摘要: .net下典型的三层架构就是UI,业务逻辑层和数据访问层。 UI层暂且不表，就谈谈争论最大的业务逻辑层和数据访问层吧，这是争论最多，也是被误解的最多的一点。 拿petshop4为例，什么都先别说，一看代码就闻到了bad smell  阅读全文

     摘要: 今天一来就又看到博客园有大战了，其实这才是社区的氛围，没有争论就是死气一团。不是有一句很流行的话嘛：我不同意你的观点，但我誓死捍卫你说话的权利。闲话少说~ 争论起因就是有位TX在他的博客里提出了一个“烫手”的观点：前台页面设计比后台实现更值钱...  阅读全文

     摘要: 对于有跨国业务的web系统来说，一般都需要提供多语言功能。然而在众多多语言方案里，如.net自带的Resource方式，都会在程序开发时增加程序员的额外负担，不易开发：1.各种不同的地方实现多语言，如aspx的control绑定,js脚本，cs代码,procedure里的提示信息等，这些多语言实现方式各不相同，加重了开发难度...   阅读全文

     摘要: 在上篇解耦的故事中，我把权限设计分成了2类，一类是以系统功能为出发点管控系统的访问权限，并且将页面的权限功能模块与业务模块解耦。很多网友提出第2类的数据权限管控比较重要，所以今天就第2类权限的设计思想再详细描述一下  阅读全文

     摘要: 应博客园出书要求，将web应用程序安全思考系列修改，改动幅度较大，并适当增加主要代码实现  阅读全文

     摘要: ”数据库已死”﹐”OO与数据库存在天然阻抗”﹐”对象必将代替数据库”等言论漫天飞舞﹐一时间大有不置”数据库”于死地誓不罢休﹐且看ado.net entity framework如何进行调解…  阅读全文

     摘要: 写了这么久的程序﹐越来越喜欢那种简单的解决方法﹐这段时间在做一个报表系统﹐其中有需要转Excel﹐而且要求兼容openoffice﹐遂利用asp语法,asp.net的控件封装特性以及excel 2003的xml试算清格式做了一个看起来比较"清爽"的excel转档方案  阅读全文

     摘要: 系统设计一个很重要的目的就是为了重用﹐而要做到重用﹐低耦合是最有效的手段。
本文将通过web应用系统中一个最常见的主题--权限设计﹐来说明解耦的应用。  阅读全文

     摘要: 本不想对这个图书馆再掀话题﹐看了亚同志的重构图书馆惊魂夜﹐觉得还是有必要完整地解释一下图书馆与领域模型﹐毕竟这个问题由我而起﹐善终一下吧  阅读全文

     摘要: 面向对象开发一个最重要的思想就是对真实世界进行模拟。
然而﹐在大量的使用面向对象语言开发的系统中﹐您却很难看到这种模拟﹐而依然是些以数据库为中心的增删改查动作﹐很少能看到”真实的世界”的身影。
出现这种情况﹐很大程度上都是受数据库为中心的影响  阅读全文

     摘要: 要判断用户是否有被请求的资源的权限﹐首先就要知道用户请求的是什么资源。所以我将资源进行抽象﹐并且称它为URL。URL预设有3种形式﹐分别是﹕
1. Request.Path,这是最基本的形式。如:a.aspx , b/b.aspx , ajax/c.ashx
2. 带QueryString的Request.Path﹐这种形式增大了权限管控组件的适应性和灵活性(可参考上一篇的例子)。如 d.aspx?kind=1 , c/e.aspx?ismanage=Y
3. 只到某个目录的Request.Path﹐这种形式方便了某些权限简单的系统使用。如 f/ , g/h/  阅读全文

     摘要: 在看了自适应软件......的” 我今天在做我們一個新的系統功能權限的時候,有一點新的想法,不知道是不是班門弄斧,歡迎扔扔雞蛋! ”后﹐发现大家对于系统权限还是很关注﹐因此在继续我的安全模块设计之前﹐再对以系统功能作为权限管控的方法进而实现系统安全的完全脱耦方案进行说明。
我以一个实际的小型订单管理系统为例来实现这种权限设计方案﹐也欢迎大家能提出自己的权限设计方案来对比﹕  阅读全文

     摘要: 应用程序的安全管控包括管控的时机和方法两个方面﹐即在哪里或什么时候进行管控﹐和使用什么依据进行权限管控。
本篇主要討論安全管控的本質特點  阅读全文

     摘要: 在关于web应用程序安全的思考（一）的最后，我给出了一个权限管控类的大致框架。
它有以下几个特点：
1.它是一个HttpModule
2.它捕获其中的AuthorizeRequest事件
3.它在这个事件中进行提取用户ID（认证）和判断用户是否有权（授权），以及对于没有权限的处理动作（拒绝）三个部分。
我们的安全管控模组的设计就从第3点的这三个部分出发...  阅读全文