java讲座心得体会【汇集20篇】

这一周，我仔细研读了学前教育政策。在一周时间的自学后，有很多触动，我深深感到了社会、家长赋予我们的责任——我们是孩子人生旅途的启蒙人。我们的一言一行都将直接影响到孩子们的未来，提供幼儿合适的教育，才会使每一个孩子得到充分的发展。作为老师的我们，只有不断反思，审视自己的教育言行，不断更新自己的教育观念，才能成为一名合格的教育工作者。下面是我在学习学前教育政策的一些想法心得。 《幼儿园教师专业标准》是对合格幼儿园教师专业素质的基本要求，通过认真学习《幼儿园教师专业标准》，我深刻理解了“幼儿为本、师德为先、能力为重、终身学习”的基本理念，对“专业理念与师德、专业知识、专业能力”3个维度14个领域62项基本要求有了基本的了解。整个标准可以用“爱和能力”四个字来表达。“爱”，一是要求幼儿教师要热爱工作岗位，二是要求幼儿园教师要关爱幼儿。这里的爱不同于家长、同伴的爱，而是“教育爱”。“能力”是在“爱”的基础之上对幼儿教师提出的具体要求，包括幼儿园教师“专业知识和专业能力”两个方面。参照这三个维度，对照自己的各个方面;觉得自己在专业理念和师德方面会时刻的要求自己，在一日生活的各个环节，能注意自己的言行举止，做好孩子们的榜样。

在专业知识和专业能力方面，由于自己是新的老师，很多时候还需要在教研中多加的听听老教师的经验和方法，自己也要加紧在日常的学习中不断充实自己，在带班的过程中不断地总结好方法和经验，与理论与实践之中，不断地向专业教师的领域迈进。

《指南》将儿童的学习与发展分为健康、语言、社会、科学、艺术五大领域，每个领域按照幼儿学习与发展最基本、最重要的内容划分为若干方面。在实施《指南》时，要把握以下四个方面：幼儿学习发展的整体性、个体差异、学习方式和特点以及学习品质。同时要重视游戏、生活的独特价值，充分地尊重和保护儿童的好奇心和学习兴趣。创设了丰富的教育环境，最大限度地支持和满足儿童直接通过感知、实际操作和亲身体验获取经验的需要，严禁拔苗助长式的超前教育和强化训练。现在大多数的孩子被禁锢在教育的条条框框之中，他们需要自主，因为只有自己动手动脑得来的直接经验才是真正属于他们自己的。

《指南》出现的目的就是要指导家长和教师向幼儿提供合适、科学的教育。那么，就需要注意以下几点：

一、要善于发现孩子的闪光点。在健康领域目标中指出“以欣赏的态度对待幼儿，发现幼儿的优点，接纳他们的个体差异，不与同伴做横向比较。”在日常生活中，对于学习能力较强、性格开朗、自我服务能力强的幼儿，我们常常能做到发现这些孩子的闪光点。但是对于一些能力较弱的孩子，我们更需要有意识地去发现、挖掘孩子的闪光点。因为，每个孩子其实都有自己的长处，要给他展现机会，让他在学习活动中取得成功，发现自己的长处，体验到成功的快乐与喜悦，增强自信。

二、要为孩子创造更多的机会交流。在语言领域目标中指出：“每天有足够的时间与幼儿交谈，谈论他们感兴趣的话题，询问和听取他们对自己事情的意见等。”家长要经常和孩子一起谈论他感兴趣的话题，坚持给他讲故事，一起看图书，并且也要注意培养孩子的倾听习惯。发现孩子不够认真时，要将说话相应放轻，语速放慢，让孩子不由静下心来细细地听，这样也较好地养成了他的倾听习惯。同时，在和孩子进行交流时，要注意说话的语气，灵活的结合情景使用丰富的语言，以便于孩子的理解。

三、要注重身边的教育。在社会领域解读中指出：“幼儿社会性是在日常生活和游戏中通过观察和模仿学习和发展起来的。成人应注重自己的言行对幼儿的潜移默化的影响。”生活领域的社会活动往往会出现这样的问题：家长说教得多，孩子往往被动地灌输一些社会性规则、意识或品质。社会活动取材应源于日常生活中的问题，如在社会活动“买水果”的过程中，孩子懂得使用礼貌用语，学习他人是如何与卖水果的人交流沟通的。对孩子来说也是一种现鲜活的教育。我们在教育儿童时，要用儿童的眼光去欣赏他们的作品，让孩子有创造的信心与兴趣，对培养孩子的创造力有很好的帮助作用。

我们在理论中学习知识，更重要的是在实践中发展自己。同时，也需要和有经验的教师不断地交流学习，在实践和反思的循环过程中，我们才能不断提高自己的专业能力，以促进幼儿更加全面的发展

为期三天的学前教育教师培训即将结束，在这次培训中，作为一个并非学前教育专业的我来讲，可以说是一次崭新的洗礼。这次培训从开班典礼开始，到学习幼儿园打击乐教学活动设计与组织、探究式教学教育活动设计与组织、张建伟的与幼儿教师谈营养与保健、王磊更是详细阐述了0-3婴幼儿早教机构运营模式及课程设计，最后是课例观摩，这些给了我很多专业上的收获。本次培训形式多样，内容丰富，主题明确，每位专家讲的都很细致，很专业，让我感到我我在学前教育这片领域知识的匮乏，激发了我强烈的探究欲望。

当一名教师容易，但是要当一名好的幼儿教师是不容易的。这次的培训学习使我收益良多。首先，培训方式轻松愉悦、人文贴心，教师参与性很强。之前参加过的许多培训理论性都很强，多见专家们在台上不停嘴地讲，老师们在台下不停手地记，之间的互动很少，这种方式的培训效果虽然会在当时给学员们一定的触动，但培训过后留给学员们的除了一本厚厚的笔记，很多理念都成了惘然，真正在实践中沉淀下来的却很少;而本次的培训主讲专家们都非常注重调动学员的积极性和参与性，整个过程是在与学员的充分互动中解惑、分析教学实践问题，尤其是打击乐教学活动，每位参加培训老师都参与到互动中。

其次，培训内容丰富详实，具有很强的实践性和指导性。本次为我们培训的全都是有着多年一线丰富教学实践经验的专家教授，他们在带给我们很多前沿理念的同时，分别从不同侧面把他们多年的工作实践进行了总结和提炼，把自己丰富的人生经验和宝贵的教学经验直接传授给我们用于实践，让我们少走了很多弯路，真是收益匪浅。

再次，我明确了在教育中，要尊重幼儿的主体地位，要给孩子足够的尊重和信任，应该根据各年龄段儿童在教育中存在的不同侧重点，实施相应的教育教学活动。我清楚地认识到教师应该做一个有心人，善于观察儿童的生活与学习，从孩子的生活中、兴趣中去发现孩子，引导孩子，教育孩子，我们不但要学会“教”，更应该学会反思、学会研究、学会做人。

最后，通过这次培训活动，我清楚了执教能力建设蕴含着丰富的内涵，它不仅包含教师的素养、教学能力、教学方式、还包含教师教书育人等多方面的能力。提高我们幼儿教师的执教能力不仅需要先进的理念，高超的技术，还需要对孩子全身心热爱，无私的关怀。我们会更积极地去实践教师职业道德规范，迅速提高自身的思想道德素质;明确在教育过程中应该以什么样的职业道德思想、情感、态度、作为和作风去待人接物、处理问题，做好工作，为家长服务。我们也明白了良好的师德是教师敬业爱岗、无私奉献的内在动力，是挖掘教师潜能的不竭源泉。我们愿意做儿童世界的守护者!

注：框架可以用word菜单中的 “视图/文档结构图” 看到

j2ee模式

value object(值对象) 用于把数据从某个对象/层传递到其他对象/层的任意java对象。

通常不包含任何业务方法。

也许设计有公共属性，或者提供可以获取属性值的get方法。

jsp

1.jsp的基础知识

__

_____ | directive (指令)

| |-- scripting (脚本)

jsp -------| |__ action (动作)

|

|_____template data ：除jsp语法外，jsp引擎不能解读的东西

1)在jsp中使用的directive(指令)主要有三个：

a) page指令

b) include指令

c) taglib指令

在jsp的任何地方，以任何顺序，一个页面可以包含任意数量的page指令

2)scripting(脚本)包括三种类型

a) ;

b) ;

c) ;

3)action(动作)

标准的动作类型有：

a) ;

b) ;

d) ;

e) ;

f) ;

g) ;

h) ; 日记日记300字

1. 注释： ;

;

2. ;

session可以不赋值，默认为true,如果session=”false”,则在jsp页面中，隐含的变量session就不能使用。

3. 请求控制器结构(request controller)

也被称之为jsp model 2 architecture

这种途径涉及到使用一个servlet或一个jsp作为一个应用程序或一组页面的入口点。

为创建可维护的jsp系统，request controller是最有用的方式之一。

不是jsp，而是java类才是放置控制逻辑的正确的地方。

请求控制器的命名模式为: controller.jsp

请求控制器类的命名模式为: requestcontroller

2.jsp中的javabean

jsp三种bean的类型

1) 页面bean

2) 会话bean

3) 应用bean

大多数的系统会使用一个会话bean来保持状态，而对每一个页面使用一个页面bean 来对复杂的数据进行表示。

页面bean是一个模型，而jsp是一个视图。

3.custom tag

bean是信息的携带者，

而tag更适用于处理信息。

标记库包含一个标记库描述符(tld)和用于实现custom tag的java类

在翻译阶段，jsp容器将使用tld来验证页面中的所有的tag是否都被正确的使用。

标记处理程序只是一个简单的适配器，而真正的逻辑是在另一个类中实现的，标记处理程序只是提供了一个供其他的可复用的类的jsp接口

servlet

1.servletconfig

 一个servletconfig对象是servlet container在servlet initialization的时候传递给servlet的。

servletconfig包涵 servletcontext 和 一些 name/value pair (来自于deployment descriptor)

 servletcontext接口封装了web应用程序的上下文概念。

2.会话跟踪

1) session

 当一个client请求多个servlets时，一个session可以被多个servlet共享。

 通常情况下，如果server detect到browser支持cookie，那么url就不会重写。

2) cookie

 在java servlet中，如果你光 cookie cookie = new cookie(name,value)

那么当用户退出browser时，cookie会被删除掉，而不会被存储在客户端的硬盘上。

如果要存储 cookie，需加一句 cookie.setmaxage(200)

 cookie是跟某一个server相关的，运行在同一个server上的servlet共享一个cookie.

3) url rewriting

在使用url rewriting来维护session id的时候，每一次http请求都需要encodeurl

典型的用在两个地方

1) out.print(“form action=” ”);

out.print(response.encodeurl(“sessionexample”));

out.print(“form action=” ”);

out.print(“method = get>;”);

2) out.print(“

;

out.print(response.encodeurl(“sessionexample?database=foo&datavalue=bar”));

out.println(“” >;url encoded ;”);

3.singlethreadmodel

默认的，每一个servlet definition in a container只有一个servlet class的实例。

只有实现了singlethreadmodel，container才会让servlet有多个实例。

servlet specification上建议，不要使用synchronized，而使用singlethreadmodel。

singlethreadmodel(没有方法)

保证servlet在同一时刻只处理一个客户的请求。

singlethreadmodel是耗费资源的，特别是当有大量的请求发送给servlet时，singlethreadmodel的作用是使包容器以同步时钟的方式调用service方法。

这等同于在servlet的service方法种使用synchronized.

single thread model一般使用在需要响应一个heavy request的时候，比如是一个需要和数据库打交道的连接。

2. 在重载servlet地init( )方法后，一定要记得调用super.init( );

3. the client通过发送一个blank line表示它已经结束request

而the server通过关闭the socket来表示response已结束了。

4. 一个http servlet可以送三种东西给client

1) a single status code

2) any number of http headers

3) a response body

5. servlet之间信息共享的一个最简单的方法就是

system.getproperties.put(“key”,”value”);

6. post和get

post：将form内各字段名称和内容放置在html header内传送给server

get: ?之后的查询字符串要使用urlencode，经过urlencode后，这个字符串不再带有空格，以后将在server上恢复所带有的空格。

get是web上最经常使用的一种请求方法，每个超链接都使用这种方法。

7. web.xml就是web applicatin 的deployment descriptor

作用有：组织各类元素

设置init param

设置安全性

8. request dispatcher用来把接收到的request forward processing到另一个servlet

要在一个response里包含另一个servlet的output时，也要用到request dispatcher.

