Tutoriales Reverse Ajax, Comet, CometD, y Jetty

“Reverse Ajax” visto desde “afuera”, visto desde el punto de vista de un “usuario”, es el mecanismo que permite que la información en una aplicación Web se “refresqué” automáticamente sin necesidad que lo solicite explícitamente (ejemplo; sin apretar un botón de “actualizar”), y donde no se tenga que volver a cargar la página completa (Ajax). Un ejemplo de esto sería una aplicación de la Bolsa de Comercio donde se muestran los valores de las acciones, los cuales se van actualizando automáticamente a medida que cambia el valor, y no cada vez que el usuario presiona un botón.

Una forma de “simular” esto, es que la pagina (cliente web) tenga un ciclo de consulta recurrente cada X segundos (un loop), el problema es que estriamos llenando de solicitudes (peticiones, o request) el servidor, lo que es poco eficiente.

“Reverse Ajax” corresponde a enviar información desde un servidor a los distintos clientes (Web) sin la necesidad explicita de una solicitud (request) por parte del cliente, este es el concepto de “empujar” (push) la información. Normalmente la información se entrega (push) de acuerdo a un evento que sucede en el servidor, por ejemplo actualización del valor de una acción.

Para lograr esto, los clientes Web (Browser) deben quedar esperando (escuchando) la información que pueda venir del servidor, y el servidor distribuye la información entre los distintos clientes “activos”.

“Reverse Ajax” tiene varias versiones e implementaciones, la técnica estándar es “Long pooling” usando el objeto Request de Ajax, a esta técnica también se le llama Comet. Y las implementaciones más usadas son los frameworks:

• Jetty Continuation:
• CometD
• Grizzly

Las dos primeras son independientes de Servidor de Aplicaciones, trabajan tanto en Jetty, Tomcat, GlassFish, o WAS, pero requieren que el servidor maneje “Servlet 3.0”. La tercera es propietaria de Glassfish, pero cumple los estándares, es decir puede atender a cualquier cliente Comet, y esta optimizada para este servidor.

Aquí hay un ejemplo completo de “reverse Ajax” con Grizzly (Glassfish)

http://docs.oracle.com/cd/E19776-01/820-4496/6nfv5l568/index.html

Este es un tutorial de Jetty y DWR

http://www.ibm.com/developerworks/java/library/j-jettydwr/

Implementacion usando servlets

http://www.ibm.com/developerworks/web/library/wa-cometjava/

Excelente introducción a COMET y revision de implementacion con CometD

http://www.ibm.com/developerworks/web/library/wa-reverseajax1/index.html?ca=drs-

Avisos Clasificados con Codigo QR o QRCode

El concepto de “avisos clasificados qrcode”, o “avisos QRCode”,  (“avisosQRcode” de aquí en adelante), corresponde a la publicación de avisos que tienen asociado un QRCode (Quick Response Code). Esto aplica a avisos clasificados, avisos económicos, o cualquier tipo de publicación de avisos.

El nuevo concepto avisosQRcode y un sitio que lo implementa se define (entre otras) mediante las siguientes características principales:

  • Generación QRCode asociado al aviso: cada aviso tiene asociado un QRCode, y este es generado automáticamente cuando se publica el aviso.

aviso clasificado codigo qr (qrcode)

El QRcode apunta al aviso directamente, y además puede contener la información del aviso (codificada la información que se publica).

  • Letrero QRCode o Impresión Aviso QRCode: una de las características más importantes, es que esta nueva idea cambia el concepto del letrero de un aviso clasificado. En los medios tradicionales de publicación de avisos, el letrero dice en grandes letras “Se Vende” y luego aparece algún dato de contacto (número telefónico o email) y del producto.

Letrero aviso clasificado tradicional

.

Estos carteles (tradicionales) generalmente se colocan en la ventana de la propiedad que se vende, o se pegan en el vehículo que se vende, de forma de publicitar la venta o arriendo.

El cartel o letrero QRCode de avisos clasificados es distinto, importa principalmente la imagen del QRCode, debe ser lo más grande posible, de forma que pueda ser escaneado de cierta distancia, por ejemplo desde otro auto cuando se está parado en un semáforo, también contempla los datos del aviso por si alguien no puede hacer el escaneo del código, pero no son estrictamente necesarios, ya que el QRCode da acceso a toda la información del aviso.

