java

职责：

1、参与项目的架构设计，架构原型实现及核心模块的开发工作;

2、参与系统需求分析与设计，并负责完成PHP核心代码，接口规范制定;

3、重构现有架构，优化服务端性能。

任职要求：

1、1年以上LNMP开发经验，熟悉Ecshop二开的优先。

2、熟练运用PHP、mysql，至少熟悉一种MVC框架;

3、熟悉Mysql数据库，掌握各种调优技巧,熟悉多种nosql;

4、对代码和设计质量有严格要求，重视Code Review，良好的编码习惯和严格的编码规范;

5、有软件架构、服务器架构等方面经验,了解大负载大流量服务器端解决方案;

6、有带团队经验,具备良好的团队合作精神;

7、能承受大工作量负荷。

MVC：Model--职责分明，便于风开发、优点：解耦，职责分明，便于分工开发、缺点：分成三部分，造成系统架构复杂，对于小系统不适合、造成调试困难，一旦出现错误，可能是Model，也可能是view也可能是control、对开发人员要求比较高。

JSP 技术使用java编程语言编写类XML的tags和scriptlets，来封装产生动态网页的处理逻辑。网页还能通过tags和scriptlets访问存在于服务端的资源的应用逻辑。JSP将网页逻辑与网页设计和显示分离，支持可重用的基于组件的设计，使基于Web的应用程序的开发变得迅速和容易。

Web服务器在遇到访问JSP网页的请求时，首先执行其中的程序段，然后将执行结果连同JSP文件中的HTML代码一起返回给客户。插入的Java程序段可以操作数据库、重新定向网页等，以实现建立动态网页所需要的功能。

JSP与JavaServlet一样，是在服务器端执行的，通常返回给客户端的就是一个HTML文本，因此客户端只要有浏览器就能浏览。

JSP：为什么要学EL和jstl、在一个系统中，页面通常是由美工开设计完成，美工并不懂java语言、当美工看到页面上充满着java代码时，会干扰美工维护页面，造成维护困难、如何做到动态页面没有java代码?EL表达式和JSTL。

EL 表达式：${ 属性名 } //属性名是调用对象的setAttribute(属性名，属性值)、在servlet往范围对象中设臵属性，forward到目标页面、EL访问常量值，直接输出 ${ 常量 }、可以使用==判断字符串 、存取器 读取对象的值、使用.可以访问对象的属性，读取map的key、读取数组只能用。

javaSc ript是一种基于对象和事件驱动并具有安全性能的脚本语言

基本特点：基于对象的语言、简单性、安全性、动态性、跨平台性、是一种脚本编写语言、解释型语言(不用编译、直接由浏览器解释执行)

使用typeof操作符判断

NaN--notanumber,即非数值a、NaN用于表示一个本来要返回数值的操作数未返回值的情况;b、任何涉及NaN的操作都会返回NaN;c、NaN与任何值都不相等包括NaN本身，返回false

isNaN函数--判断某个值是否为数值

如果是数字值，返回本身、如果是null，返回0、如果是undefined，返回NaN、如果是字符串，遵循以下规则：

-–如果字符串中只包含数字，则将其转换为十进制(忽略前导0)

-–如果字符串中包含有效的浮点格式，将其转换为浮点数值(忽略前导0)-–如果是空字符串，将其转换为0

-–如果字符串中包含非以上格式，则将其转换为NaN

如果是对象，则调用对象的valueOf方法，然后依据前面的规则转换返回的值。如果转换的结果是NaN，则调用对象的toString方法，再次依照前面的规则转换返回的字符串值。

parseInt-将字符串转换为整数类型的数值,规则如下、忽略字符串前面的空格，直至找到第一个非空字符、如果第一个字符不是数字符号或者负号，返回NaN、如果第一个字符是数字，则继续解析直至字符串解析完毕或者遇到一个非数字符号为止、如果上步解析的结果以0开头，则将其当作八进制来解析;如果以0x开头，则将其当作十六进制来解析。