9. servlet和jsp在同一个jvm中，可以通过serveltcontext的

setattribute( )

getattribute( )

removeattribute( )

来共享对象

10. 利用request.getparameter( )得到的string存在字符集问题。

可以用 strtitle = request.getparameter(“title”);

strtitle = new string(strtitle.getbytes(“8859-1”),”gb2312”);

如果你希望得到更大得兼容性

string encoding = response.getcharacterencoding;

//确定application server用什么编码来读取输入的。

strtitle = new string(strtitle.getbytes(encoding),”gb2312”);

xml

1.xml基础知识

1. 一个xml文档可以分成两个基本部分：

首部( header )

内容( content )

2. xml名字空间规范中指定：

xml文档中的每一个元素都处在一个名字空间中;如果没有指定的名字空间，缺省的名字空间就是和该元素相关联的名字空间。

3. a document that is well-formed obeys all of the rules of xml documents (nested tags, etc.)

" if a well-formed document uses a document type definition (more on these in a minute), and it follows all the rules of the dtd, then it is also a valid document

4. a tag is the text between the ;

" an element is the start tag, the end tag,and everything (including other elements) in between

5. 标签( tags ) 实际上包含了“元素”( elements ) 和 “属性”( attributes )两部分。

用元素( elements )来描述有规律的数据。

用属性( attributes ) 来描述系统数据。

如果你有一些数据要提供给某个应用程序，该数据就可能要用到一个元素。

如果该数据用于分类，或者用于告知应用程序如何处理某部分数据，或者该数据从来没有直接对客户程序公开，那么它就可能成为一种属性。

6. cdata (读作：c data ) c是character的缩写。

.xml.sax.reader

/|

org.xm.l.sax.xmlreader

/|

org.apche.xerces.parsers.saxparser

2.webservice

2.1 webservice的基本概念

webservice是一种可以接收从internet或者intranet上的其它系统中传递过来的请求，轻量级的独立的通讯技术。

这种技术允许网络上的所有系统进行交互。随着技术的发展，一个web服务可以包含额外的指定功能并且可以在多个b2b应用中协作通讯。

web服务可以理解请求中上下文的关系，并且在每一个特定的情况下产生动态的结果。这些服务会根据用户的身份，地点以及产生请求的原因来改变不同的处理，用以产生一个唯一的，定制的方案。这种协作机制对那些只对最终结果有兴趣的用户来说，是完全透明的。

uddi

在用户能够调用web服务之前，必须确定这个服务内包含哪些商务方法，找到被调用的接口定义，还要在服务端来编制软件。所以，我们需要一种方法来发布我们的web服务。

uddi (universal description, discovery, and integration) 是一个主要针对web服务供应商和使用者的新项目。uddi 项目中的成员可以通过uddi business registry (ubr) 来操作web服务的调用，ubr是一个全球性的服务。

web服务供应商可以在ubr中描述并且注册他们的服务。

用户可以在ubr中查找并定位那些他们需要的服务。

uddi是一种根据描述文档来引导系统查找相应服务的机制。

uddi包含标准的“白皮书”类型的商业查询方式，

“黄皮书”类型的局部查找，以及

“绿皮书”类型的服务类型查找。

uddi利用soap消息机制(标准的xml/http)来发布，编辑，浏览以及查找注册信息。它采用xml格式来封装各种不同类型的数据，并且发送到注册中心或者由注册中心来返回需要的数据。

wsdl

对于商业用户来说，要找到一个自己需要使用的服务，他必须知道如何来调用。

wsdl (web services description language) 规范是一个描述接口，语义以及web服务为了响应请求需要经常处理的工作的xml文档。这将使简单地服务方便，快速地被描述和记录。

以下是一个wsdl的样例：

targetnamespace=""

xmlns:tns="" (5)(6)(7)(8)(9)(10)(11)(12)(13)(14)(15)

xmlns:xsd1=""

xmlns:soap=";

xmlns=";>;

xmlns=";>;

type="tns:stockquoteporttype">;

transport=";/>;

soapaction=""/>;

;my first service;

它包含了以下的关键信息：

消息的描述和格式定义可以通过xml文档中的;和; 标记来传送。

; 标记中表示了消息传送机制。 (e.g. request-only, request-response, response-only) 。

; 标记指定了编码的规范 。

; 标记中表示服务所处的位置 (url)。

wsdl在uddi中总是作为一个接口描述文档。因为uddi是一个通用的用来注册wsdl规范的地方，uddi的规范并不限制任何类型或者格式描述文档。这些文档可能是一个wsdl文档，或者是一个正规的包含导向文档的web页面，也可能只是一个包含联系信息的电子邮件地址。

现在java提供了一个 java api for wsdl (jwsdl)规范。它提供了一套能快速处理wsdl文档的方法，并且不用直接对xml文档进行操作，它会比jaxp更方便，更快速。

soap

当商业用户通过uddi找到你的wsdl描述文档后，他通过可以simple object access protocol (soap) 调用你建立的web服务中的一个或多个操作。

soap是xml文档形式的调用商业方法的规范，它可以支持不同的底层接口，象http(s)或者smtp。

之所以使用xml是因为它的独立于编程语言，良好的可扩展性以及强大的工业支持。之所以使用http是因为几乎所有的网络系统都可以用这种协议来通信，由于它是一种简单协议，所以可以与任何系统结合，还有一个原因就是它可以利用80端口来穿越过防火墙。

soap的强大是因为它简单。soap是一种轻量级的，非常容易理解的技术，并且很容易实现。它有工业支持，可以从各主要的电子商务平台供应商那里获得。

从技术角度来看，soap详细指明了如何响应不同的请求以及如何对参数编码。一个soap封装了可选的头信息和正文，并且通常使用http post方法来传送到一个http 服务器，当然其他方法也是可以的，例如smtp。soap同时支持消息传送和远程过程调用。以下是一个soap请求。

post /stockquote http/1.1

host: www.stockquoteserver

content-type: text/xml; charset="utf-8"

content-length: nnnn

soapaction: "some-uri"

xmlns:soap-env=";

〖5〗〖6〗〖7〗〖8〗〖9〗〖10〗〖11〗〖12〗〖13〗〖14〗〖15〗

soap-env:encodingstyle=";/>;

;sunw;

jaxr

为了支持uddi在java平台上的功能，java apis for xml registries (jaxr)允许开发者来访问注册中心。

值得注意的是，jaxr并不是建立web服务必需的，你可以利用其他常用的xml apis来直接集成这些协议。

jaxr是一个方便的api，它提供了java api来发布，查找以及编辑那些注册信息。它的重点在于基于xml的b2b应用，复杂的地址本查找以及对xml消息订阅的支持等web服务。

它也可以用来访问其他类型的注册中心，象ebxml注册中心。

这些对web服务的注册信息进行的操作，可以使用当前的一些web服务工具来完成(例如第三方的soap和ebxml消息工具)。另外，当jaxp提供了一致并具有针对性的api来完成这些操作，这将使开发变得更加容易。

jax/rpc

为了使开发人员专注于建立象soap那样的基于xml的请求，jcp正在开发基于rpc (jax/rpc) 的java api。jax/rpc是用来发送和接收方法调用请求的，它基于xml协议，象soap，或者其他的象xmlp (xml protocol，要了解更多可以参考)。jax/rpc使你不用再关注这些协议的规范，使应用的开发更快速。不久，开发人员就不用直接以xml表示方法调用了。

目前有很多第三方实现了soap，开发人员可以在不同的层次上调用soap，并选择使用哪一种。将来，jax/rpc会取代这些apis并提供一个统一的接口来构造以及处理soap rpc请求。

在接收一个从商业伙伴那里过来的soap请求的时候，一个java servlet用jax/rpc来接收这个基于xml的请求。一旦接收到请求后，servlet会调用商务方法，并且把结果回复给商业伙伴。

jaxm

当从商业合作伙伴那里接收一个web服务的请求时，我们需要java api实现一个servlet来处理ebxml消息，就象我们用jax/rpc来处理soap请求一样。

java api for xml messaging (jaxm) 是集成xml消息标准(象ebxml消息或者soap消息)的规范。

这个api是用来推动xml消息处理的，它检测那些预定单的消息格式以及约束。它控制了所有的消息封装机制，用一种直观的方式分割了消息中的信息，象路由信息，发货单。这样，开发人员只要关注消息的有效负载，而不用去担心那些消息的重复处理。

目前的开发人员用jaxp来实现jaxm将要提供的功能，jaxm将会提供一套非常具有针对性的api来处理基于xml的消息传送。这将大大简化开发人员的代码，并使它们具有统一的接口。

jaxm和jax/rpc的差别在于处理消息导向的中间件以及远程过程调用的不同。jaxm注重于消息导向，而jax/rpc是用来完成远程过程调用的。以下是图解。

请注意，在jaxm 和 jax/rpc技术成熟之前，开发人员还是依赖于第三方的soap apis，象apache soap, idooxoap, 以及 glue。当jaxm 和 jax/rpc正式发布后，它将为当前不同的soap和ebxml消息提供统一的接口。就象jdbc位多种不同的数据库提供统一的接口。

jaxb

xml绑定技术可以把xml文档和java对象进行自由转换。

用jaxb，你可以在后台的ejb层，把xml文档转换成java对象。同样你也可以把从ejb中取出的java对象转换成xml文档返回给用户。

jaxb接口提供了比sax和dom更高级的方法来处理xml文档。它提供的特性可以在xml数据和java类之间互相映射，提供了一个简单的方法来转换xml数据。它比逐个解析标记更简单。

2.2 建立weservice的步骤

在建立weservice的时候，有三个主要步骤：

1.建立客户端联接

为了允许applets，applications，商业合作伙伴，浏览器和pdas 使用web服务。

2.实现web服务

包括工作流，数据传送，商业逻辑以及数据访问。这些功能是隐藏在web服务后，并且为客户端工作的。

3.联接后台系统

这个系统可能包括一个或多个数据库，现存的企业信息系统，商业合作伙伴自己的系统或者web服务，以及在多个系统中共享的数据。

基于j2ee的web服务的核心构架：

rmi

1. rmi-iiop

2. rmi 是在java中使用remote method invocation的最初的方法，rmi使用java.rmi包

rmi-iiop 是rmi的一个特殊版本，rmi-iiop可以和corba兼容，rmi-iiop使用java.rmi包和javax.rmi

jaf(java活动构架)

开发者可以使用jaf来决定任意一块数据的类型、封装对数据的访问、寻找合适的操作、实例化相关的bean来执行这些操作等。

例如，javamail就是使用jaf根据mime类型来决定实例化那一个对象。

ejb

1. ejb组件实现代码的限制

ejb组件的约束

ejb的开发者并不需要在ejb的组件实现代码中编写系统级的服务，ejb提供商/开发

者需知道并且严格地遵守一些限制，这些限制与开发稳定的和可移植的ejb组件的利益有

关。

以下是你应该回避使用的一些java特色，并且在你的ejb组件的实现代码中要严格限

制它们的使用：

1.使用static，非final 字段。建议你在ejb组件中把所有的static字段都声明为final型的。这样可以保证前后一致的运行期语义，使得ejb容器有可以在多个java虚拟机之间分发组件实例的灵活性。

2.使用线程同步原语来同步多个组件实例的运行。避免这个问题，你就可以使ejb容器灵活的在多个java虚拟机之间分发组件实例。

3.使用awt函数完成键盘的输入和显示输出。约束它的原因是服务器方的商业组件意味着提供商业功能而不包括用户界面和键盘的i/o功能。

4.使用文件访问/java.io 操作。ejb商业组件意味着使用资源管理器如jdbc来存储和检索数据而不是使用文件系统api。同时，部署工具提供了在部署描述器(descriptor)中存储环境实体，以至于ejb组件可以通过环境命名上下文用一种标准的方法进行环境实体查询。所以，使用文件系统的需求基本上是被排除了。

5.监听和接收socket连接，或者用socket进行多路发送。ejb组件并不意味着提供网络socket服务器功能，但是，这个体系结构使得ejb组件可以作为socket客户或是rmi客户并且可以和容器所管理的环境外面的代码进行通讯。

6.使用映象api查询ejb组件由于安全规则所不能访问的类。这个约束加强了java平台的安全性。

7.欲创建或获得一个类的加载器，设置或创建一个新的安全管理器，停止java虚拟机，改变输入、输出和出错流。这个约束加强了安全性同时保留了ejb容器管理运行环境的能力。

8.设置socket工厂被urls serversocket,socket和stream handler使用。避免这个特点，可以加强安全性同时保留了ejb容器管理运行环境的能力。

9.使用任何方法启动、停止和管理线程。这个约束消除了与ejb容器管理死锁、线程

和并发问题的责任相冲突的可能性。

通过限制使用10-16几个特点，你的目标是堵上一个潜在的安全漏洞：

10.直接读写文件描述符。

11.为一段特定的代码获得安全策略信息。

12.加载原始的类库。

13.访问java一般角色所不能访问的包和类。

14.在包中定义一个类。

15.访问或修改安全配置对象(策略、安全、提供者、签名者和实体)。

16.使用java序列化特点中的细分类和对象替代。

17.传递this引用指针作为一个参数或者作为返回值返回this引用指针。你必须使用

sessioncontext或entitycontext中的getejbobject的结果。

java2平台的安全策略

以上所列的特点事实上正是java编程语言和java2标准版中的标准的、强有力的特色。ejb容器允许从j2se中使用一些或全部的受限制的特色，尽管对于ejb组件是不可用的，但需通过j2se的安全机制来使用而不是通过直接使用j2se的api。

java2平台为ejb1.1规范中的ejb容器所制定的安全策略定义了安全许可集，这些许可在ejb组件的编程限制中出现。通过这个策略，定义了一些许可诸如：java.io.filepermission,.netpermission,java.io.reflect.reflectpermission,java.lang.security.securitypermission,以便加强先前所列出的编程限制。

