MVC 1.0 action-based und standardisiert in JEE 8 Bennet Schulz, @bennetelli IT Consultant bennet.schulz@codecentric.de Gerrit Meier, @meistermeier Senior Consultant
 gerrit.meier@t-systems.com

Agenda I. Motivation II. Komponenten- vs. Actionframeworks III. MVC Features IV. Demo V. Ausblick

Ist MVC notwendig? • weite Verbreitung actionbasierter Frameworks • JEE bietet mit JSF bisher nur ein komponentenbasiertes Framework an • … ein actionbasierter Standard fehlt Bildquelle: http://zeroturnaround.com/rebellabs/the-curious-coders-java-web-frameworks-comparison-spring-mvc-grails-vaadin-gwt-wicket-play-struts-and-jsf/

Komponenten- vs. Actionframeworks Komponentenframeworks • wenig HTML / JS / CSS Kenntnisse notwendig • Vorgefertigte Frontend- Komponenten • Lifecycle und Statechanges

Komponenten- vs. Actionframeworks Actionframeworks • HTML / JS / CSS Kenntnisse notwendig • Komponenten „per Hand“ erstellen • Request / Response basierend (weitestgehend zustandsfrei)

JSR 371 MVC1.0 CDI Bean Validation JSP JAX-RS

Model • halten eines Zustandes für die View • Beispiele • Daten des eingeloggten Nutzers • Artikel die ich kaufen möchte

• Zwei Möglichkeiten in MVC 1.0: • javax.mvc.Models • CDI Models Model

javax.mvc.Models • Map • Verwendung: • Wenn View Engine keine CDI Unterstützung hat • z.B. Thymeleaf

• Wenn kein eigenes Model notwendig • Wenn Model sich aus mehreren Objekten zusammensetzt javax.mvc.Models

CDI Models • CDI Beans als Model • @Named • @RequestScoped • @Inject in Controller • EL Support in JSPs

View • Präsentation und Interaktion • JSP build-in • ViewEngines: Velocity, Thymeleaf, Mustache, Handlebars, Asciidoc, …

Controller • Reagiert auf den Request • Aktualisiert das Model • Triggert als Response die View Generierung

• @Controller • Entweder an einer Klasse • alle Methoden MVC-Controller Methoden • Oder an (mehreren) Methoden • hybride Klasse aus MVC-Controller Methoden und klassischen JAX-RS Ressourcen möglich Controller

Exception Handling • Allgemeines Exception Handling • Binding Exceptions • Validation Exceptions

• basiert auf JAX-RS • Zum Konvertieren von Exceptions in Responses • implements ExceptionMapper<***Exception> • Überschreiben von toResponse() zum Behandeln der Violations • Grobe/globale Art des Exception Handlings Exception Handling

Validation Exceptions • Lokale Validierung im Controller • javax.mvc.binding.BindingResult • Request Scope • isFailed() gibt Auskunft über Validierungsfehler

Binding Exceptions • javax.mvc.binding.BindingResult • Fehler während Request Parameter -> Java type mapping

• Cross-Site Scripting (XSS) • Cross-Site Request Forgery (CSRF) • Deckt A3 und A8 der OWASP Top10 2013 ab Security

XSS • Escaping/Encoding um XSS Attacken zu verhindern • javax.mvc.MvcContext injizieren • bietet Zugriff auf Encoders für HTML und JS

CSRF • Unterstützung für CSRF Token in Form fields und HTTP header. • über application-level property kann CSRF aktiviert werden • javax.mvc.security.CsrfProtection • mit javax.mvc.security.Csrf.CsrfOptions können Werte gesetzt werden: • OFF, IMPLICIT, EXPLICIT • Bei EXPLICIT muss explizit mit @CsrfValid annotiert werden

DEMO

Ausblick 1.0.0-m02 1.0.0-m01 1.0.0-m03 29.09.15 31.03.2016 Q1-Q2/2017 Java EE 8

Danke! Fragen?

Backup

Meilenstein II

Redirects • Neue CDI Scope in JEE 8 • @RedirectScope • Lebensdauer maximal zwei Requests • RequestScope < RedirectScope < SessionScope • Controller kann weiterleiten an • eine spezifische URL • eine weitere Controller Methode • URL path prefix „redirect:“ um client redirect zu triggern

Events • basiert auf CDI Events • Observers zum Logging, Performance Monitoring, … • Controller: Before- & AfterControllerEvent • View: Before- & AfterProcessEvent

Meilenstein III • Bisher nur wenig bekannt • Support für Logging (vermutlich über Events) • Forwarding von Requests zwischen Controllern ohne Client Interaktionen (wie z.B. bei redirects) • Verzicht auf @Named Annotation für View Engines

Danke! Fragen?