Hibernate是一个开放源代码的对象关系映射框架，它对JDBC进行了非常轻量级的对象封装，使得java程序员可以随心所欲的使用对象编程思维来操纵数据库。 Hibernate可以应用在任何使用JDBC的场合，既可以在Java的客户端程序使用，也可以在Servlet/JSP的Web应用中使用，最具革命意义的是，Hibernate可以在应用EJB的J2EE架构中取代CMP，完成数据持久化的重任。 数据库设计：a) 降低关联的复杂性、b) 尽量不使用联合主键、c) ID的生成机制，不同的数据库所提供的机制并不完全一样、d) 适当的冗余数据，不过分追求高范式

2、 HQL优化：HQL如果抛开它同HIBERNATE本身一些缓存机制的关联，HQL的优化技巧同普通的SQL优化技巧一样，可以很容易在网上找到一些经验之谈。

加载策略：延迟加载vs立即加载、-延迟加载(默认) 不会立即命中数据库，使用数据时命中、在可以改变为立即、*使用数据必须在session关闭之前、-立即加载：立即命中数据库，不管有没有数据

抓取策略、查询抓取:(N+1)、连接抓取：需要在关联的对象中设臵fetch="select|join"、N+1 与 1+M：-针对一端，如果查询有m个对象，这时会先发送1条sql语句查出m个对象，然后再发送m条sql语句查关联对象，这就是1+M、-针对多端，如果查询有n个对象，那么对每个对象需要重新发送一条sql语句，这就是n+1。

事务控制：事务方面对性能有影响的主要包括:事务方式的选用，事务隔离级别以及锁的选用a) 事务方式选用:如果不涉及多个事务管理器事务的话，不需要使用JTA，只有JDBC的事务控制就可以。b) 事务隔离级别:参见标准的SQL事务隔离级别c) 锁的选用:共享锁、独占锁、更新锁、死锁、悲观锁、乐观锁。

项目概述：融合通信产品是一款基于云计算体系架构，融合所有通讯录，集中管理用户通讯会话的工具。它以融合通信录为关系链，提供多种通信方式并融合至统一入口，并融合互联网热点应用，提供进入互联网的入口，可根据实际政企用户的定制需求增加扩展功能。

功能范围：支持android系统手机，暂不支持iphone。

处理流程：

导航栏：用于在层级结构的信息中导航，也可以用来管理屏幕信息

标签栏：Tab栏用于切换子任务、视图和模式。

内容栏：显示页面内容的区域

列表视图：列表视图在一行行格子里展示信息，可以划分为块或进行归组。用户可以拖动内容，以显示更多行。用户可以点击选中一项，然后用控件增加或删除行，选中多拍，查看某一行的更多信息或者展开另一个表示视图。当用户选中某项目时，表格会短暂地高亮。

浮出层：浮出层是一种临时的视图方式，可以通过用户点击控件或区域来召唤。

分段控件：是一条分割成多段的线，每一段都像是按钮，可以激活一种视图方式。

关联菜单：通过长按屏幕上的内容来打开关联菜单，显示被选中内容的一些可操作指令的列表，指令可以成为当前进程的一部分，系统也能通过被选中内容去启动另一个进程进行操作。

HTML ：是一种标记语言、忽略大小写，语法宽松、使用 HTML 标记和元素，可以：控制页面和内容的外观、发布联机文档、使用 HTML 文档中插入的链接检索联机信息、创建联机表单，收集用户的信息、执行事务等等、插入动画、开发帮助文件等。