许多ejb容器没有加强这些限制，他们希望ejb组件开发者能遵守这些编程限制或者是带有冒险想法违背了这些限制。违背这些限制的ejb组件，比标准方法依赖过多或过少的安全许可，都将很少能在多个ejb容器间移植。另外，代码中都将隐藏着一些不确定的、难以预测的问题。所有这些都足以使ejb组件开发者应该知道这些编程限制，同时也应该认真地遵守它们。

任何违背了这些编程限制的ejb组件的实现代码在编译时都不能检查出来，因为这些特点都是java语言和j2se中不可缺少的部分。

对于ejb组件的这些限制同样适用于ejb组件所使用的帮助/访问(helper/access)类，j2ee应用程序使用java文档(jar)文件格式打包到一个带.ear(代表enterprise archive)扩展名的文件中，这个ear文件对于发送给文件部署器来说是标准的格式。ear文件中包括在一个或多个ejb-jar文件中的ejb组件，还可能有ejb-jar所依赖的库文件。所有ear文件中的代码都是经过深思熟虑开发的应用程序并且都遵守编程限制和访问许可集。

未来版本的规范可能会指定通过部署工具来定制安全许可的能力，通过这种方法指定了一个合法的组件应授予的许可权限，也指定了一个标准方法的需求：如从文件系统中读文件应有哪些要求。一些ejb容器/服务器目前在它们的部署工具中都提供了比标准权限或多或少的许可权限，这些并不是ejb1.1规范中所需要的。

理解这些约束

ejb容器是ejb组件生存和执行的运行期环境，ejb容器为ejb组件实例提供了一些服务如：事务管理、安全持久化、资源访问、客户端连接。ejb容器也负责ejb组件实例整个生命期的管理、扩展问题以及并发处理。所以，ejb组件就这样寄居在一个被管理的执行环境中--即ejb容器。

因为ejb容器完全负责ejb组件的生命期、并发处理、资源访问、安全等等，所以与容器本身的锁定和并发管理相冲突的可能性就需要消除，许多限制都需要使用来填上潜在的安全漏洞。除了与ejb容器责任与安全冲突的问题，ejb组件还意味着仅仅聚焦于商务逻辑，它依赖于ejb容器所提供的服务而不是自己来直接解决底层的系统层的问题。 3 4 5 6 7 8 9 10 11 12 13 14 15

可能的问题

通常，ejb组件在容器之间的移植不可避免地与如下问题相关：

1.它需要依靠的受限制的特点在特定ejb容器中没有得到加强。

2.它需要依靠的非标准的服务从容器中可获得。

为了保证ejb组件的可移植性和一致的行为，你应该使用一个具有与java2平台安全

策略集相一致的策略集的容器来测试ejb组件，并且其加强了前述的编程限制。

总结

ejb组件开发者应该知道这些推荐的关于ejb组件的编程限制，明白它们的重要性，并且从组件的稳定性和可移植性利益方面考虑来遵循它们。因为这些编程限制能阻止你使用标准的java语言的特点，违背了这些编程限制在编译时不会知道，并且加强这些限制也不是ejb容器的责任。所有这些原因都使你应很小心地遵守这些编程限制，这些限制在组件的合同中已经成为了一个条款，并且它们对于建造可靠的、可移植的组件是非常重要的。

2. 优化ejb

entity bean为在应用程序和设计中描述持久化商业对象(persistent business objec ts)提供了一个清晰的模型。在java对象模型中，简单对象通常都是以一种简单的方式进行处理但是，很多商业对象所需要的事务化的持久性管理没有得到实现。entity bean将持久化机制封装在容器提供的服务里，并且隐藏了所有的复杂性。entity bean允许应用程序操纵他们就像处理一个一般的java对象应用。除了从调用代码中隐藏持久化的形式和机制外，entity bean还允许ejb容器对对象的持久化进行优化，保证数据存储具有开放性，灵活性，以及可部署性。在一些基于ejb技术的项目中，广泛的使用oo技术导致了对entity bean的大量使用，sun的工程师们已经积累了很多使用entity bean的经验，这篇文章就详细阐述的这些卡发经验：

*探索各种优化方法

*提供性能优化和提高适用性的法则和建议

*讨论如何避免一些教训。

法则1：只要可以，尽量使用cmp

cmp方式不仅减少了编码的工作量，而且在container中以及container产生的数据库访问代码中包括了许多优化的可能。container可以访问内存缓冲中的bean,这就允许它可以监视缓冲中的任何变化。这样的话就在事物没有提交之前，如果缓存的数据没有变化就不用写到数据库中。就可以避免许多不必要的数据库写操作。另外一个优化是在调用find方法的时候。通常情况下find方法需要进行以下数据库操作：

查找数据库中的纪录并且获得主键

将纪录数据装入缓存

cmp允许将这两步操作优化为一步就可以搞定。[具体怎么做我也没弄明白，原文没有具体阐述]

法则2：写代码时尽量保证对bmp和cmp都支持

许多情况下，ejb的开发者可能无法控制他们写的bean怎么样被部署，以及使用的container是不是支持cmp.

一个有效的解决方案是，将商业逻辑的编码完全和持久化机制分离。再cmp类中实现商业逻辑，然后再编写一个bmp类，用该类继承cmp类。这样的话，所有的商业逻辑都在cmp类中，而持久化机制在bmp中实现。[我觉得这种情况在实际工作中很少遇到，但是作者解决问题的思路值得学习]

法则3：把ejbstore中的数据库访问减小到最少。

如果使用bmp,设置一个缓存数据改变标志dirty非常有用。所有改变数据库中底层数据的操作，都要设置dirty,而在ejbstore中，首先检测dirty的值，如果dirty的值没有改变，表明目前数据库中的数据与缓存的一致，就不必进行数据库操作了，反之，就要把缓存数据写入数据库。

法则4：总是将从lookup和find中获得的引用进行缓存。(cache)

引用缓存对session bean和entity bean 都是适用的。

通过jndi lookup获得ejb资源。比如datasource,bean的引用等等都要付出相当大的代价。因此应该避免多余的lookup.可以这样做：

将这些引用定义为实例变量。

从setentitycontext(session bean使用setsessioncontext)方法查找他们。setentitycontext方法对于一个bean实例只执行一次，所有的相关引用都在这一次中进行查找，这样查找的代价就不是那么昂贵了。应该避免在其他方法中查找引用。尤其是访问数据库的方法：ejbload和ejbstore,如果在这些频繁调用的方法中进行datasource的查找，势必造成时间的浪费。

调用其他entity bean的finder方法也是一种重量级的调用。多次调用finder方法的代价非常高。如果这种引用不适合放在setentitycontext这样的初始化时执行的方法中执行，就应该在适当的时候缓存finder的执行结果。只是要注意的是，如果这个引用只对当前的entity有效，你就需要在bean从缓冲池中取出来代表另外一个实体时清除掉这些引用。，这些操作应该在ejbactivate中进行。

法则5:总是使用prepare statements

这条优化法则适用于所有访问关系数据库的操作。

数据库在处理每一个sql statement的时候，执行前都要对statement进行编译。一些数据库具有缓存statement和statement的编译后形式的功能。数据库可以把新的statement和缓存中的进行匹配。然而，如果要使用这一优化特性，新的statement要必须和缓存中的statement完全匹配。

对于non-prepared statement,数据和statement本身作为一个字符串传递，这样由于前后调用的数据不同而不能匹配，就导致无法使用这种优化。而对于prepared statement,数据和statement是分开传递给数据库的，这样statement就可以和cache中已编译的statement进行匹配。statement就不必每次都进行编译操作。从而使用该优化属性。

【5】【6】【7】【8】【9】【10】【11】【12】【13】【14】【15】

这项技术在一些小型的数据库访问中能够减少statement将近90%的执行时间。

法则6：完全关闭所有的statement

在编写bmp的数据库访问代码时，记住一定要在数据库访问调用之后关闭statement,因为每个打开的statement对应于数据库中的一个打开的游标。

security

1.加密

对称加密

(1)分组密码

(2)流密码

常用的对称加密算法：

des和tripledes

blowfish

rc4

aes

非对称加密

常用的非对称加密算法

rsa

elgamal

会话密钥加密(对称加密和非对称加密一起使用)

常用的会话密钥加密协议

s/mime

pgp

ssl和tls ssl是在application level protocal和transport protocal之间的。

比如：http和tcp/ip之间

ssl 提供了服务器端认证和可选的客户端认证，保密性和数据完整性。

提供基于ssl方式的传输加密和认证，确保以下三种安全防护：

数据的机密性和准确性、

服务器端认证

客户端认证。

客户端认证比服务器端认证不很普遍的原因是每一个要被认证的客户都必须有一张verisign这样的ca签发的证书。

通常，在进行身份认证的时候，应当只接受一个ca，这个ca的名字包含在客户证书中。

由于不可能随意创建一个由指定ca签发的证书，所以这可以有效的防御通过伪造证书来进行的攻击尝试。

2.认证(authentication)

认证就是确定一条消息或一个用户的可靠性的过程。

1.消息摘要

md5

sha和sha-1

2.消息认证码(message authientication codes,mac)

3.数字签名

用户可以用自己的密钥对信息加以处理，由于密钥仅为本人所有，这样就产生了别人无法生成的文件，也就形成了数字签名

数字签名可以

1)保证数据的完整性

2)验证用户的身份

数字签名采用一个人的私钥计算出来，然后用公钥去检验。

hash算法 私钥加密

原报文 ――――――>;报文摘要( message digest ) ―――――>;数字签名

原报文和数字签名一起被发送到接受者那里，接受者用同样的hash算法得到报文摘要，然后用发送者的公钥解开数字签名。

比较是否相同，则可以确定报文确定来自发送者。

验证数字签名必须使用公钥，但是，除非你是通过安全的方式直接得到，否则不能保证公钥的正确性。(数字证书可以解决这个问题)

一个接受者在使用公钥(public key)检查数字签名(digital signature)的可信度时，通常先要检查收到的公钥(public key)是否可信的。

因此发送方不是单单地发送公钥(public key)，而是发送一个包含公钥(public key)的数字证书(cetificate )。

4.数字证书

数字证书是一个经证书授权中心数字签名的包含公开密钥所有者信息以及公开密钥的文件。

数字证书cetificate中包括：

i. 用户的公钥(public key)

ii. 用户的一些信息，如姓名，email

iii. 发行机构的数字签名(digital signature)， 用于保证证书的可信度

iv. 发行机构的一些信息

数字证书的格式遵循x.509国际标准。

注意：一个数字证书certificate并不适用于多种browser,甚至一种browser的多个版本。

数字标识由公用密钥、私人密钥和数字签名三部分组成。

当在邮件中添加数字签名时，您就把数字签名和公用密钥加入到邮件中。数字签名和公用密钥统称为证书。您可以使用 outlook express 来指定他人向您发送加密邮件时所需使用的证书。这个证书可以不同于您的签名证书。

收件人可以使用您的数字签名来验证您的身份，并可使用公用密钥给您发送加密邮件，这些邮件必须用您的私人密钥才能阅读。

要发送加密邮件，您的通讯簿必须包含收件人的数字标识。这样，您就可以使用他们的公用密钥来加密邮件了。当收件人收到加密邮件后，用他们的私人密钥来对邮件进行解密才能阅读。

在能够发送带有数字签名的邮件之前，您必须获得数字标识。如果您正在发送加密邮件，您的通讯簿中必须包含每位收件人的数字标识。

数字证书，可以是个人证书或 web 站点证书，用于将身份与"公开密钥"关联。只有证书的所有者才知道允许所有者"解密"或进行"数字签名"的相应"私人密钥"。当您将自己的证书发送给其他人时，实际上发给他们的是您的公开密钥，这样他们就可以向您发送只能由您使用私人密钥解密和读取的加密信息。

通过浏览器使用数字证书，必须先要设置浏览器软件 internet explorer 或 netscape使用此证书，才能开始发送加密或需要数字签名的信息。访问安全的 web 站点(以"https"打头的站点)时，该站点将自动向您发送他们的web站点证书。

3.ca(证书授证中心)

ca机构，又称为证书授证(certificate authority)中心，作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任。ca中心为每个使用公开密钥的用户发放一个数字证书，数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。ca机构的数字签名使得攻击者不能伪造和篡改证书。在set交易中，ca不仅对持卡人、商户发放证书，还要对获款的银行、网关发放证书。它负责产生、分配并管理所有参与网上交易的个体所需的数字证书，因此是安全电子交易的核心环节。

