MVC 1.0

MVC 1.0 action-based und standardisiert in JEE 8 Bennet Schulz,
@bennetelli IT Consultant bennet.schulz@codecentric.de Gerrit Meier, @meistermeier Senior Consultant  gerrit.meier@t-systems.com

Agenda I. Motivation II. Komponenten- vs. Actionframeworks III. MVC Features
IV. Demo V. Ausblick

Ist MVC notwendig? • weite Verbreitung actionbasierter Frameworks • JEE
bietet mit JSF bisher nur ein komponentenbasiertes Framework an • … ein actionbasierter Standard fehlt Bildquelle: http://zeroturnaround.com/rebellabs/the-curious-coders-java-web-frameworks-comparison-spring-mvc-grails-vaadin-gwt-wicket-play-struts-and-jsf/

Komponenten- vs. Actionframeworks Komponentenframeworks • wenig HTML / JS /
CSS Kenntnisse notwendig • Vorgefertigte Frontend- Komponenten • Lifecycle und Statechanges

Komponenten- vs. Actionframeworks Actionframeworks • HTML / JS / CSS
Kenntnisse notwendig • Komponenten „per Hand“ erstellen • Request / Response basierend (weitestgehend zustandsfrei)

JSR 371 MVC1.0 CDI Bean Validation JSP JAX-RS

Model • halten eines Zustandes für die View • Beispiele
• Daten des eingeloggten Nutzers • Artikel die ich kaufen möchte

• Zwei Möglichkeiten in MVC 1.0: • javax.mvc.Models • CDI
Models Model

javax.mvc.Models • Map<String, Object> • Verwendung: • Wenn View Engine
keine CDI Unterstützung hat • z.B. Thymeleaf

• Wenn kein eigenes Model notwendig • Wenn Model sich
aus mehreren Objekten zusammensetzt javax.mvc.Models

CDI Models • CDI Beans als Model • @Named •
@RequestScoped • @Inject in Controller • EL Support in JSPs

View • Präsentation und Interaktion • JSP build-in • ViewEngines:
Velocity, Thymeleaf, Mustache, Handlebars, Asciidoc, …

Controller • Reagiert auf den Request • Aktualisiert das Model
• Triggert als Response die View Generierung

• @Controller • Entweder an einer Klasse • alle Methoden
MVC-Controller Methoden • Oder an (mehreren) Methoden • hybride Klasse aus MVC-Controller Methoden und klassischen JAX-RS Ressourcen möglich Controller

Exception Handling • Allgemeines Exception Handling • Binding Exceptions •
Validation Exceptions

• basiert auf JAX-RS • Zum Konvertieren von Exceptions in
Responses • implements ExceptionMapper<***Exception> • Überschreiben von toResponse() zum Behandeln der Violations • Grobe/globale Art des Exception Handlings Exception Handling

Validation Exceptions • Lokale Validierung im Controller • javax.mvc.binding.BindingResult •
Request Scope • isFailed() gibt Auskunft über Validierungsfehler

Binding Exceptions • javax.mvc.binding.BindingResult • Fehler während Request Parameter ->
Java type mapping

• Cross-Site Scripting (XSS) • Cross-Site Request Forgery (CSRF) •
Deckt A3 und A8 der OWASP Top10 2013 ab Security

XSS • Escaping/Encoding um XSS Attacken zu verhindern • javax.mvc.MvcContext
injizieren • bietet Zugriff auf Encoders für HTML und JS

CSRF • Unterstützung für CSRF Token in Form ﬁelds und
HTTP header. • über application-level property kann CSRF aktiviert werden • javax.mvc.security.CsrfProtection • mit javax.mvc.security.Csrf.CsrfOptions können Werte gesetzt werden: • OFF, IMPLICIT, EXPLICIT • Bei EXPLICIT muss explizit mit @CsrfValid annotiert werden

Ausblick 1.0.0-m02 1.0.0-m01 1.0.0-m03 29.09.15 31.03.2016 Q1-Q2/2017 Java EE 8

Danke! Fragen?

Backup

Meilenstein II

Redirects • Neue CDI Scope in JEE 8 • @RedirectScope
• Lebensdauer maximal zwei Requests • RequestScope < RedirectScope < SessionScope • Controller kann weiterleiten an • eine speziﬁsche URL • eine weitere Controller Methode • URL path preﬁx „redirect:“ um client redirect zu triggern

Events • basiert auf CDI Events • Observers zum Logging,
Performance Monitoring, … • Controller: Before- & AfterControllerEvent • View: Before- & AfterProcessEvent

Meilenstein III • Bisher nur wenig bekannt • Support für
Logging (vermutlich über Events) • Forwarding von Requests zwischen Controllern ohne Client Interaktionen (wie z.B. bei redirects) • Verzicht auf @Named Annotation für View Engines

Danke! Fragen?

MVC 1.0

MVC 1.0

Gerrit Meier

More Decks by Gerrit Meier

Other Decks in Programming

Featured

Transcript

MVC 1.0 action-based und standardisiert in JEE 8 Bennet Schulz,

Agenda I. Motivation II. Komponenten- vs. Actionframeworks III. MVC Features

Ist MVC notwendig? • weite Verbreitung actionbasierter Frameworks • JEE

Komponenten- vs. Actionframeworks Komponentenframeworks • wenig HTML / JS /

Komponenten- vs. Actionframeworks Actionframeworks • HTML / JS / CSS

JSR 371 MVC1.0 CDI Bean Validation JSP JAX-RS

Model • halten eines Zustandes für die View • Beispiele

• Zwei Möglichkeiten in MVC 1.0: • javax.mvc.Models • CDI

javax.mvc.Models • Map<String, Object> • Verwendung: • Wenn View Engine

• Wenn kein eigenes Model notwendig • Wenn Model sich

CDI Models • CDI Beans als Model • @Named •

View • Präsentation und Interaktion • JSP build-in • ViewEngines:

Controller • Reagiert auf den Request • Aktualisiert das Model

• @Controller • Entweder an einer Klasse • alle Methoden

Exception Handling • Allgemeines Exception Handling • Binding Exceptions •

• basiert auf JAX-RS • Zum Konvertieren von Exceptions in

Validation Exceptions • Lokale Validierung im Controller • javax.mvc.binding.BindingResult •

Binding Exceptions • javax.mvc.binding.BindingResult • Fehler während Request Parameter ->

• Cross-Site Scripting (XSS) • Cross-Site Request Forgery (CSRF) •

XSS • Escaping/Encoding um XSS Attacken zu verhindern • javax.mvc.MvcContext

CSRF • Unterstützung für CSRF Token in Form ﬁelds und

DEMO

Ausblick 1.0.0-m02 1.0.0-m01 1.0.0-m03 29.09.15 31.03.2016 Q1-Q2/2017 Java EE 8

Danke! Fragen?

Backup

Meilenstein II

Redirects • Neue CDI Scope in JEE 8 • @RedirectScope

Events • basiert auf CDI Events • Observers zum Logging,

Meilenstein III • Bisher nur wenig bekannt • Support für

Danke! Fragen?