CSS：样式会根据下面的规则层叠于一个新的虚拟样式表中，其中数字 d 拥有最高的优先权。浏览器兼容：一旦为页面设臵了恰当的 DTD，大多数浏览器都会按照上面的图示来呈现内容。然而 IE 5 和 6 的呈现却是不正确的。根据 W3C 的规范，元素内容占据的空间是由 width 属性设臵的，而内容周围的 padding 和 border 值是另外计算的。不幸的是，IE5.X 和 6 在怪异模式中使用自己的非标准模型。这些浏览器的 width 属性不是内容的宽度，而是内容、填充和边框的宽度的总和。

虽然有方法解决这个问题。但是目前最好的解决方案是回避这个问题。也就是，不要给元素添加具有指定宽度的内边距，而是尝试将内边距或外边距添加到元素的父元素和子元素。这些属性是DIV布局的奠基石。由于浏览器的不同，盒模式中也有差异，比如说对于宽度盒高度，在不同浏览器中定义是不同的，IE6 是包含边框 、内边距，而FF的只是指内容的宽度。细节上的差异，往往是我们在日常工作中能总结出来的。当你的CSS写的不兼容时候，你自然就会想起这些内容。

HTML：是一种标记语言、忽略大小写，语法宽松、使用HTML标记和元素，可以：控制页面和内容的外观、发布联机文档、使用HTML文档中插入的链接检索联机信息、创建联机表单，收集用户的信息、执行事务等等、插入动画、开发帮助文件等。

CSS：样式会根据下面的规则层叠于一个新的虚拟样式表中，其中数字d拥有的优先权。浏览器兼容：一旦为页面设臵了恰当的DTD，大多数浏览器都会按照上面的图示来呈现内容。然而IE5和6的呈现却是不正确的。根据W3C的规范，元素内容占据的空间是由width属性设臵的，而内容周围的padding和border值是另外计算的。不幸的是，IE5.X和6在怪异模式中使用自己的非标准模型。这些浏览器的width属性不是内容的宽度，而是内容、填充和边框的宽度的总和。

虽然有方法解决这个问题。但是目前的解决方案是回避这个问题。也就是，不要给元素添加具有指定宽度的内边距，而是尝试将内边距或外边距添加到元素的父元素和子元素。这些属性是DIV布局的奠基石。由于浏览器的不同，盒模式中也有差异，比如说对于宽度盒高度，在不同浏览器中定义是不同的，IE6是包含边框、内边距，而FF的只是指内容的宽度。细节上的差异，往往是我们在日常工作中能总结出来的。当你的CSS写的不兼容时候，你自然就会想起这些内容。

注：框架可以用word菜单中的 “视图/文档结构图” 看到

j2ee模式

value object(值对象) 用于把数据从某个对象/层传递到其他对象/层的任意java对象。

通常不包含任何业务方法。

也许设计有公共属性，或者提供可以获取属性值的get方法。

jsp

1.jsp的基础知识

__

_____ | directive (指令)

| |-- scripting (脚本)

jsp -------| |__ action (动作)

|

|_____template data ：除jsp语法外，jsp引擎不能解读的东西

1)在jsp中使用的directive(指令)主要有三个：

a) page指令

b) include指令

c) taglib指令

在jsp的任何地方，以任何顺序，一个页面可以包含任意数量的page指令

2)scripting(脚本)包括三种类型

a) ;

b) ;

c) ;

3)action(动作)

标准的动作类型有：

a) ;

b) ;

d) ;

e) ;

f) ;

g) ;

h) ; 日记日记300字

1. 注释： ;

;

2. ;

session可以不赋值，默认为true,如果session=”false”,则在jsp页面中，隐含的变量session就不能使用。

3. 请求控制器结构(request controller)