〖5〗〖6〗〖7〗〖8〗〖9〗〖10〗〖11〗〖12〗〖13〗〖14〗〖15〗

对证书的信任基于对根证书的信任. 例如在申请sheca的个人数字证书前，需要先下载根证书，然后再进行各类证书的申请。

下载根证书的目的：

网络服务器验证(s);安全电子邮件(e)

申请个人数字证书可以为internet用户提供发送电子邮件的安全和访问需要安全连接(需要客户证书)的站点。

1)个人数字证书

a.个人身份证书

个人身份证书是用来表明和验证个人在网络上的身份的证书，它确保了网上交易和作业的安全性和可靠性。可应用于：网上炒股、网上理财、网上保险、网上缴费、网上购物、网上办公等等。个人身份证书可以存储在软盘或ic卡中。

b.个人安全电子邮件证书

个人安全电子邮件证书可以确保邮件的真实性和保密性。申请后一般是安装在用户的浏览器里。用户可以利用它来发送签名或加密的电子邮件。

用户在申请安装完安全安全电子邮件数字证书后，就可以对要发送的邮件进行数字签名。收信人收到该邮件后，就可以看到数字签名的标记，这样就可以证明邮件肯定来自发信者本人，而不是别人盗用该帐号伪造信件，同时也保证该邮件在传送过程中没被他人篡改过任何数据。

安全电子邮件中使用的数字证书可以实现：

保密性 通过使用收件人的数字证书对电子邮件加密。如此以来，只有收件人才能阅读加密的邮件，在internet上传递的电子邮件信息不会被人窃取，即使发错邮件，收件人也无法看到邮件内容。

认证身份 在internet上传递电子邮件的双方互相不能见面，所以必须有方法确定对方的身份。利用发件人数字证书在传送前对电子邮件进行数字签名即可确定发件人身份，而不是他人冒充的。

完整性 利用发件人数字证书在传送前对电子邮件进行数字签名不仅可确定发件人身份，而且传递的电子邮件信息也不能被人在传输过程中修改。

不可否认性 由于发件人的数字证书只有发件人唯一拥有，故发件人利用其数字证书在传送前对电子邮件进行数字签名，发件人就无法否认发过这个电子邮件。

outlook express中的个人安全电子邮件证书

签名邮件带有签名邮件图标。

签名邮件可能出现的任何问题都将在本信息之后可能出现的“安全警告”中得到描述。如果存在问题，您应该认为邮件已被篡改，或并非来自所谓的发件人。

当收到一封加密邮件时，您应该可以自信地认为邮件未被任何第三者读过。outlook express 会自动对电子邮件解密， 如果在您的计算机上装有正确的数字标识。

2)企业数字证书

a.企业身份证书

企业身份证书是用来表明和验证企业用户在网络上身份的证书，它确保了企业网上交易和作业的安全性和可靠性。可应用于：网上证券、网上办公、网上交税、网上采购、网上资金转帐、网上银行等。企业身份证书可以存储在软盘和ic卡中。

b.企业安全电子邮件证书

企业安全电子邮件证书可以确保邮件的真实性和保密性。申请后一般是安装在用户的浏览器里。企业可以利用它来发送签名或加密的电子邮件。

可使用 windows 中的证书服务来创建证书颁发机构 (ca)，它负责接收证书申请、验证申请中的信息和申请者的身份、颁发证书、吊销证书以及发布证书吊销列表 (crl)。

通常，当用户发出证书申请时，在其计算机上的加密服务提供程序 (csp) 为用户生成公钥和私钥对。用户的公钥随同必要的识别信息发送至 ca。如果用户的识别信息符合批准申请的 ca 标准，那么 ca 将生成证书，该证书由客户应用程序检索并就地存储。

4.set

安全接口层协议——ssl(se cure socketslayer)，并且已经几乎成为了目前www 世界的事实标准。这一标准使用公共密钥编码方案来对传输数据进行加密，在双方之间建立一个internet 上的加密通道，从而使第三方无法获得其中的信息，其思路与目前流行的方案大致相同，目的都是要保护数据不被未经授权的第三方所窃听，或即使窃听到也不知所云。但就象 一样，ssl 在认证方面没有任何作为，它们都需要通过另外的手段来确认身份和建立双方彼此间的信任，然后再通过ssl 进行交易。

正是由于ssl 标准在认证方面的缺憾，所以set 才有存在的必要。set(secure electronic transactions) 规范由masterc ard 和visa 公司于1996 年发布，专家们认为set 是保证用户与商家在电子商务与在线交易中免受欺骗的重要手段。传统的信用卡交易者总在担心不诚实的店员会将自己的信用卡号码透露给他人，而在线交易也是如此，持卡者总在担心服务器端的管理员会将信用卡号码泄露出去，或者担心黑客会在管理员不知情的情况下盗取信用卡号码。事实上这些担心都是必要的，而set 标准则可以保证用户的信用卡号码只传送给信用卡公司进行认证，不会被系统管理员看到，也不会留在交易服务器的硬盘上给黑客以可乘之机。

5.pki

pki是一种易于管理的、集中化的网络安全方案。它可支持多种形式的数字认证: 数据加密、数字签字、不可否认、身份鉴别、密钥管理以及交叉认证等。pki可通过一个基于认证的框架处理所有的数据加密和数字签字工作。p ki标准与协议的开发迄今已有20xx年的历史,目前的pki已完全可以向企业网络提供有效的安全保障。 〖5〗〖6〗〖7〗〖8〗〖9〗〖10〗〖11〗〖12〗〖13〗〖14〗〖15〗

pki是一种遵循标准的密钥管理平台,它能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理。pki必须具有

1)ca、

2)证书库、

3)密钥备份及恢复系统、

4)证书作废处理系统、

5)客户端证书处理系统

等基本成分,构建pki也将围绕着这五大系统来构建

一个pki由众多部件组成,这些部件共同完成两个主要功能:

1)为数据加密

2)创建数字认证。

服务器(即后端)产品是这一系统的核心,这些数据库管理着数字认证、公共密钥及专用密钥( 分别用于数据的加密和解密)。

ca数据库负责发布、废除和修改x.509数字认证信息,它装有用户的公共密钥、证书有效期以及认证功能(例如对数据的加密或对数字签字的验证) 。为了防止对数据签字的篡改,ca在把每一数字签字发送给发出请求的客户机之前,需对每一个数字签字进行认证。一旦数字认证得以创建, 它将会被自动存储于x.500目录中,x.500目录为树形结构。ldap(lightweight directory access protocol)协议将响应那些要求提交所存储的公共密钥认证的请求。ca为每一用户或服务器生成两对独立的公共和专用密钥。其中一对用于信息的加密和解密, 另一对由客户机应用程序使用,用于文档或信息传输中数字签字的创建。

大多数pki均支持证书分布,这是一个把已发布过的或续延生命期的证书加以存储的过程。这一过程使用了一个公共查询机制,x.500目录可自动完成这一存储过程。影响企业普遍接受p ki的一大障碍是不同ca之间的交叉认证。假设有两家公司,每一家企业分别使用来自不同供应商的ca,现在它们希望相互托管一段时间。如果其后援数据库支持交叉认证, 则这两家企业显然可以互相托管它们的ca,因而它们所托管的所有用户均可由两家企业的ca所托管。

* 认证机关

ca是证书的签发机构,它是pki的核心。众所周知,构建密码服务系统的核心内容是如何实现密钥管理,公钥体制涉及到一对密钥,即私钥和公钥, 私钥只由持有者秘密掌握,无须在网上传送,而公钥是公开的,需要在网上传送,故公钥体制的密钥管理主要是公钥的管理问题,目前较好的解决方案是引进证书(certificate)机制。

证书是公开密钥体制的一种密钥管理媒介。它是一种权威性的电子文档，形同网络计算环境中的一种身份证，用于证明某一主体(如人、服务器等)的身份以及其公开密钥的合法性。在使用公钥体制的网络环境中, 必须向公钥的使用者证明公钥的真实合法性。因此,在公钥体制环境中,必须有一个可信的机构来对任何一个主体的公钥进行公证,证明主体的身份以及他与公钥的匹配关系。c a正是这样的机构,它的职责归纳起来有:

1、验证并标识证书申请者的身份;

2、确保ca用于签名证书的非对称密钥的质量;

3、确保整个签证过程的安全性,确保签名私钥的安全性;

4、证书材料信息(包括公钥证书序列号、ca标识等)的管理;

5、确定并检查证书的有效期限;

6、确保证书主体标识的唯一性,防止重名;

7、发布并维护作废证书表;

8、对整个证书签发过程做日志记录;

9、向申请人发通知。

其中最为重要的是ca自己的一对密钥的管理，它必须确保其高度的机密性,防止他方伪造证书。ca的公钥在网上公开,整个网络系统必须保证完整性。

* 证书库

证书库是证书的集中存放地,它与网上"白页”类似,是网上的一种公共信息库,用户可以从此处获得其他用户的证书和公钥。

构造证书库的最佳方法是采用支持ldap协议的目录系统,用户或相关的应用通过ldap来访问证书库。系统必须确保证书库的完整性,防止伪造、篡改证书。

* 密钥备份及恢复系统

* 证书作废处理系统

* pki应用接口系统

pki的价值在于使用户能够方便地使用加密、数字签名等安全服务，因此一个完整的pki必须提供良好的应用接口系统，使得各种各样的应用能够以安全、一致、可信的方式与p ki交互，确保所建立起来的网络环境的可信性，同时降低管理维护成本。最后，pki应用接口系统应该是跨平台的。

许多权威的认证方案供应商(例如verisign、thawte以及gte)目前都在提供外包的pki。外包pki最大的问题是,用户必须把企业托管给某一服务提供商, 即让出对网络安全的控制权。如果不愿这样做,则可建造一个专用的pki。专用方案通常需把来自entrust、baltimore technologies以及xcert的多种服务器产品与来自主流应用程序供应商(如microsoft、netscape以及qualcomm)的产品组合在一起。专用pk i还要求企业在准备其基础设施的过程中投入大量的财力与物力。

7.jaas

扩展jaas实现类实例级授权

“java 认证和授权服务”(java authentication and authorization service，jaas)

在 jaas 下，可以给予用户或服务特定的许可权来执行 java 类中的代码。在本文中，软件工程师 carlos fonseca 向您展示如何为企业扩展 jaas 框架。向 jaas 框架添加类实例级授权和特定关系使您能够构建更动态、更灵活并且伸缩性更好的企业应用程序。

大多数 java 应用程序都需要某种类实例级的访问控制。例如，基于 web 的、自我服务的拍卖应用程序的规范可能有下列要求： 《5》《6》《7》《8》《9》《10》《11》《12》《13》《14》《15》

任何已注册(经过认证)的用户都可以创建一个拍卖，但只有创建拍卖的用户才可以修改这个拍卖。

这意味着任何用户都可以执行被编写用来创建 auction 类实例的代码，但只有拥有该实例的用户可以执行用来修改它的代码。通常情况下，创建 auction 实例的用户就是所有者。这被称为类实例所有者关系(class instance owner relationship)。

该应用程序的另一个要求可能是：

任何用户都可以为拍卖创建一个投标，拍卖的所有者可以接受或拒绝任何投标。

再一次，任何用户都可以执行被编写用来创建 bid 类实例的代码，但只有拥有该实例的用户会被授予修改该实例的许可权。而且，auction 类实例的所有者必须能够修改相关的 bid 类实例中的接受标志。这意味着在 auction 实例和相应的 bid 实例之间有一种被称为特定关系(special relationship)的关系。

不幸的是，“java 认证和授权服务”(jaas)— 它是 java 2 平台的一部分 — 没有考虑到类实例级访问控制或者特定关系。在本文中，我们将扩展 jaas 框架使其同时包含这两者。推动这种扩展的动力是允许我们将访问控制分离到一个通用的框架，该框架使用基于所有权和特定关系的策略。然后管理员可以在应用程序的生命周期内更改这些策略。

在深入到扩展 jaas 框架之前，我们将重温一下 java 2 平台的访问控制机制。我们将讨论策略文件和许可权的使用，并讨论 securitymanager 和 accesscontroller 之间的关系。

java 2 平台中的访问控制

在 java 2 平台中，所有的代码，不管它是本地代码还是远程代码，都可以由策略来控制。策略(policy)由不同位置上的代码的一组许可权定义，或者由不同的签发者定义、或者由这两者定义。许可权允许对资源进行访问;它通过名称来定义，并且可能与某些操作关联在一起。

抽象类 java.security.policy 被用于表示应用程序的安全性策略。缺省的实现由 sun.security.provider.policyfile 提供，在 sun.security.provider.policyfile 中，策略被定义在一个文件中。清单 1 是一个典型策略文件示例：

