件被覆写,提供一个更合理的控制的级别:

“如果使用 Annotation 声明 Servlet 和 Filter,相应的 Servlet/Filter 就必须有一个 url-mapping/FilterMapping 属性。按照这种方式,如果没有显式的映射,要暴露哪个 Servlet,是没有任何约定的。同时,如果考虑到 Java EE 平台的其他部分,尤其是 EJB 和 Web Service 这类技术,那么部署描述符过去经常会覆盖 Annotation 中设置的信息... 如果你不想让容器处理任何 Annotation,而是想通过部署描述符确定所有的配置信息,那么就像 Java EE 5 平台的其他部分一样,我们的描述符中有一个 metadata-complete 元素。如果这个元素存在并且设置为‘true’,容器将不会处理任何 Annotation 的信息,仅仅使用描述符中指定的配置信息。处于性能和安全性的考量,这种方法可以关闭自动查找行为。”

另一个选择是提供一种机制在应用程序的 web.xml 中禁用 Servlet 和 Filter,这样任何在生产环境中不需要的 Servlet,都可以应用程序的主 web.xml 来禁用,例如:

  <servlet> 

<servlet-name>FrameworkServlet</servlet-name>

<enabled>false</enabled>

</servlet>

可以把你的反馈发送到专家组jsr-315-comments@jcp.org

查看英文原文Servlet 3.0 Features Spark Debate