也被称之为jsp model 2 architecture

这种途径涉及到使用一个servlet或一个jsp作为一个应用程序或一组页面的入口点。

为创建可维护的jsp系统，request controller是最有用的方式之一。

不是jsp，而是java类才是放置控制逻辑的正确的地方。

请求控制器的命名模式为: controller.jsp

请求控制器类的命名模式为: requestcontroller

2.jsp中的javabean

jsp三种bean的类型

1) 页面bean

2) 会话bean

3) 应用bean

大多数的系统会使用一个会话bean来保持状态，而对每一个页面使用一个页面bean 来对复杂的数据进行表示。

页面bean是一个模型，而jsp是一个视图。

3.custom tag

bean是信息的携带者，

而tag更适用于处理信息。

标记库包含一个标记库描述符(tld)和用于实现custom tag的java类

在翻译阶段，jsp容器将使用tld来验证页面中的所有的tag是否都被正确的使用。

标记处理程序只是一个简单的适配器，而真正的逻辑是在另一个类中实现的，标记处理程序只是提供了一个供其他的可复用的类的jsp接口

servlet

1.servletconfig

 一个servletconfig对象是servlet container在servlet initialization的时候传递给servlet的。

servletconfig包涵 servletcontext 和 一些 name/value pair (来自于deployment descriptor)

 servletcontext接口封装了web应用程序的上下文概念。

2.会话跟踪

1) session

 当一个client请求多个servlets时，一个session可以被多个servlet共享。

 通常情况下，如果server detect到browser支持cookie，那么url就不会重写。

2) cookie

 在java servlet中，如果你光 cookie cookie = new cookie(name,value)

那么当用户退出browser时，cookie会被删除掉，而不会被存储在客户端的硬盘上。

如果要存储 cookie，需加一句 cookie.setmaxage(200)

 cookie是跟某一个server相关的，运行在同一个server上的servlet共享一个cookie.

3) url rewriting

在使用url rewriting来维护session id的时候，每一次http请求都需要encodeurl

典型的用在两个地方

1) out.print(“form action=” ”);

out.print(response.encodeurl(“sessionexample”));

out.print(“form action=” ”);

out.print(“method = get>;”);

2) out.print(“

;

out.print(response.encodeurl(“sessionexample?database=foo&datavalue=bar”));

out.println(“” >;url encoded ;”);

3.singlethreadmodel

默认的，每一个servlet definition in a container只有一个servlet class的实例。

只有实现了singlethreadmodel，container才会让servlet有多个实例。

servlet specification上建议，不要使用synchronized，而使用singlethreadmodel。

singlethreadmodel(没有方法)

保证servlet在同一时刻只处理一个客户的请求。

singlethreadmodel是耗费资源的，特别是当有大量的请求发送给servlet时，singlethreadmodel的作用是使包容器以同步时钟的方式调用service方法。

这等同于在servlet的service方法种使用synchronized.

single thread model一般使用在需要响应一个heavy request的时候，比如是一个需要和数据库打交道的连接。

2. 在重载servlet地init( )方法后，一定要记得调用super.init( );

3. the client通过发送一个blank line表示它已经结束request

而the server通过关闭the socket来表示response已结束了。

4. 一个http servlet可以送三种东西给client

1) a single status code

2) any number of http headers

3) a response body

5. servlet之间信息共享的一个最简单的方法就是

system.getproperties.put(“key”,”value”);

6. post和get

post：将form内各字段名称和内容放置在html header内传送给server

get: ?之后的查询字符串要使用urlencode，经过urlencode后，这个字符串不再带有空格，以后将在server上恢复所带有的空格。

get是web上最经常使用的一种请求方法，每个超链接都使用这种方法。

7. web.xml就是web applicatin 的deployment descriptor

作用有：组织各类元素

设置init param

设置安全性

8. request dispatcher用来把接收到的request forward processing到另一个servlet

要在一个response里包含另一个servlet的output时，也要用到request dispatcher.