清单 1. 一个典型的策略文件

// grant these permissions to code loaded from a sample.jar file

// in the c drive and if it is signed by xyz

grant codebase "file:/c:/sample.jar", signedby "xyz" {

// allow socket actions to any host using port 8080

permission .socketpermission "*:8080", "accept, connect,

listen, resolve";

// allows file access (read, write, execute, delete) in

// the users home directory.

permission java.io.filepermission "${user.home}/-", "read, write,

execute, delete";

};

securitymanager 对 accesscontroller

在标准 jdk 分发版中，控制代码源访问的机制缺省情况下是关闭的。在 java 2 平台以前，对代码源的访问都是由 securitymanager 类管理的。securitymanager 是由 java.security.manager 系统属性启动的，如下所示：

java -djava.security.manager

在 java 2 平台中，可以将一个应用程序设置为使用 java.lang.securitymanager 类或者 java.security.accesscontroller 类管理敏感的操作。accesscontroller 在 java 2 平台中是新出现的。为便于向后兼容，securitymanager 类仍然存在，但把自己的决定提交 accesscontroller 类裁决。securitymanager 和 accesscontroller 都使用应用程序的策略文件确定是否允许一个被请求的操作。清单 2 显示了 accesscontroller 如何处理 socketpermission 请求：

清单 2. 保护敏感操作

public void somemethod {

permission permission =

new .socketpermission("localhost:8080", "connect");

accesscontroller.checkpermission(permission);

// sensitive code starts here

socket s = new socket("localhost", 8080);

}

在这个示例中，我们看到 accesscontroller 检查应用程序的当前策略实现。如果策略文件中定义的任何许可权暗示了被请求的许可权，该方法将只简单地返回;否则抛出一个 accesscontrolexception 异常。在这个示例中，检查实际上是多余的，因为缺省套接字实现的构造函数也执行相同的检查。

在下一部分，我们将更仔细地看一下 accesscontroller 如何与 java.security.policy 实现共同合作安全地处理应用程序请求。

运行中的 accesscontroller

accesscontroller 类典型的 checkpermission(permission p) 方法调用可能会导致下面的一系列操作：

accesscontroller 调用 java.security.policy 类实现的 getpermissions(codesource codesource) 方法。

getpermissions(codesource codesource) 方法返回一个 permissioncollection 类实例，这个类实例代表一个相同类型许可权的集合。

accesscontroller 调用 permissioncollection 类的 implies(permission p) 方法。

接下来，permissioncollection 调用集合中包含的单个 permission 对象的 implies(permission p) 方法。如果集合中的当前许可权对象暗示指定的许可权，则这些方法返回 true，否则返回 false。

[1][2][3][4][5][6][7][8][9][10][11][12][13][14][15]

现在，让我们更详细地看一下这个访问控制序列中的重要元素。

permissioncollection 类

大多数许可权类类型都有一个相应的 permissioncollection 类。这样一个集合的实例可以通过调用 permission 子类实现定义的 newpermissioncollection 方法来创建。java.security.policy 类实现的 getpermissions 方法也可以返回 permissions 类实例 — permissioncollection 的一个子类。这个类代表由 permissioncollection 组织的不同类型许可权对象的一个集合。permissions 类的 implies(permission p) 方法可以调用单个 permissioncollection 类的 implies(permission p) 方法。

codesource 和 protectiondomain 类

许可权组合与 codesource(被用于验证签码(signed code)的代码位置和证书)被封装在 protectiondomain 类中。有相同许可权和相同 codesource 的类实例被放在相同的域中。带有相同许可权，但不同 codesource 的类被放在不同的域中。一个类只可属于一个 protectiondomain。要为对象获取 protectiondomain，请使用 java.lang.class 类中定义的 getprotectiondomain 方法。

许可权

赋予 codesource 许可权并不一定意味着允许所暗示的操作。要使操作成功完成，调用栈中的每个类必须有必需的许可权。换句话说，如果您将 java.io.filepermission 赋给类 b，而类 b 是由类 a 来调用，那么类 a 必须也有相同的许可权或者暗示 java.io.filepermission 的许可权。

在另一方面，调用类可能需要临时许可权来完成另一个拥有那些许可权的类中的操作。例如，当从另一个位置加载的类访问本地文件系统时，我们可能不信任它。但是，本地加载的类被授予对某个目录的读许可权。这些类可以实现 privilegedaction 接口来给予调用类许可权以便完成指定的操作。调用栈的检查在遇到 privilegedaction 实例时停止，有效地将执行指定操作所必需的许可权授予所有的后继类调用。

使用 jaas

顾名思义，jaas 由两个主要组件组成：认证和授权。我们主要关注扩展 jaas 的授权组件，但开始我们先简要概述一下 jaas 认证，紧接着看一下一个简单的 jaas 授权操作。

jaas 中的用户认证

jaas 通过添加基于 subject 的策略加强了 java 2 中定义的访问控制安全性模型。许可权的授予不仅基于 codesource，还基于执行代码的用户。显然，要使这个模型生效，每个用户都必须经过认证。

jaas 的认证机制建立在一组可插登录模块的基础上。jaas 分发版包含几个 loginmodule 实现。loginmodules 可以用于提示用户输入用户标识和密码。logincontext 类使用一个配置文件来确定使用哪个 loginmodule 对用户进行认证。这个配置可以通过系统属性 java.security.auth.login.config 指定。一个示例配置是：

java -djava.security.auth.login.config=login.conf

下面是一个登录配置文件的样子：

example {

com.ibm.resource.security.auth.loginmoduleexample required

debug=true userfile="users.xml" groupfile="groups.xml";

};

认识您的主体

subject 类被用于封装一个被认证实体(比如用户)的凭证。一个 subject 可能拥有一个被称为主体(principal)的身份分组。例如，如果 subject 是一个用户，用户的名字和相关的社会保险号可能是 subject 的某些身份或主体。主体是与身份名关联在一起的。

principal 实现类及其名称都是在 jaas 策略文件中指定的。缺省的 jaas 实现使用的策略文件与 java 2 实现的策略文件相似 — 除了每个授权语句必须与至少一个主体关联在一起。javax.security.auth.policy 抽象类被用于表示 jaas 安全性策略。它的缺省实现由 com.sun.security.auth.policyfile 提供，在 com.sun.security.auth.policyfile 中策略定义在一个文件中。清单 3 是 jaas 策略文件的一个示例：

清单 3. 示例 jaas 策略文件

// example grant entry

grant codebase "file:/c:/sample.jar", signedby "xyz",

principal com.ibm.resource.security.auth.principalexample "admin" {

// allow socket actions to any host using port 8080

permission .socketpermission

"*:8080", "accept, connect, listen, resolve";

// allows file access (read, write, execute, delete) in

// the users home directory.

permission java.io.filepermission

"${user.home}/-", "read, write, execute, delete";

};

这个示例与清单 1 中所示的标准 java 2 策略文件相似。实际上，唯一的不同是主体语句，该语句声明只有拥有指定主体和主体名字的 subject(用户)被授予指定的许可权。

再一次，使用系统属性 java.security.auth.policy 指出 jaas 策略文件驻留在何处，如下所示：

java -djava.security.auth.policy=policy.jaas

subject 类包含几个方法来作为特殊 subject 执行工作;这些方法如下所示：

public static object

doas(subject subject, java.security.privilegedaction action) 3 4 5 6 7 8 9 10 11 12 13 14 15

public static object

doas(subject subject, java.security.privilegedaction action)

throws java.security.privilegedactionexception

jaas 中的授权

清单 4 显示一个授权请求的结果，该请求使用清单 3 中显示的 jaas 策略文件。假设已经安装了 securitymanager，并且 logincontext 已经认证了一个带有名为“admin”的 com.ibm.resource.security.auth.principalexample 主体的 subject。

清单 4. 一个简单的授权请求

public class jaasexample {

public static void main(string args) {

...

// where authenticateduser is a subject with

// a principalexample named admin.

subject.doas(authenticateduser, new jaasexampleaction);

...

}

}

public class jaasexampleaction implements privilegedaction {

public object run {

filewriter fw = new filewriter("hi.txt");

fw.write("hello, world!");

fw.close;

}

}

这里，敏感代码被封装在 jaasexampleaction 类中。还要注意，调用类不要求为 jaasexampleaction 类代码源授予许可权，因为它实现了一个 privilegedaction。

扩展 jaas

大多数应用程序都有定制逻辑，它授权用户不仅仅在类上执行操作，而且还在该类的实例上执行操作。这种授权通常建立在用户和实例之间的关系上。这是 jaas 的一个小缺点。然而，幸运的是，这样设计 jaas 使得 jaas 可以扩展。只要做一点工作，我们将可以扩展 jaas，使其包含一个通用的、类实例级的授权框架。

在文章开头处我已经说明了，抽象类 javax.security.auth.policy 被用于代表 jaas 安全性策略。它的缺省实现是由 com.sun.security.auth.policyfile 类提供。policyfile 类从 jaas 格式的文件(象清单 3 中显示的那个一样)中读取策略。

我们需要向这个文件添加一个东西为类实例级授权扩展策略定义：一个与许可权语句相关的可选关系参数。

缺省 jaas 许可权语句的格式如下：

permission ; [name], [actions];

我们在这个许可权语句的末尾添加一个可选的关系参数来完成策略定义。下面是新许可权语句的格式：

permission ;

[name], [actions], [relationship];

在为类实例级授权扩展 jaas 时要注意的最重要的一点是：许可权实现类必须有一个带三个参数的构造函数。第一个参数是名称参数，第二个是行为参数，最后一个是关系参数。

解析新文件格式

既然文件格式已经改变，就需要一个新的 javax.security.auth.policy 子类来解析文件。

为简单起见，我们的示例使用了一个新的 javax.security.auth.policy 子类 com.ibm.resource.security.auth.xmlpolicyfile，来从 xml 文件读取策略。在实际的企业应用程序中，关系数据库更适合执行这个任务。

使用 xmlpolicyfile 类代替缺省的 jaas 访问控制策略实现的最容易的方法是向 java.security 属性文件添加 auth.policy.provider=com.ibm.resource.security.auth.xmlpolicyfile 条目。java.security 属性文件位于 java 2 平台运行时的 lib/security 目录下。清单 5 是与 xmlpolicyfile 类一起使用的样本 xml 策略文件：

清单 5. 一个 xml 策略文件

;

;

;

"com.ibm.resource.security.auth.principalexample" name="users">;

"com.ibm.resource.security.auth.resourcepermission"

name="com.ibm.security.sample.auction"

actions="create" />;

"com.ibm.resource.security.auth.resourcepermission"

name="com.ibm.security.sample.auction"

actions="read" />;

"com.ibm.resource.security.auth.resourcepermission"

name="com.ibm.security.sample.auction"

actions="write"

relationship="owner" />;

"com.ibm.resource.security.auth.resourcepermission"

name="com.ibm.security.sample.bid"

actions="create" />;

"com.ibm.resource.security.auth.resourcepermission"

name="com.ibm.security.sample.bid"

actions="read" />;

"com.ibm.resource.security.auth.resourcepermission"

【5】【6】【7】【8】【9】【10】【11】【12】【13】【14】【15】

name="com.ibm.security.sample.bid"

actions="write"

relationship="owner" />;

"com.ibm.resource.security.auth.resourcepermission"

name="com.ibm.security.sample.bid"

actions="accept"

relationship="actionowner" />;

;

;

;

在这个示例策略文件中，任何与名为 principalexample 的用户有关的用户(subject)都可以创建并读取一个 auction.class 实例。但是，只有创建该实例的用户才可以更新(写)它。这是第三个 permission 元素定义的，该元素包含值为 owner 的 relationship 属性。bid.class 实例也是一样，除了相应 auction.class 实例的所有者可以更改投标接受标志。

resource 接口

要求类实例级访问控制的类必须实现 resource 接口。该接口的 getowner 方法返回类实例的所有者。fulfills(subject subject, string relationship) 方法被用于处理特定关系。另外，这些类使用 com.ibm.resource.security.auth.resourcepermission 类保护敏感代码。例如，auction 类拥有下列构造函数：

public auction {

permission permission =

new resourcepermission("com.ibm.security.sample.auction", "create");

accesscontroller.checkpermission(permission);

}

所有者关系

resourcepermission 类的 implies(permission p) 方法是这个框架的关键。implies 方法就等同性比较名称和行为属性。如果定义了一个关系，那么必须把受保护的类实例(resource)传递到 resourcepermission 构造函数中。resourcepermission 类理解所有者关系。它将类实例的所有者与执行代码的 subject(用户)进行比较。特定关系被委托给受保护类的 fulfills 方法。

例如，在清单 5 中所示的 xml 策略文件中，只有 auction 类实例的所有者可以更新(写)文件。该类的 setter 方法使用清单 6 中显示的保护代码：