Este es el ejemplo de un cartel QRCode de avisos clasificados (cuya conceptualización también es parte de este “registro intelectual”):

Letrero Aviso Clasificado Codigo QR (QRCode) miniavisos.cl

(imagen) Letrero “aviso clasificado qrcode”

El “letrero QRCode” debe indicar un título como “Se Vende” o “Se Arrienda”, para el ejemplo dice “miniAvisos.cl” (lo cual induce a que es un aviso clasificado), además debe presentar el código QRCode ocupando la mayor proporción del letrero, e indicar finalmente los datos del aviso. El orden de esto componentes recomendado es el que se muestra, pero puede ser otro y el concepto “original” sigue siendo el mismo.

Este “letrero” lo genera la aplicación de “avisosQRCode” para su impresión, luego generalmente está asociada a la funcionalidad “imprimir aviso”.

Al colocar un letrero de estas características en la ventana de lo que se vende o arrienda, se identifica inmediatamente que se trata de un “aviso clasificado Qrcode”.

  • Acceso Directo al Aviso Mediante Dispositivos Móviles: cuando se escanea el código QRCode mediante un dispositivo móvil, este lleva directamente al aviso publicado en el sitio web (ejemplo: http://adspip.com/miniavisos/arriendo-departamento-a-pasos-de-renaca/), de esta forma la persona que escanea el QRCode tiene inmediatamente acceso al aviso, pudiendo guardarlo en su dispositivo móvil. Con esto se evita anotar los datos del aviso, o datos de contacto del mismo, haciendo más efectiva la publicación, y posterior transacción.

Para escanear un “codigo QR” se necesita que el dispositivo móvil tenga una aplicación de escaneo, estas pueden venir preinstaladas en el móvil, o se pueden descargar de forma gratuita:

descargar QRCode scanner o Lector de Codigo QR

Referencias:

  • Sitio Oficial para publicar Avisos Clasificados Gratis con Codigo QR o QRCode

miniAvisos.cl

El problema de los días entre 2 Fechas, librerías Date4j y Joda-Time

Para calcular la cantidad de días entre dos fechas, no existe una solución en las librerías comunes de Java (java.util.date). Una solución es el siguiente código:

public long periodo(Date fecha1, Date fecha2){
if (fecha1==null || fecha2==null){
return 0;
}
long milli1=fecha1.getTime();
long milli2=fecha2.getTime();
long diffMillis= milli2 - milli1;
if (diffMillis<0) diffMillis= -diffMillis;
long diffDays = diffMillis/(24*60*60*1000);

return diffDays;
}

Pero existen libreras que realizan estas funcionalidades y otras de forma bastante completa  como

  • Date4J

http://www.date4j.net/

  • Joda-Time

http://joda-time.sourceforge.net/

Cross Site Scripting

Esta es una vulnaberabilidad de un sitio Web que permite que se  pueda inyectar codigo en una pagina, como inyectra codigo Javascript.

Por ejemplo supongamos hay un sitio Web que tiene un formulario (form) que solicita el login del usuario, el cual se valida y si no es correcto se devuelve una pagina Web indicando “el nombre de usuario XXX es incorrecto”, donde “XXX” corresponde al dato ingresado (nombre usuario) en el formulario.

Si uno ingresa “DIEGO” como nombre de usuario y este no es válido, entonces se va a desplegar:

el nombre de usuario DIEGO es incorrecto


Lo que esta bien, pero el problema es cuando se coloca este texto

“alert(19700328)”

como nombre de usuario, y la pagina muestra una alert Javascript con el numero “19700328”.

En este caso, esa pagina es vulnerable en “Cross Site Scripting”.

Este es el codigo de la pagina formulario del ejemplo:






form cross scripting



Usuario:


<br />

Clave:






Y este es el código de la pagina que es “vulnerable”, es decir, se le puede inyectar javascript:






vulnerable


<strong>Error<br />
</strong>el nombre de usuario  es incorrecto


La solución es validar a nivel de servidor, de la siguiente forma:

  • Primero validar a nivel del tipo de dato, por ejemplo validar que el campo sea un email válido.
  • Segundo validar que no vengan caracteres “peligrosos”

<> (mayor, menor)

| (pipe)

& (ampersand)

; (punto coma)

$ (signo moneda)

% (porcentaje)

‘ (comilla simple)

” (comilla doble)