9. servlet和jsp在同一个jvm中，可以通过serveltcontext的

setattribute( )

getattribute( )

removeattribute( )

来共享对象

10. 利用request.getparameter( )得到的string存在字符集问题。

可以用 strtitle = request.getparameter(“title”);

strtitle = new string(strtitle.getbytes(“8859-1”),”gb2312”);

如果你希望得到更大得兼容性

string encoding = response.getcharacterencoding;

//确定application server用什么编码来读取输入的。

strtitle = new string(strtitle.getbytes(encoding),”gb2312”);

xml

1.xml基础知识

1. 一个xml文档可以分成两个基本部分：

首部( header )

内容( content )

2. xml名字空间规范中指定：

xml文档中的每一个元素都处在一个名字空间中;如果没有指定的名字空间，缺省的名字空间就是和该元素相关联的名字空间。

3. a document that is well-formed obeys all of the rules of xml documents (nested tags, etc.)

" if a well-formed document uses a document type definition (more on these in a minute), and it follows all the rules of the dtd, then it is also a valid document

4. a tag is the text between the ;

" an element is the start tag, the end tag,and everything (including other elements) in between

5. 标签( tags ) 实际上包含了“元素”( elements ) 和 “属性”( attributes )两部分。

用元素( elements )来描述有规律的数据。

用属性( attributes ) 来描述系统数据。

如果你有一些数据要提供给某个应用程序，该数据就可能要用到一个元素。

如果该数据用于分类，或者用于告知应用程序如何处理某部分数据，或者该数据从来没有直接对客户程序公开，那么它就可能成为一种属性。

6. cdata (读作：c data ) c是character的缩写。

.xml.sax.reader

/|

org.xm.l.sax.xmlreader

/|

org.apche.xerces.parsers.saxparser

2.webservice

2.1 webservice的基本概念

webservice是一种可以接收从internet或者intranet上的其它系统中传递过来的请求，轻量级的独立的通讯技术。

这种技术允许网络上的所有系统进行交互。随着技术的发展，一个web服务可以包含额外的指定功能并且可以在多个b2b应用中协作通讯。

web服务可以理解请求中上下文的关系，并且在每一个特定的情况下产生动态的结果。这些服务会根据用户的身份，地点以及产生请求的原因来改变不同的处理，用以产生一个唯一的，定制的方案。这种协作机制对那些只对最终结果有兴趣的用户来说，是完全透明的。

uddi

在用户能够调用web服务之前，必须确定这个服务内包含哪些商务方法，找到被调用的接口定义，还要在服务端来编制软件。所以，我们需要一种方法来发布我们的web服务。

uddi (universal description, discovery, and integration) 是一个主要针对web服务供应商和使用者的新项目。uddi 项目中的成员可以通过uddi business registry (ubr) 来操作web服务的调用，ubr是一个全球性的服务。

web服务供应商可以在ubr中描述并且注册他们的服务。

用户可以在ubr中查找并定位那些他们需要的服务。

uddi是一种根据描述文档来引导系统查找相应服务的机制。

uddi包含标准的“白皮书”类型的商业查询方式，

“黄皮书”类型的局部查找，以及

“绿皮书”类型的服务类型查找。

uddi利用soap消息机制(标准的xml/http)来发布，编辑，浏览以及查找注册信息。它采用xml格式来封装各种不同类型的数据，并且发送到注册中心或者由注册中心来返回需要的数据。

wsdl

对于商业用户来说，要找到一个自己需要使用的服务，他必须知道如何来调用。

wsdl (web services description language) 规范是一个描述接口，语义以及web服务为了响应请求需要经常处理的工作的xml文档。这将使简单地服务方便，快速地被描述和记录。

以下是一个wsdl的样例：

targetnamespace=""

xmlns:tns="" (5)(6)(7)(8)(9)(10)(11)(12)(13)(14)(15)

xmlns:xsd1=""

xmlns:soap=";

xmlns=";>;

xmlns=";>;

type="tns:stockquoteporttype">;

transport=";/>;

soapaction=""/>;

;my first service;

