Java 对 Domino Objects 的访问,第 1 部分 |
级别: 初级 Robert Perron, 文档架构师, Lotus 2004 年 12 月 06 日 本文将向 Java 编程人员介绍 Domino Objects,并讲述本地访问和远程访问的一些基本知识,然后将介绍访问控制。本文的重点是开发 Java 应用程序。 如果没有本文中讲述的一些基本知识,从 Java 转向 Domino Objects 可能会比较困难。不仅代码必须准确,而且客户机和服务器环境也必须准确。本文首先将介绍本地访问和远程访问的一些基本知识,然后说明访问控制。本文的重点是 Java 应用程序。在接下来的续篇中,我们将讨论 SSL 加密、servlet、连接池、单点登录、防火墙、超时和回收,而且还包括故障检修部分。本文假设您熟悉 Domino Java API。 Java 对 Domino Objects 的访问是通过高级包 lotus.domino 进行的。根据运行时环境,这个包中的接口是在其他两个包中的一个包中实现的:
对于本地访问,Java 程序运行在安装有 Notes 客户机或者 Domino 服务器的计算机上。本地类由 JNI(Java Native Interface)构建来,用于访问与 JVM(Java Virtual Machine)相同的进程中的 Notes/Domino 二进制文件。 对于远程访问,Java 程序使用 CORBA(Common Object Request Broker Architecture)请求 Domino 服务器所提供的服务。远程类使用 CORBA 通过 TCP/IP 网络访问服务器。远程访问由以下两个部分组成:
图 1. Java 通过 HTTP 和 IIOP 的远程访问 在 lotus.domino 中,NotesFactory 类提供了 createSession 和其他方法,以便在 Java 应用程序和 servlet 中启用对 Domino Objects 的访问。特殊的调用方式确定了访问是本地还是远程的。 要编译使用 lotus.domino 包的 Java 程序,类路径必须包含 Notes.jar(本地)或者 NCSO.jar(远程)。例如: set classpath=%classpath%;c:/lotus/domino/Notes.jar 或者 set classpath=%classpath%;c:/lotus/domino/data/domino/java/NCSO.jar 其中 Notes.jar 可以在任何 Notes/Domino 安装的程序目录中找到。NCSO.jar 可以在 Domino Designer 或 Domino 服务器数据目录下的 domino/java 目录中找到。
createSession 的调用没有参数,第一个参数为 null 或者第一个参数为空字符串都表示本地调用。下列代码是等价的:
将 null 转换成 String,以避免过载冲突。 要从应用程序和 servlet 中实现本地调用,路径中必须包含 Notes/Domino 的程序目录,类路径中必须包含 Notes/Domino 程序目录中的 Notes.jar。例如: set path := %path%;c:/lotus/domino Notes.jar 中包含 lotus.domino 和 lotus.domino.loca 包。 本地调用需要用 NotesThread 类管理线程。NotesThread 类扩展了 java.lang.Thread,包含专门针对 Domino 的初始化和终止代码。您有以下三种选择:
要通过继承来执行线程,需要扩展 NotesThread,而不是 Thread,并且需要包含 runNotes 方法,而不是 run 方法。NotesThread 线程可以和任何其他线程一样通过 start 方法来启动。这种方式比静态方法(稍后讨论)容易使用,且不易出错。
要通过 Runnable 接口来执行线程,需要实现 Runnable 并包含 run 方法,这与使用线程的任何类相同。当您因为正在扩展其他类而不能扩展 NotesThread 时,可以使用这种方式。
要通过静态方法来执行线程,需要调用 sinitThread() 来初始化线程,调用 stermThread() 来终止线程。stermThread() 的调用必须与 sinitThread() 的调用严格一一对应;推荐将 stermThread 放在“finally”程序块里。静态方法适用于不可能进行继承的线程,或者适用于需要更好地控制基于事件的线程。
进行本地调用的每个应用程序的线程都必须初始化一个 NotesThread 对象。它包含了访问 Domino Objects 的 AWT 线程。监听器线程必须使用静态方法,因为无法从 NotesThread 中继承它们。 既进行本地调用又进行远程调用的应用程序可以动态地决定何时使用静态方法 sinitThread 和 stermThread。运行本地线程时,也可以进行远程调用;但不要将通过一个会话获得的对象用于对其他会话的调用。 应该避免使用多线程,除非有非常充分的理由,比如处理文件输入/输出和 Web 请求时,要继续进行操作。观察遵循以下指导原则:
在进行远程调用时,createSession 签名的第一个参数是非空字符串。第一个参数通常用来标识 Domino 服务器所在的计算机。例如: Session s = NotesFactory.createSession("myhost.east.acme.com") 或者 Session s = NotesFactory.createSession("myhost.east.acme.com:63148") 第二个示例指定了端口号,这样就无需在 myhost.east.acme.com 上运行 Domino Web 服务器。有关的详细信息,请参阅本文后面的“获取 IOR”部分。 要从应用程序或者 servlet 执行远程调用,客户机计算机的类路径中必须包含 NCSO.jar。NCSO.jar 包含 lotus.domino 包、lotus.domino.cso 包、lotus.domino.corba 包以及 ORB 类,ORB 类包含用于远程类的实现代码。对于已安装的 Domino Designer 和 Domino 服务器软件,NCSO.jar 位于 Domino 数据目录下的 domino/java 子目录中。对于没有安装 Domino 软件的计算机,必须从安装该软件的计算机上复制归档文件。 类路径必须包含归档文件,例如: set classpath := %classpath%;c:/lotus/domino/data/domino/java/NCSO.jar 编码比较简单。远程调用不使用 NotesThread。只需使用主机名称和(可选)端口号进行 createSession 调用即可。 不使用线程时,模板将如下所示:
下列模板将使用线程:
远程访问还需要设置 Domino 服务器和进行 TCP/IP 连接。安装服务器的计算机必须能够通过 TCP/IP 进行访问。在计算机的网络设置中,需要检查 TCP/IP 属性中的主机和域名的 DNS 配置。必须能够用 Internet 名称从客户机计算机 ping 到服务器计算机。例如,如果 Domino 服务器的主机名称是 myhost,那么域名将是 east.acme.co: 图 2. TCP/IP Properties 框 下列命令应该得到客户机计算机的有效响应: > ping myhost.east.acme.com 在服务器 Domino Directory(names.nsf)的 Server 文档 Bsiscs 选项卡的“Fully qualified Internet host name”字段中,必须显示主机和域。通常,安装服务器安装时已设置了主机名,例如: 图 3. Server 文档 —— Basic 选项卡 如前面的编码示例所示,Internet 名称是 createSession 主机的(第一个)参数。也可以使用服务器的 IP 地址。例如,如果 myhost.east.acme.com 的 IP 地址是 9.95.73.30,那么下列任何一个调用都有效: Session s = NotesFactory.createSession("myhost.east.acme.com:63148") 或者 Session s = NotesFactory.createSession("9.95.73.30:63148") 必须运行服务器上的 DIIOP(Domino IIOP)任务。HTTP 任务可能也需要运行,这取决于如何获取 IOR。检查 Domino Directory 中 Server 文档。转至 Ports 选项卡,然后转向 Internet Ports 选项卡。查看 Web 选项卡(用于 HTTP)并找到 DIIOP 选项卡。这些部分有用于指定端口号以及启用/禁用端口的字段。通常,HTTP 的端口号是 80,DIIOP 的端口号是 63148。下列屏幕显示了 DIIOP 选项卡: 图 4. Server 文档 —— DIIOP 选项卡 如果访问数据库时不知道文件名称(例如,要使用 DbDirectory.getFirstDatabase),那么必须允许通过网络浏览文件名。转至 Internet Protocols 选项卡、HHTP 选项卡和 R5 Basics 选项卡。然后将“Allow HTTP clients to browse databases”设为 Yes。 图 5. Server 文档 —— HTTP 选项卡 要在服务器上启动 HTTP 和 DIIOP 任务,需要确保这些任务在 Notes.ini 文件 ServerTasks 变量的任务列表中,如果正确配置了 Server 文档该文件,那么这些任务应该包含在任务列表中。Notes.ini 文件应该包含类似于下面的行: ServerTasks=Update,Replica,Router,AMgr, AdminP,CalConn,Sched,DIIOP,HTTP,LDAP 从运行的服务器,可以在控制台中输入下列命令来加载任务: > load http > load diiop 可以在控制台用 tell 命令停止任务: > tell http quit > tell diiop quit 可以刷新 DIIOP 任务: > tell diiop refresh 可以重新启动 HTTP 任务: > tell http restart 在 Domino 服务器上,IOR 是一个名为 diiop_ior.txt 的文件,位于 Domino 数据目录下的 domino/html 子目录中。IOR 是对象的字符串编码,包含对服务器的 CORBA 访问的识别信息。客户机会将字符串 IOR 解码,并用它来建立远程会话。 默认情况下,远程客户机通过 Web 服务器端口(其通常支持 HTTP 请求)来请求服务器 IOR,然后通过 DIIOP 端口进行会话请求。可以分别执行这两个请求。例如:
等价于: Session s = NotesFactory.createSession("myhost.east.acme.com"); 在 NotesFactory 调用中,可以在主机名称或 IP 地址后面添加冒号和端口号,来指定用于获取 IOR 的主机端口。如果 Web 服务器没有运行,可以使用这种机制,通过 DIIOP 端口支持 IOR 的 HTTP 请求,例如:
然而,两步式编码顺序并不是必需的。可以将其简化为: Session s = NotesFactory.createSession("myhost.east.acme.com:63148"); 不能用 DIIOP 端口获取除 diiop_ior.txt 之外的文本文件。 如果通过 Web 服务器端口来获取 IOR,Web 服务器端口,那么必须允许进行匿名访问。在 Domino Directory 的 Server 文档中,转至 Ports 选项卡,然后转至 Web 选项卡。确保 Authentication options 下的 Anonymous 字段被设为 Yes。 图 6. Authentication options 指定 DIIOP 端口来获取 IOR 的能力是 Notes/Domino 6 的新功能。现在就可以使用远程调用,无需允许对 Web 服务器的匿名访问,甚至无需启动 Web 服务器。 也可以通过其他方法获取 IOR,然后使用 createSessionWithIOR。例如,可以将 diiop_ior.txt 文件从服务器计算机复制到客户机计算机上。如果客户机上包含对将使用的服务器有效的 diiop_ior.txt 文件,那么可以使用下列代码:
注意 IOR 设置可能会失效。服务器上的以下任何更改都会使客户机上的 diiop_ior.txt 文件失效:
可以通过指定服务器主机名称而不是服务器的 TCP/IP 地址来避免最后一项。在 Server 文档中,转至 Internet Protocols 选项卡,然后转至 DIIOP 选项卡。在“Host name/Address”字段中指定服务器的 Internet 主机名。 图 7. DIIOP 选项卡中的 Host name/Address 字段 这将强制 diiop_ior.txt 使用服务器的主机名而不是使用 IP 地址。也可以通过 Notes.ini 变量 DIIOPIORHost 来强制使用主机名。
授予用户的对客户机上 Domino 服务器或者 Notes/Domino 软件的访问级别取决于 createSession 如何进行编码以及服务器或者客户机的设置。 访问控制是通过以下两种方式之一实现的:
对于通过 Domino Directory 访问,代码将确定用户是以 Anonymous 匿名访问服务器,还是作为 Domino Directory 中列出的用户来访问服务器。在 NotesFactory 调用中,如果仅指定了主机名称,或指定了空字符串作为用户名和密码,那么将以 Anonymous 访问服务器。例如: Session s = NotesFactory.createSession("myhost.east.acme.com:63148"); 或者 Session s = NotesFactory.createSession("myhost.east.acme.com:63148", "", ""); 要以 Domino 用户访问服务器,需要指定用户名和 Internet 密码作为参数 2 和参数 3。用户名和密码必须与服务器上 Domino Directory 中的 Person 文档匹配,例如: Session s = NotesFactory.createSession("myhost.east.acme.com:63148", "Jane Smith/East/Acme", "topS3cr3t"); 如果对运行代码的计算机上安装的 Domino 服务器进行本地访问,需要指定主机名称为空字符串,例如: Session s = NotesFactory.createSession("", "Jane Smith/East/Acme", "topS3cr3t") 对于 Anonymous 访问,需要指定用户名和密码为空字符串: Session s = NotesFactory.createSession("", "", "") 对于本地访问,则不必运行服务器。 Domino Directory 的 Server 文档中的设置控制着是 Anonymous 访问还是命名访问。在 Server 文档中,转至 Ports 选项卡、Internet Ports 选项卡和 DIIOP 选项卡。下表指定了设置:
对于 Name & password 验证,名称必须是服务器上 Domino Directory 中 Person 文档中的用户名,密码必须是同一 Person 文档中的 Internet 密码。可以进一步限制访问,方法是在 Domino Directory 的 Server 文档中,在 Ports 选项卡和 Internet Ports 选项卡下,将 Enforce server access settings 字段设为 Yes,以便使用 DIIOP 端口。然后在 Security 选项卡下的 Server Access 选项卡中指定希望的访问。 Server 文档包含下列字段,用于控制由远程或本地 Java 类创建的 Internet 会话的安全性。在 createSession 使用用户名和密码或 SSO 令牌时,Internet 会话的访问权限等同于 Web 用户。下表列出了 Security 选项卡中的字段。
下表列出了 DIIOP 选项卡中的字段:
下列 Notes.ini 设置会影响通过远程或本地 Java 类获得的 Internet 会话的安全性
同时注意,数据库 ACL“Maximum Internet Name and Password access”设置会影响通过远程或者本地 Java 类获得的 Internet 会话的安全性,因为 DIIOP 登录用户被限制为这一访问级别。 服务器大约半小时刷新一次安全性选项的缓存。控制台命令“tell diiop refresh”可以强制立即刷新。 对于通过当前 Notes ID 的访问,无需指定参数: Session s = NotesFactory.createSession() 在这种情况下,当需要进行身份验证时(例如,访问数据库),会显示对话框,并要求输入 Notes ID 口令。所选择的 Notes ID 是在搜索路径中第一个 Notes.ini 文件的 KeyFileName 变量中指定的。用户必须输入正确的密码或者单击 Cancel 以继续后续操作。 除了不指定参数外,也可以指定第二个参数为 null(转换为 String),第三个参数为 Notes ID 的密码: Session s = NotesFactory.createSession((String)null, (String)null, "tops3cr3t") 在服务器上,上述方法会根据 Readers 字段限制访问。要进行完全的访问,可以用以下方法: Session s = NotesFactory.createSessionWithFullAccess() 或者 Session s = NotesFactory.createSessionWithFullAccess("tops3cr3t")
您现在了解了在本地或远程从 Java 应用程序使用 Domino Objects 的一些基本知识。在下一篇文章中,您将了解 SSL 加密、servlet、连接池、单点登录(SSO)、防火墙、超时、回收及故障检修。
|