‘ (backslash-comilla)

” (backslash-doble comilla)

() (parentesis)

+ (signo mas)

CR (retorno carro, ASCII 0x0d)

LF (salto linea, ASCII 0x0a)

, (coma simple)

@ (arroba)

Luego al devolver o usar el campo, se debe

  • Primero, usar la secuencia de escape adecuada, por ejemplo para las paginas Web (Html) podemos usar “escapeHtml”( http://commons.apache.org/lang/download_lang.cgi ), con lo cual el browser no lo interpreta como un comando Javascript o comando Html.
  • Luego,  si efectivamente el valor entregado es “extraño”, por ejemplo se detecta que tiene palabras reservadas Javascript ni siquiera devolverlo en una pagina, y registrarlo en el log de la aplicación.






vulnerable


<strong>Error<br />
</strong>el nombre de usuario "

" es incorrecto


Lo bueno que para encontrar este tipo de problemas existen herramientas que revisan un sitio y entregan un reporte con toas las vulnerabilidades como IBM AppScan (http://www-01.ibm.com/software/awdtools/appscan/)

Arquitectura Orientada a Servicios

La ruta que se ha definido en Arquitectura de Sistemas para el desarrollo de soluciones o sistemas informáticos es SOA (Arquitectura Orientada a Servicios), la cual esta basada en la implementación de Servicios de Negocio, esto es; bloques funcionales de negocio que se pueden integrar, y compartir en distintas aplicaciones. La principal tecnología para implementar servicios SOA es WebServices, y es la que se recomienda, se promueve y exige, pero hay que tener cuidado, porque fácilmente se puede cometer errores, sino se asumen los siguientes principios:: 

·         Un Webservice no necesariamente es un Servicio SOA. 

·         Un Servicio SOA no necesariamente tiene que ser implementado como WebService. 

Para que un WebService se considere un Servicio SOA, debe cumplir con los estándares SOA, a grandes rasgos: debe corresponder a una funcionalidad del Negocio bien acotada (self cointained), independiente de la implementación tecnológica e independiente de los sistemas operacionales que lo soportan (loose coupling), y además debe poder ser compartido y reutilizado por otros procesos o sistemas (reuse). Por otro lado, un servicio SOA podría ser implementado con otras tecnologías, como HttpService, Mensajería, Ajax (DWR), etc, pero nuevamente para ser considerado como tal, debe cumplir los estándares SOA. 

SOA es una tecnología madura, y respaldada por los principales expertos y empresas, por ejemplo Gartner dentro de su HypeCycle (diagrama de madurez) ya el 2009 lo tiene entrando al nivel de plena productividad (plateau of productivity). (img1) 

Además Gartner la tiene dentro de las tecnologías Top Ten en la industria de Seguros (ref. “Gartner Outlines Top 10 Technologies to Impact Property and Casualty Insurance” – Harris Ferrante  – Marzo 2010).  

IBM se refiere a SOA como “la plataforma que alinea el Negocio con Tecnología” (IBM Smart SOA – Enero 2010, http://www-01.ibm.com/software/solutions/soa/smartsoa/), y ha desarrollado toda una metodología y set de herramientas para apoyar SOA.  

Oracle indica “SOA se ha movido de la sobreespectativa (hype) a una completa aceptación como estrategia de Tecnología (TI) para entregar soluciones de Negocio” (Oracle SOA Governance Solution -2009, http://www.oracle.com/technologies/soa/docs/soa-governance-datasheet.pdf). 

¿Y porque se debe implementar SOA usando WebServices?, en términos simples, porque es el estándar de facto, Webservices es una tecnología que opera en .Net y Java, que la mayoría de los motores de servicios contempla (bases de datos, ESB, ETL, etc), que las herramientas de diseño, desarrollo, y testing soportan, y que las grandes aplicaciones también manejan (CRM, ERP, SAP, SalesForce, etc.). Gartner de hecho tiene los webservices situados en “plena productividad” para Arquitectura de Aplicaciones  (ver “Hype Cycle for Application Architecture, 2009“, http://www.gartner.com/DisplayDocument?id=1077812).  