它包含了以下的关键信息：

消息的描述和格式定义可以通过xml文档中的;和; 标记来传送。

; 标记中表示了消息传送机制。 (e.g. request-only, request-response, response-only) 。

; 标记指定了编码的规范 。

; 标记中表示服务所处的位置 (url)。

wsdl在uddi中总是作为一个接口描述文档。因为uddi是一个通用的用来注册wsdl规范的地方，uddi的规范并不限制任何类型或者格式描述文档。这些文档可能是一个wsdl文档，或者是一个正规的包含导向文档的web页面，也可能只是一个包含联系信息的电子邮件地址。

现在java提供了一个 java api for wsdl (jwsdl)规范。它提供了一套能快速处理wsdl文档的方法，并且不用直接对xml文档进行操作，它会比jaxp更方便，更快速。

soap

当商业用户通过uddi找到你的wsdl描述文档后，他通过可以simple object access protocol (soap) 调用你建立的web服务中的一个或多个操作。

soap是xml文档形式的调用商业方法的规范，它可以支持不同的底层接口，象http(s)或者smtp。

之所以使用xml是因为它的独立于编程语言，良好的可扩展性以及强大的工业支持。之所以使用http是因为几乎所有的网络系统都可以用这种协议来通信，由于它是一种简单协议，所以可以与任何系统结合，还有一个原因就是它可以利用80端口来穿越过防火墙。

soap的强大是因为它简单。soap是一种轻量级的，非常容易理解的技术，并且很容易实现。它有工业支持，可以从各主要的电子商务平台供应商那里获得。

从技术角度来看，soap详细指明了如何响应不同的请求以及如何对参数编码。一个soap封装了可选的头信息和正文，并且通常使用http post方法来传送到一个http 服务器，当然其他方法也是可以的，例如smtp。soap同时支持消息传送和远程过程调用。以下是一个soap请求。

post /stockquote http/1.1

host: www.stockquoteserver

content-type: text/xml; charset="utf-8"

content-length: nnnn

soapaction: "some-uri"

xmlns:soap-env=";

〖5〗〖6〗〖7〗〖8〗〖9〗〖10〗〖11〗〖12〗〖13〗〖14〗〖15〗

soap-env:encodingstyle=";/>;

;sunw;

jaxr

为了支持uddi在java平台上的功能，java apis for xml registries (jaxr)允许开发者来访问注册中心。

值得注意的是，jaxr并不是建立web服务必需的，你可以利用其他常用的xml apis来直接集成这些协议。

jaxr是一个方便的api，它提供了java api来发布，查找以及编辑那些注册信息。它的重点在于基于xml的b2b应用，复杂的地址本查找以及对xml消息订阅的支持等web服务。

它也可以用来访问其他类型的注册中心，象ebxml注册中心。

这些对web服务的注册信息进行的操作，可以使用当前的一些web服务工具来完成(例如第三方的soap和ebxml消息工具)。另外，当jaxp提供了一致并具有针对性的api来完成这些操作，这将使开发变得更加容易。

jax/rpc

为了使开发人员专注于建立象soap那样的基于xml的请求，jcp正在开发基于rpc (jax/rpc) 的java api。jax/rpc是用来发送和接收方法调用请求的，它基于xml协议，象soap，或者其他的象xmlp (xml protocol，要了解更多可以参考)。jax/rpc使你不用再关注这些协议的规范，使应用的开发更快速。不久，开发人员就不用直接以xml表示方法调用了。

目前有很多第三方实现了soap，开发人员可以在不同的层次上调用soap，并选择使用哪一种。将来，jax/rpc会取代这些apis并提供一个统一的接口来构造以及处理soap rpc请求。

在接收一个从商业伙伴那里过来的soap请求的时候，一个java servlet用jax/rpc来接收这个基于xml的请求。一旦接收到请求后，servlet会调用商务方法，并且把结果回复给商业伙伴。

jaxm

当从商业合作伙伴那里接收一个web服务的请求时，我们需要java api实现一个servlet来处理ebxml消息，就象我们用jax/rpc来处理soap请求一样。

java api for xml messaging (jaxm) 是集成xml消息标准(象ebxml消息或者soap消息)的规范。

这个api是用来推动xml消息处理的，它检测那些预定单的消息格式以及约束。它控制了所有的消息封装机制，用一种直观的方式分割了消息中的信息，象路由信息，发货单。这样，开发人员只要关注消息的有效负载，而不用去担心那些消息的重复处理。