清单 6. 运行中的 implies(permission) 方法

public void setname(string newname) {

permission permission =

new resourcepermission("com.ibm.security.sample.auction", "write", this);

accesscontroller.checkpermission

首选很感谢Joshua Bloch写的这本书，当然更感谢我们的司令翻译。至少目前我看到的100页的内容，基本没发现翻译很别扭的地方，包括错别字也没有发现，至少没有影响到我对书中内容的理解。再次感谢。

在后面的读书心得里，我会根据我的个人理解，将书中的各个知识点逐个和大家分享。 书中的一些观点我也不是完全赞同的，呵呵(估计是我的水平不够，呵呵呵)。

我们先看全书第一个问题：考虑用静态工厂方法代替构造器。

也就是，不再使用 new 这种方式来获得一个类的实例，而是通过工厂方法获得。

优点：

1 有名字

这个我体会还是比较深的，在JDK里，我见过一个类的最多的构造器数量，有16个。大家可以看看 java.math.BigDecimal 这个类就知道了。

就算一个类的构造器有4个左右，我想你很可能在使用的时候会极其注意，不要选错了到底是用哪一个。

所以，如果能提供一个很好命名的方法来实现构造类，确实是一个不错的主意，比如

BigDecimal.getInstanceFromString(...); 我想这个名字虽然有点垃圾，但要表达的意思确实异常的明确。

在一些第三方的库里面，这种情况更加突出。我许多时候不得不看看API文档，来区分我的那个int参数到底是使用三个参数的构造器，还是使用四个参数的构造器。因为他们太像了。

2 可以单例

这个就不用说了，你可以在方法里干你要做的任何事情，而new绝对会给你一个新的实例。

3 可以返回任何子类型。

这个对于系统的扩展是很有用处的。new 已经决定了你肯定要这个类，而静态方法却可以修改，不一定肯定返回你方法所在的类，可以在必要时替换为一个子类。

4 代码简便

这点我体会不深，呵呵

不过这个写法我确实经常用

List list = new ArrayList;

后面的那个ArrayList里面的 String就是一个例子吧。不过我倒是不是很在意这个，因为我很喜欢这样写了。

下面这个例子看上去确实不错。呵呵!

[java] view plain copypublic class Test extends Thread {

public static void main(String args) {

Test te = Test.newInstance;

}

public static Test newInstance {

return new Test;

}

}

我爱看书。你肯定会问为什么?来听听我的故事吧!

从小，我就对书有一种特别的感情：哭闹时，玩具和零食都无法使我开心，但只有有书，我就会马上停下来，在一旁静静地看书;上小学时，为了能多读书，一下课我就会马上奔向图书馆看书，把老师上课时讲的东西都忘得一干二净;在家时，我读起书来就忘了吃饭，忘了睡觉。

高尔基曾说过：“书籍是人类进步的阶梯。”我们想要进步，就要多读书、读好书，我国的古代诗人杜甫曾说过：“读书破万卷，下笔如有神。”我们要读书才能提高写作水平。读书吧，在书的海洋里自由地畅游吧!它将会使你一生受益，使你成为21世纪有文化的青少年。一起来读书吧!

前几天我观看了《中小学生安全教育知识讲座》，透过观看这个讲座，让我了解了当灾难发生时，我们就应怎样去应对、怎样避险、怎样逃生自救等安全问题。虽然灾害是难以避免的，可是如果我们掌握了更多的安全知识后，在灾难降临时我们就能有更多获救机会。

具体来说，透过观看《讲座》我学到了许多有关地震、游泳、火灾还有人身安全等方面的安全知识及注意事项。比如在发生地震时我们就应在教师的指挥下跑出教室，或躲在课桌底下，也能够就近躲在狭小空间的墙角处;在遇到火灾时要及时拨打110报警，并用湿毛巾捂住嘴和鼻口，尽量贴近地面沿着安全路线逃离火灾现场。逃生时要走楼梯，不能坐电梯;夏天游泳时务必和大人一齐去，要做到“四不好”，不好在游泳池里打闹，不好成群结队去河里游泳，当其它小朋友溺水时，不好自我下水救助，要呼喊大人或打110报警;在学校要遵守校规校纪，在上下楼梯时不好拥挤打闹。在上学或放学的路上要遵守交通规则，过马路要走人行道，要走斑马线，不好在马路上嬉戏打闹玩耍，不好横跨护栏，横穿马路，更不能在马路上看书。不吃陌生人的东西，不贪小便宜，不跟不熟悉的人走，与陌生人持续必须的距离，遇到坏人时不好被他或她的言语吓倒，要勇敢地大声呼救，做好自我的人身安全防护。

透过观看这个讲座让我明白了我们就应坦然的去应对那些无情的自然灾害;我懂得了在灾害发生时要先自救，有潜质的再去救其它的人这个道理。

同学们：我们的生命仅有一次，所以我们要珍爱自我的生命。让我们行动起来吧，学会一些逃生和自救的小常识，使自我和他人能避免或减少受到的伤害，时刻把安全铭记在心，让我们健康欢乐地成长!

《消防安全第一课》选择具有典型意义的火灾案例，以纪实的风格，直观形象地宣传了火灾的危害及怎样预防火灾，遇到火险时如何灭火，人身安全及自救逃生等基本消防知识。经过观看影片，不仅仅使全体教职工在安全消防意识上受到了启迪，同时也提高了对火灾等紧急突发灾害的自救逃生技能和及应对紧急突发事件的本事，增强教职工的自我保护的本事。

影片中的一场场火灾，烧毁了家园，烧掉了财物，令人陷入了绝望的深渊，迫向死的边沿，甚至吞噬了生命。大火过后，留下了满目疮痍。这种惨痛的教训告诉人们，如此无情的残酷的火灾为什么会发生?由于人们缺乏消防知识，消防知识淡薄，消防设备残旧不完善等等造成了一幕幕人间惨剧，所以我们要时刻把安全放在首位，约束自身行为，创造良好的消防安全环境。

观看结束后，学校强调：各科室，各科组要以确保学校安全为目的，强化安全管理，明确职责，制定并落实相应措施。创立安全的、礼貌的、健康的育人环境，每一位教职工任重道远。

我作为一个任课教师，处处以身作则，时刻提醒自我用电用气等安全，平时离开时关好电源。同时把防火安全意识灌输到每位学生当中，教育学生不要私拉乱接电线和偷偷使用大功率电器等等，教育学生不要麻痹大意，要时刻坚持清醒的头脑，充分认识火灾隐患的危害性，增强学生的消防安全意识。学校是人员密集区，做好学校的消防安全工作，我刻不容缓。

刚开学了，班主任教师布置了一个家庭作业，就是让我们观看公共安全教育课的节目。一开始，我还没有当成一回事呢，感觉那些事情离我们很遥远。

节目开始了，我被吸引住了，越看越觉得害怕，原先这些危险就在我们身边。发生火灾了，要用湿毛巾捂住鼻子，逃到靠近马路的房间，便于呼救;还要把房门紧闭，这样浓烟就跑不到房间里了。遇到大卡车，要躲避的远远的，因为它有个盲区，司机根本就看不到站在那里的人。平时在家里，有人来按门铃，必须要问清楚，千万不能给陌生人开门。

随着节目的深入，我也认识到了过马路的重要性，“宁等三分，不抢一秒”，必须要走人行横道。经过这次安全教育，我们要树立正确的安全意识，学会自我保护，提高应变本事，珍爱生命。

新学期开学之际，学校组织我们观看消防安全普及影片，强化学生们的消防安全观念。虽然没经历过什么大的火灾，但是“防患于未然”总是有必要的。实际上，平时不加以注意和当心，火灾也许就在我们身边。可能引起火灾的原因非常多，比如电器使用不当、随意燃放鞭炮、乱玩火，甚至雷击等都有可能引起火灾。上面有提到火灾可能由“我”导致，有可能由自然因素引发，也有可能被动的陷入火灾现场中，所以我们不仅要自己注意平时不安全的举动，还要学习遇到火灾，如何处理，如何逃生。

小时候，家里爱使用煤气炉在家里烤火，烤衣服，就为了衣服干得快，直到一次，发生了可怕的事情。一天，一堆的衣物等等又像往常一样，挂在火炉上方。其中一条毛巾干了之后，被上升的热气流掀飞，还被火炉引燃了。好在毛巾最终燃烧的位置离可燃物和煤气管道有一定距离，才没有造成严重的后果。事后回想，当时无人及时发现，若引燃其它物品，后果不堪设想!之后就十分小心地使用火炉，再也不用来烘衣物了。

千里之堤，毁于蚁穴，可见，表面上一切安好，其实稍有不慎就会造成严重损失。损失财务，甚至生命，都是人们不愿意看到的。但苦果一旦造成，只会留下无尽的悔恨。

就我们学生宿舍来说，人员密集，平时接触电器较多，各个宿舍好像也没有几个不通电的，所平时注意用电安全是相当重要的。各式充电器，电脑，各种排插，乃至“热得快”等等，可能会因为各种问题，引发危险。平时就要看好设备，注意用电安全。比如不要超负荷使用插座，不随意私改线路。

当陷入火灾中，首先就是绝对不能慌乱，尽管这很难，也听了无数遍。但大家都明白，如果你不能保持清醒的头脑，就算平时看了再多安全宣传片，到时又能起多大作用呢?对应火灾中可能遇到的各种情况，在观看的视频当中已经介绍了不少应急办法。有浓烟出现，应尽量俯身行走，用湿毛巾捂住口鼻，因为在火灾中，被浓烟熏倒的情况非常多;身上衣服着火，切勿狂奔逃命，让同伴帮忙覆盖压灭火焰，在地上打滚是不错的办法;如果可以的话，记得不要扔下他人，帮助他们逃离火场，毕竟换做是你被困，你也会希望别人这么做的，当然，量力而行;发现火情要及时报警并向他人发出警告，这不是什么最佳动作游戏，并非需要个人英雄主义。就算是非要跳楼不可，视频里也有良策献出，就是方法虽好，条件往往不允许，家里没那么长的棍子。

这只是一次平常的安全教育讲座，可能看完了，颇有感触。过个两月，又抛之脑后了。良好的安全习惯应该贯穿生活中每个细节，因为惨剧无法挽回，所以是由不得侥幸心理的。只有充分认识到火灾的危害性，才能将消防安全的重要性牢记心中。保持清醒的头脑，学会自救，从而救大家，让灾难变得并不可怕!

人生有许多条路可以走，在这众多美丽的道路里，有一条显得极为重要，这就是安全之路。没有了安全，谈何生命?没有了生命，谈何创造?没有了创造，又哪会有大千世界呢?幸运的是，我们大多数人都走上了这条路，可是，未来的风雨又岂是我们能预料的?那么，面对这些险阻，最有效的办法是什么呢?其实，很简单，那就是：让消防安全之风吹遍校园。

俗话说：“少年不知愁滋味。”果真，如果你去问一群上小学的孩子怎样思考生与死这个问题时，你就会发现“死亡”对于她们来说，只是一个名词，它是如此陌生，如此空虚，如此遥远。甚至在他们的世界里没有意外!可事实真是这样吗?不，据调查显示，大约每天都会有数万人因消防安全而死去，也就是说，平均每秒钟，就会有一条生命离开我们。试想，在你微笑的一瞬间，在你凝眸的一刹那，就有一颗生命之星陨落。想到这里，你还会若无其事的做自己的事吗?你还能嘻嘻哈哈的面对一切吗?你还会觉得消防安全根本不值一提吗?不，不，不!不要把人想的太伟大，不要把生命想的太坚强，生命其实很脆弱，脆弱到不堪一击，既然脆弱，为什么我们不好好珍惜呢?

也许，我说了这么多，还是有同学不以为然。那么我想问：“教学楼的每个楼梯口都有一个消防栓，你可曾注意过吗?社区的每一个路口，都有消防安全宣传栏，你何时仔细研读过呢?老师在教室里千叮咛万嘱咐消防知识时，你又能记住几条呢?那么，但你身处危害，遭遇不幸时，又凭什么抱怨呢”

消防安全是天，因为天能带了希望，因为天能寄托未来。

消防安全是地，因为地能承载生灵，因为地能养育生命。

消防安全是水，因为水是万物之源，因为水能让一切生生不息。

消防安全是花，因为花能带来芳香，因为花能装点大地。

消防安全是树，因为树能净化空气，因为树能为万物带来生机。

消防安全是草，因为草能不畏艰难，因为草能“岁岁枯荣”却“烧不尽”。

消防安全是光，因为光能驱走黑暗，因为光能照亮人生之路。

消防安全是星星，因为星星能闪耀光芒，因为星星可以带来梦想。

消防安全是太阳，是月亮，是大海，是森林，是我们每一个珍爱生命，并为之努力的人。

夜晚的星空总是可以够气人无限的遐想。其实，每一颗星星都代表这一颗星星。放眼望去，每一颗星星都那么美，那么亮，那么迷人，如果有一天，它们一颗颗陨落，你难道不会伤心吗?如果一把大火把它们烧得灰飞烟灭，你难道不生气吗?既然如此，同学们，让我们一起努力，共同宣扬，让消防安全之风吹遍校园!