Los servicios SOA sirven para integrar sistemas, para construir procesos de negocio (orquestación de servicios), pero principalmente sirven para implementar aplicaciones Web. IBM lo ha promovido en el desarrollo de aplicaciones Web, en combinación con frameworks como Struts, Spring, lo ha promovido para el desarrollo de aplicaciones web “rich” (“Build rich Java Web applications with Apache Wink and Ajax“ – Febrero 2010) , y para el desarrollo  de aplicaciones Web dinámicas (“Build RESTful Web services and dynamic Web applications with the multi-tier architecture” –Junio 2009). Oracle lo contempla en su Arquitectura de aplicaciones; Oracle ADF. 

  Arquitectura Orientada a Servicios

Pero como toda tecnología, los WebServices pueden ser mal implementados, si no se siguen los estándares y buenas prácticas, que existen para el desarrollo de Servicios. Uno de los problemas más comunes es pretender que toda funcionalidad de un sistema se puede convertir en un servicio (WebService), y la verdad es que el enfoque es otro, las funcionalidades de Negocio, que pueden involucrar más de un sistema, son las que se deben convertir en Servicios. 

Se han mencionado buenas prácticas y antipatrones para el desarrollo de servicios, las buenas prácticas apuntan a como se deben hacer las cosas, y los antipatrones apuntan a mostrar en que problemas no debemos caer, ejemplos: ·         Servicio se nombra para maximizar consumo.Erróneo: insertarRegistroCliente()Correcto: crearNuevoCliente() 

·         Servicio tienen parámetros abultados (coarse grained)

Erróneo : crearNuevoCliente (rut, nombre, apellidos, email, fono, direccion)

Correcto: crearNuevoCliente (objetoCliente) 

·         Servicio encapsula detalles de implementación.

Erróneo : crearNuevoClientePsoft (schemaOracle, registroTablaCliente )

Correcto: crearNuevoCliente (objetoCliente) 

·         AntiPatrón, Servicio Parlanchines (Chatty Services)

Erróneo: consultaUF()

Correcto: (NO implementar ese tipo funciones como servicios) 

·         IBM SOA Antipatternshttp://www.ibm.com/developerworks/webservices/library/ws-antipatterns/ 

·         IBM SOA realization, Service design principleshttp://www-128.ibm.com/developerworks/webservices/library/ws-soa-design/ 

·         SOA Anti-Patterns: How Not to Do Service-Oriented Architecturehttp://www.oracle.com/technology/architect/entarch/pdf/oea_soa_antipatterns.pdf ·        

·         Best Practices for Web services: Web services performance considerationshttp://www.ibm.com/developerworks/webservices/library/ws-best9/index.html 

¿Pero solo basta con conocer los estándares y buenas prácticas para no equivocar el camino en la implementación de servicios y para lograr los beneficios que promete SOA?;  la verdad es que NO, se necesita más que eso, se pueden saber los patrones de diseño SOA, pero aun no interiorizarlos, o no poder lograrlo con tecnologías especificas como Java, porque solo la experiencia real, y la supervisión continua en la primeras etapas logra que el área de TI adopte de forma adecuada SOA, y aquí es donde entra a jugar otro enfoque; “SOA Governance” , que corresponde a implementar el soporte en procedimientos, metodologías, y herramientas, para lograr un SOA exitoso: 

  • SOA Governance ya no es una opción, es un imperativo, sin esta administración (governance) el retorno de la inversión es mucho menor, y todo proyecto SOA estará en riesgo (ref. “Service Oriented Architecture Craves Governance” – Gartner).
  • De hecho sin él (SOA Governance), muchas iniciativas SOA fallan” (“Oracle SOA Governance Solution” – 2009).

Si la implementación de Servicios SOA falla, entonces es determinante la implementación de un “SOA Governance”, y el primer y mas importante paso en Governance es establecer una área especializada; el “Centro de Excelencia SOA” (SOA COE), que permite enseñar y supervisar la adopción de SOA en una Empresa, un área clave liderada por Arquitectos de Sistemas. 

Excelente Ranking de soaAgenda.com en habla Hispana (España)

top ranking sitio Arquitectura de SistemassoaAgenda.com a escalado de forma considerable dentro de los sitios de Articulos de Interes en materias de Arquitectura de Sistemas, Arquitectura Orientada a Servicios (SOA) y Administración de Procesos de Negocio (BPM), estableciendose como referente en estos temas.

En Alexa.org estamos en la posición 200.000 a nivel de españa y 3.500.000 a nivel mundial, superando a muchos sitios de Tecnologia (TI) de varios paises.