火，是人类文明的象征。火的出现，给人类社会带来了巨大的变化，它让我们在黑夜里拥有了光明，在严寒里拥有了温暖。现代社会里的人们的生活一天也离不开火。

就在20__年1月30日20时至31日凌晨1时，全国共发生火灾1047起，死亡10人。公安消防部门接警出动5452次，出动消防车辆11003辆，警力61107人，这些数字着实让我吃了一惊!它们再次敲响了我们心中的警钟，而这些火灾，大部分是由于人们疏于防范。而葬身与火海的人，是因为他们不懂得自救!因此，我认为消防安全很重要。如今，许多人对此觉得无关紧要，这是多么危险啊!其实，懂得如何从火场中逃生是十分重要的。如果你掌握了正确的方法，也许就不会遗憾终生了。

有人由于煤气爆炸，线路故障等各种原因发生火灾，造成了财产的损害和人员的伤亡。但是，如果这些人懂得消防安全，也许结果就不会是这样了。当你被困在火中时，你最好用一条湿毛巾捂住口鼻。因为在火场，有很多人不是被火烧死的，而是被烟熏死的，用湿毛巾捂住口鼻能有效防止烟熏。你必须知道消防电话119，这时你要马上打给消防部队求救。当救护人员还未到达火场之前，你要自己寻找出路。如果门把着了火，不能从门口出去可以从窗户出去。若住在比较高的地方，切记不要盲目跳楼，如果在比较低的地方可以用长绳或撕成长条的床单紧紧的系在窗架上，然后顺着它稳稳的爬下去，安全地脱离危险。

“祸在一瞬，防在平时”，让我们从现在做起，做好防火工作，学习消防知识，以避免火灾的发生吧!

火是人类最伟大的发现之一。我们的生活离不开火，但是如果用火不当，火就像一个恶魔，吞噬人类的生命和财产。所以说它就像一把“双刃剑”。我们在日常生活中应该小心谨慎地用火。只有这样，我们才能建造美好的家园。下面我来讲一个亲身经历的教训。

还是我五岁那年。我一个人在房间里玩，无意之间看到了一个打火机，我学着爸爸的样子使劲按了几下，“咔嚓”一声，没想到竟然被我给点着了，差点烧到我的手，我非常害怕。便把燃烧着的打火机扔进了垃圾桶，没想到垃圾桶也烧起来了。我迅速把爸爸妈妈扯进房间。爸爸妈妈一进门便吓得目瞪口呆，立即拿来了一盆清水，把燃烧的垃圾桶扑灭了。这下我才松了口气，后来爸爸妈妈严肃地批评了我，告诉我：如果不及时扑灭的话，后果将不堪设想。因为，火不断地蔓延，会把整栋楼化为灰烬。并告诫我以后再也不能犯同样的错误了。从那一刻起我就明白了：不是任何东西都可以拿来玩，特别是火这一类危险物品，千万不能随便玩弄。否则，失去的将是宝贵的生命。

随着年龄的慢慢增长，我了解了更多的消防知识，也更加明白了“水火无情”的道理。一但遇到着火，千万不要慌张，一定要保持冷静镇定，最好早报警，牢记火警电话“119”，报警时讲清楚地址。起火原因等;决不能贪恋财物。首先要逃跑或找大人;逃跑时应用湿毛巾捂住鼻子，以免中毒;同样也要严守秩序，不能争先恐后，互相拥挤，自相踩踏，以免发生不该发生的悲剧。

我们学校在_月_日举行了大型的防火消防宣传活动，让我们大开眼界。

下午第二节课一下课，数学老师让我和一个同学抱着作业送到会议室检查。刚刚把作业放好，广播里的眼保健操柔和的声音戛然而止，取代而只的是一阵急促的警报声。啊!原来今天要疏散演练!我急忙拿出兜里的手帕，捂住口鼻，从会议室里飞跑而出。再看楼体内，同学们忙而不乱地从走廊里快速向下走。按照规定的路线，大家靠着墙或扶手，安全的撤离。跑出教学楼后立刻奔向操场，迅速在操场上列队。

主席台后，已经停好了两辆消防车，主席台上也摆放着各种火场用具。待我们安静以后，有一位阿姨走上了主席台，用温柔给我们讲着关于防火的常识：“在家里不吸烟，不躺在床上、沙发吸烟，家里的烟花爆竹不要存留太多，以免爆炸。电器人停及关，并拔掉插头。普通电器不要高电流的电器同时使用，以免电流过大起火。在发现火灾以后，要迅速拨打火警电话，报警时要说清什么起火、起火部位、火势情况及自己的住址和姓名，并马上派人到路口处迎接等候消防车……”阿姨讲的每一句话，都是我们平常的小事，但一场火灾，就是可能因为自己的一点疏忽引起的，所以我们要处处防火，避免火灾。

下面就该最吸引我们的部分了，灭火用具展示。一位消防员叔叔，开始为我们讲述主席台上的各种物品的名称及用途。首先就是几位熟悉的两套消防服装，可以隔断外面的热流，而且完全不会起火。紧接着的是进入火场必备的防毒面具及空气囊。这两个是配套使用的，背好空气囊后，把上面的输出口和防毒面具连接，就能保证消防员在浓烟中正常呼吸45分钟。下面是一把普普通通的手电筒，我们很奇怪，这也算灭火用品吗?消防员叔叔好像明白了我们的好奇心，对我们说：“这不是普通的手电筒，它是强光穿烟手电筒。它里面的光是特制的，在火场始终，能穿透15米的浓烟，让消防员不迷路。”

最后，消防员叔叔拿起了最后一样东西——金属切割机。他说：“这个东西能在火场中快速破开钢筋、护栏等物品，帮助消防员进入火场救人。”说罢，快速拉动切割机上方的拉线。拉了三次后，切割机的切割轮快速的转了起来，“嗡嗡”的巨响响彻了整个校园。我们都担心会把主席台给切条缝。

在我们恋恋不舍的目光中，消防员们收起了工具，坐上了消防车。通过这次消防活动，让我明白了消防安全的重要，也让我懂得防火的知识，在此，我呼吁大家“全民消防，生命至上!”

火是美丽的，使人们看到迷人的光亮;水是善良的，在冬月里给人们带来温暖，火又是无私的，给人们提供了美味的熟食。因此，火是一种人类赖以生存和发展的“资源”。

然而，火又可以是残酷的，它既是我们人类的朋友，有时也会成为我们的敌人。“贼偷一半，火烧全光。”这一点也没说错。它使多少建筑成为一片废墟，它使多少森林失去勃勃生机，它使多少心灵蒙上了阴影?

让我们回顾那些令人心痛不已的历史：19__年1月22日凌晨2时，济南某医院实习的某医学院的10名学生，因用电炉不慎起火，烧死5人。20__年，莫斯科时间2：50，莫斯科人民友谊大学六号学生楼发生火灾，这是俄罗斯十年来最严重的火灾。该火灾造成41名学生被烧死，100多人受伤，其中遇难的中国留学生11名。20__年5月31日中午，中南林业科技大学青学生公寓三名女生违规使用电饭锅加热食物，造成电线短路引发火灾，整间宿舍被烧得面目全非……

看着一个个残酷的事例，面对着一个个生命的消失，望着被大火侵蚀的财物，我们震惊。原来坚强的生命在烈火面前是如此脆弱，如此不堪一击。如果我问大家，世界上最宝贵的是什么东西?我相信大家一定会毫不犹豫地回答：是人的生命。是啊，生命对于我们只有一次，我们要加倍珍惜。

但是，现在有多少人是因为无视火的存在，以为只要不故意放火就不会引起火灾。消防安全隐患随处可见：一根没有完全熄灭的香烟头;带着人们希望的孔明灯;忘了取下的.充电器……这些看似微不足道的小问题，都有可能危害人们的生命。

当火灾来临时，你是否意识到就是因为刚才自己的几个微不足道的小动作造成了这场火灾?而面临火灾时，你是否已经掌握了这些最基本的常识?比如，我们要掌握常用的消防器材的使用方法;不玩火，不玩电气设备;不带火柴、打火机等火种以及汽油、烟花、爆竹等物品。

家用电器或线路着火时，先切断电源，再用干粉或者气体灭火，不能直接泼水灭火;穿过浓烟逃生时，尽在使身体贴近地面，并用湿毛巾捂住口鼻;如果万分情急决定跳楼出逃时可以先往地下抛出一些衣物棉被等，以增加缓冲……

通过公安消防部门组织的消防培训学习后，我对消防法规和消防实用知识的学习与理解,对消防工作有了深入的了解，也掌握了一些消防安全工作的理论知识，和消防工作的重要意义，各种灭火的常识，常见灭火器材的使用和日常管理，消防控制室及消防设施的使用和维护，安全疏散设施的设置，消防安全培训的重要性等等。对此，主要有以下几点体会：

一、 消防安全管理应做到“安全第一，预防为主”。

把消防安全作为头等大事来抓，知道火灾带来的危害，在日常工作中对被忽视，侥幸心理的地方要加强管理，不要等到确实发生了事故，造成了损失，才会回过头来警醒。这就是因为没有把防范火灾的工作放在第一位所导致的。“隐患险于明火，防范胜于救灾，责任重于泰山”这是消防安全管理的主旨所在。而做好预防工作的关键就在于提高对这项工作的重视程度，在工作中，应该以消除火灾隐患、提高防火意识为目的，不作口头文章，以实际行动和措施来切实做好消防安全工作。

二、加强消防安全知识培训，提高防范意识

由于我们所在商场涉及到了人流大和通道拥挤的问题，商场内部对火灾隐患已经有了一定的防范意识，但通过这次培训，发现现有防范意识程度还是不够的。不论是商户还是管理人员，都应对自己和商场可能涉及到的火灾风险和消防通道等消防相关设施有充分的了解。都应该定期接受相关的消防安全教育培训，内容包括：有关消防法规、消防安全

制度、保障消防安全的操作规程;各部门各岗位的火灾危险性和防火措施;各种消防设施的性能和使用方法、灭火器材的使用方法;报警，扑救初起火灾和自救逃生的知识和技能等。

三、消防安全工作要做到“三个重点”，不为隐患留空隙

第一个重点是要做到“定期的巡查整个加油站发现消防隐患及时的整改和处理，在巡查的过程中如发现加油员或客户有违规的操作如：油桶加油，私拉乱接，使用大功率电器，使用明火等要及时制止。把火灾隐患抹杀在萌芽中。

第二个重点是加强自身的消防学习和意识。作为一个管理人员应该熟悉的了解本站的现有的消防器材的使用和管理，定期的组织人员学习消防知识和消防器材的使用了解在火灾发生时的注意事项和逃生方法。

第三个重点是做到把现有的消防器材的日常维护和管理做好不要等到要使用时才临时抱佛脚。对于消防器材也要定期的保养和维护，发现有遗失或破损的器材要及时的跟换和维修

众所周知，生命是非常宝贵的，因为每个人都只活一次。如果我们想保护我们的生命，我们应该注意安全，其中消防安全是非常重要的一个。

都说“水火无情”。面对洪水和火灾，我们人类显得如此渺小和无助。这场火真的很可怕。在各种媒体上，每年都有很多媒体报道火灾事故。每一次火灾事故都会造成财产损失甚至人员伤亡。

一定要掌握一些消防知识，才能预防火灾的发生，火灾来了，才能无所畏惧，把损失降到最低。

那么遇到火灾应该怎么逃生呢?

当火灾发生时，如果我们被火包围，我们必须首先拨打火警电话119。在报警的过程中，一定要明确说明火灾发生的地点，来电者的姓名，以及现在火灾的具体情况，然后才能等待救援。

如果火势不严重，火势不大，可以用湿毛巾捂住口鼻，然后盖上湿毯子，在火灾现场冲出去。事实上，当火灾发生时，很少有人被烧死，大多数人被熏死。所以用湿毛巾捂住口鼻真的很重要。

那么为什么雾霾会增加死亡率，成为人们在火灾中丧生的“罪魁祸首”?由于烟气中含有许多有毒有害气体，这些有害气体直接吸入人体，会导致中毒。

在逃离火场的过程中，一定要逆风，弯腰爬出，并用湿毛巾捂住口鼻，以保证自身安全，避免中毒。

如果发生大火灾，我们可以使用阳台、下水道或接地牢固的物体逃生。你也可以把绳子或床单撕成条状，然后连接起来，把一端固定在一个比较牢固的物体上，顺着绳子或床单滑下去，这样就可以逃生了。

如果这些方法都不可行，火灾已经很大了，必须跳楼才能逃生。所以在这种情况下，一定要先把被子衣服扔出去，这样可以增加缓冲，然后用手滑下窗台，直接缩短跳跃的高度，在跳楼的过程中尽量让脚先着地，最大限度的挽救自己的生命。

火真的很危险，一定要“防燃”。每个人都应该关心消防安全，注意防火，这样才能减少火灾，让我们的生活更美好。

有一个成语叫“玩火自焚”就是要告诉我们，不要玩火，要不然就会烧到自己。为了不要让火灾发生，我们应该多了解消防知识，学习消防知识，听取消防教育、宣传消防知识，要注意生活的每个小细节，凡事都要小心谨慎，做到懂消防、知消防、了解消防。

火灾发生时，一定要冷静地面对。假如火灾初起时就被发现，可趁火势很小之际，用灭火器、自来水等灭火工具在第一时间去扑救，同时还应呼喊周围人员出来参与灭火和报警。如有多人灭火，应进行分工，一部分人负责灭火，另一部分人清除火焰周围的可燃物，防止、减缓火势蔓延。

我们都知道，火灾致人伤亡有两大原因：一是浓烟毒气窒息，二是火焰的烧伤和强大的热辐射，只要能避开或降低这两种危害，说不定就能在火里逃出来，获得第二次生命!

火灾自救，时刻留意逃生路。每个人对自己工作、学习或居住的建筑物的结构及逃生路径要做到有所了解，要熟悉建筑物内的消防设施及自救逃生的方法。这样，火灾发生时，就不会走投无路了。当你处于陌生的环境时，务必留心疏散通道、安全出口及楼梯方位等，以便关键时候能尽快逃离现场。

火是生命的起源，它给我们带来希望与温暖，但同时也带来了危害。有时它是无情的：多少个家庭因为它而破碎，多少条生命因为它而失去。

俗话说：“水火无情”;“贼偷一半，火烧全光”。

为提高对消防安全工作的重视，预防和减少火灾事故发生。我校组织全体师生观看消防安全教育短片。短片通过生动的火灾实列，向我们展示火灾的无情，通过对火灾基本常识的讲解，懂得灭火的基本常识，进而能掌握火灾中逃生的知识。另外，通过对消防安全制度的学习，我对消防安全管理有了更深的理解，对防火巡查、检查制度、安全疏散设施制度、消防设施、器材维护制度和火灾隐患整改制度，有了进一步的认识。

养成良好的消防安全行为习惯益己益家益社会。每年的火灾原因统计资料显示，因电气、违章操作、吸烟、玩火、放火等人为造成的火灾事故占总数的九成多，少量的自然、雷电火灾也是因人的防范措施不到位造成的。消防安全意识淡薄、消防安全知识缺乏，存在不安全行为，就存在火灾危险性。缺

乏消防安全潜意识，一次疏忽，带来的是灭顶之灾。现代生产生活中，处处都有用电、用火、用危险化学物品，火灾危险性增大，更应该积极预防，人人都自觉做好身边的消防安全工作。有资料反映，美、日、欧等发达国家在早期经济大发展过程中，也有很多火灾事故教训，美国在二十世纪七十年代初出了一本《美国在燃烧》的书，反映的就是严重的火灾事故对经济建设、社会发展、人民安居乐业带来的影响。由于这些国家十分重视火灾事故教训，十分重视消防基础设施建设，十分重视全民消防宣传教育，十分重视消防法制建设，所以，抗御火灾整体能力全面提高，几十年来极少发生群死群伤的火灾事故。

养成良好的消防安全行为习惯要贯穿于工作生活每个环节。在消防安全问题上任何侥幸心理都要不得。培养消防安全潜意识是很具体的，要在时时、处处、事事关系消防安全的问题上引起注意，比如居家用火、用电、用气要十分注意消防安全。要提高对消防安全的警惕性，发现火灾事故，要快速反应作出正确处置或疏散逃生，珍惜自己生命，养成良好消防安全行为习惯，落实防火减灾措施，人人都应具有潜意识和自觉性。消防安全工作不是一时一事就能做好的，是经常性的工作。培养消防安全潜意识，就是要使每个人绷紧消防安全这根弦，学会处置火灾事故、具备自防自救能力，努力营造全民消防氛围，从而，创造一个平安、祥和、文明、和谐的家庭环境和社会环境。

在几个小时的学习《消防安全法》的培训中，使我受到了启迪，开拓了思维，获益匪浅。下面，我就参加本次演习训练谈谈我个人的一点心得体会。

一、认清消防安全工作的重要性。火灾的发生是现实生活中最常见、最突出、危害最大的一种灾难，是直接关系到人民生命安全、财产安全的大问题，所以我们要清醒地认识到“安全就是效益”、“消防工作是其他工作的保障”，牢牢树立“安全第一”的思想，将安全生产工作放到尊重生存权、尊重人权的高度，本着对社会，对公众负责任的态度，明确责任，狠抓落实。时刻做到居安思危，警钟长鸣，防患于未然。

二、加强消防常识的学习。火魔无情，当我们被困在火场内生命受到威胁时，在等待消防救助的时间里，如果我们能利用地形或身边的物体采取有效的自救措施，就可以让自己的命运由“被动”转化为“主动”，为生命赢得更多的“生机”。火场逃生不能只能希望于“急中生智”，只有靠平时对消防知识的学习、掌握和储备。危机关头，才能应付自如，从容逃离险境。所以我们一定要熟悉掌握灭火器材的使用，火场逃生，人员疏散及自身自救的方法。

三、保持良好的心态。“只有绝望的人，没有绝望的处境。”当面对滚滚的浓烟和熊熊的烈火，保持良好的心态，镇静自若尤为重要。因为只有保持平静的心态，才能冷静理智地去实施消防自救和逃生，就极有可能拯救自己，甚而助救他人。反之，就会出现不辩方向，慌不择路，致使失去有利的逃生机会。

经过这次消防培训，使我对消防有了更进一步了解认识，在以后的工作生活中对消防设备设施存在的问题可以及时纠正;当真正火灾到来时，我们一定要记住以下的原则：

1、“报警早，损失少”这是人们在同火灾做斗争中总结出来的一条宝贵的经验。

2、“边报警，边扑救”在报警的同时要及时扑灭初起之火。

3、“先控制，后灭火”在扑救可燃气体、液体火灾时，应首先切断可燃物的来源，然后争取灭火一次成功。

4、“先救人，后救物”在发生火灾时，如果人员受到火灾的威胁，人和物相比，人是主要的，我们应贯彻执行救人第一，救人与灭火同步进行的原则，先救人后疏散物资。

5、“听指挥，莫惊慌”发生火灾时不能随便动用周围的物质进行灭火，因为慌乱中可能会把可燃物质当作灭火的水来使用，反面会造成火势迅速扩大;发生火灾时一定要保持镇静，采取迅速正确的措施扑灭初起火。这就要求大家平时加强防火灭火知识学习，积极参加消防训练，制定周密的灭火计划，才能做到一旦发生火灾时不会惊慌失措。

6、消防基础知识

1，幼儿园消防工作的基本方针：“预防为主，防消结合”。

宗旨是：a，人人必须遵守消防规章制度;

b，爱护消防设施和器材，学会灭火器的使用，;

c，把消防工作与生产放在同等重要位置;

d，加强消防意识，时刻保持警惕

作为公司的一员在预防火灾及灭火过程中应具体知道哪些知识?

1、应懂得本公司有几种消防系统及分布情况;

2、应明了各种救火工具的摆放位置;

3、应学会报火警;

4、应学会最基本的灭火器的使用;

5、应学会最基本的灭火方法和逃生方法

消防安全心得体会(2)：

通过这次对消防法规和消防实用知识的学习，对消防工作有了一定的了解，也把握了一些消防安全工作的基本理论知识。对此，主要有以下几点体会：

一、消防安全治理应做到“安全第一，预防为主”，把消防安全作为头等大事来抓

火灾带来的危害，人人都懂，但在日常工作中却往往被忽视，被麻痹，侥幸心理代替，往往要等到确实发生了事故，造成了损失，才会回过头来警醒。这就是因为没有把防范火灾的工作放在第一位所导致的。“隐患险于明火，防范胜于救灾，责任重于泰山”这十八个字是_同志二十多年前提出的，至今仍是消防安全治理的主旨所在。而做好预防工作的要害就在于提高对这项工作的重视程度，在校园中，应该以消除火灾隐患、提高防火意识为目的，不作口头文章，以实际行动和措施来切实做好消防安全工作。

二、加强消防安全知识培训，提高防范意识

由于有些工作涉及到易燃易爆化学品等高危险物质，校园内部对火灾隐患已经有了一定的防范意识，但通过这次培训，发现现有防范意识程度还是不够的。不论是一线工作人员还是治理人员，都应对岗位和部门可能涉及到的火灾风险和消防通道等消防相关设施有充分的了解。不论是火灾高危险岗位人员还是其他人员，都应该定期接受相关专家的消防安全教育培训，内容包括：有关消防法规、消防安全制度、保障消防安全的操作规程;各部门各岗位的火灾危险性和防火措施;各种消防设施的性能、灭火器材的使用方法;报火警、扑救初起火灾和自救逃生的知识和技能等。

三、消防安全工作要做到“三个抓”，不为隐患留空隙

第一是要“抓重点”。涉及到易燃易爆设备和物品的部门除了定期的培训之外，还要经常组织进行防火检查，发现火灾隐患，要记录在案并及时研究整改。组织建立义务消防队，不仅可以及时扑灭前期火灾，更重要的是通过义务消防队的组织，将消防意识和技能深入到重点部门的各方各面。

第二是要“抓薄弱”。相对消防安全隐患少的地区往往是最轻易被忽略的地区，但相对安全隐患少并不代表没有安全隐患。消防安全隐患和生产安全隐患不同，后者只会发生在特定的时间和地点，但前者却可能出现在校园的每一个角落。

第三是要“抓细节”。千里之堤，毁于蚁穴。火灾的防范要从大处着眼，但应该从小处做起。细节不轻易引人注重，如老化的绝缘材料、放错了位置的废纸篓等。但几乎所有的重大事故都是由于起初的“不注重”、“不小心”引起的，这些轻易被忽略的细节很轻易成为小事故的放大器，使得星星之火由此而燎原。

如何提升战略执行力讲座学习体会

4月17日下午听了北京大学赵琛教授讲的关于如何提升战略执行力的讲座深受启发，对赵教授的“复命”理论有了许多了解，同时也对如何提升战略执行力有了进一步的认识，下面就具体谈一下我的学习体会。

在许多企业发展中都存在着战略执行力问题，这些企业不是没有好的战略，而是在战略执行的过程中缺乏有效的执行力，企业的各级领导和员工缺乏“复命”精神，在企业中存在着“领导总是没时间，下属总是没办法；制度定了一大堆。落实总是没办法；天天泡在会海里，没有改进和结果了；员工总是有理由。让你觉得他没干好是有原因的。”等许多问题。赵教授所提倡的“复命”精神是指：“复命，是一种源自内心的价值观，是一种拒绝借口的态度，是一种重视结果的责任，是一种高效完成任务的策略，是一种无往不胜的竞争力，是一种迈向成功的模式，是以最终结果为导向的执行模式。”

“复命”精神具体应表现在：“不是主管找下属追结果，而是下属主动汇报结果；不是下属抱怨问题，而是主动想办法解决问题；不是下属做完才知道，而是在限定的时间内复命；不是下属带着问题来找答案，而是提出解决问题的方案。”在如何具备“复命”精神的方法上赵教授谈到了：“修心、修行、修文化、”三个要点。修心：“找到好的主意靠的是态度，而能力并不重要；真正的经验从失败中获得；不要与人争什么，知道自己能干什么，并且能干好什么；老与无能的人混在一起，会越来越无能；清新简单会让人终身受益；能克服巨大心理障碍的人才能获得巨大成功；许多事情善始恶终，事情与事实不符时，人们往往会否定事实，而认为理论是对的。”修行：“准备：成功者必须在思想、线路、方法上做充分准备；行动：学会“用脚做梦”，会赢在执行；策略：方法为王，让困难“灰飞烟灭”；条件：利用身边的有力条件；渠道：借助中心桥梁实现想要达成的目标；专业：专业是事业腾飞的翅膀。”修文化：高度决定速度；宽度：宽度决定规模；长度：选择决定长度。”

从赵教授对上述“复命”理论的阐述中我们可以看出，提升战略执行力需要多方面的提升自己，需要练好内功，联系中国银行的具体情况，我们不难看出，我行的弱点就在于此，多年来我行不是没有战略，不是没有好的管理规定，而是在执行中缺乏执行力，缺乏赵教授所说的“复命”精神，只提出问题，不是怎么解决问题，遇到问题部门之间相互推诿扯皮，一切从自己出发，不考虑整体利益等等，已经成为一种习惯性思维，所以若想提升我行的战略执行力，我们首先要练好内功，每一个员工，每一个部门，从我做起，发扬“复命”精神，“修心、修行、修文化。”使“复命”精神成为中国银行的一种企业文化，真正实现“追求卓越，只需增长，建设国际一流银行”的战略目标。