目前的开发人员用jaxp来实现jaxm将要提供的功能，jaxm将会提供一套非常具有针对性的api来处理基于xml的消息传送。这将大大简化开发人员的代码，并使它们具有统一的接口。

jaxm和jax/rpc的差别在于处理消息导向的中间件以及远程过程调用的不同。jaxm注重于消息导向，而jax/rpc是用来完成远程过程调用的。以下是图解。

请注意，在jaxm 和 jax/rpc技术成熟之前，开发人员还是依赖于第三方的soap apis，象apache soap, idooxoap, 以及 glue。当jaxm 和 jax/rpc正式发布后，它将为当前不同的soap和ebxml消息提供统一的接口。就象jdbc位多种不同的数据库提供统一的接口。

jaxb

xml绑定技术可以把xml文档和java对象进行自由转换。

用jaxb，你可以在后台的ejb层，把xml文档转换成java对象。同样你也可以把从ejb中取出的java对象转换成xml文档返回给用户。

jaxb接口提供了比sax和dom更高级的方法来处理xml文档。它提供的特性可以在xml数据和java类之间互相映射，提供了一个简单的方法来转换xml数据。它比逐个解析标记更简单。

2.2 建立weservice的步骤

在建立weservice的时候，有三个主要步骤：

1.建立客户端联接

为了允许applets，applications，商业合作伙伴，浏览器和pdas 使用web服务。

2.实现web服务

包括工作流，数据传送，商业逻辑以及数据访问。这些功能是隐藏在web服务后，并且为客户端工作的。

3.联接后台系统

这个系统可能包括一个或多个数据库，现存的企业信息系统，商业合作伙伴自己的系统或者web服务，以及在多个系统中共享的数据。

基于j2ee的web服务的核心构架：

rmi

1. rmi-iiop

2. rmi 是在java中使用remote method invocation的最初的方法，rmi使用java.rmi包

rmi-iiop 是rmi的一个特殊版本，rmi-iiop可以和corba兼容，rmi-iiop使用java.rmi包和javax.rmi

jaf(java活动构架)

开发者可以使用jaf来决定任意一块数据的类型、封装对数据的访问、寻找合适的操作、实例化相关的bean来执行这些操作等。

例如，javamail就是使用jaf根据mime类型来决定实例化那一个对象。

ejb

1. ejb组件实现代码的限制

ejb组件的约束

ejb的开发者并不需要在ejb的组件实现代码中编写系统级的服务，ejb提供商/开发

者需知道并且严格地遵守一些限制，这些限制与开发稳定的和可移植的ejb组件的利益有

关。

以下是你应该回避使用的一些java特色，并且在你的ejb组件的实现代码中要严格限

制它们的使用：

1.使用static，非final 字段。建议你在ejb组件中把所有的static字段都声明为final型的。这样可以保证前后一致的运行期语义，使得ejb容器有可以在多个java虚拟机之间分发组件实例的灵活性。

2.使用线程同步原语来同步多个组件实例的运行。避免这个问题，你就可以使ejb容器灵活的在多个java虚拟机之间分发组件实例。

3.使用awt函数完成键盘的输入和显示输出。约束它的原因是服务器方的商业组件意味着提供商业功能而不包括用户界面和键盘的i/o功能。

4.使用文件访问/java.io 操作。ejb商业组件意味着使用资源管理器如jdbc来存储和检索数据而不是使用文件系统api。同时，部署工具提供了在部署描述器(descriptor)中存储环境实体，以至于ejb组件可以通过环境命名上下文用一种标准的方法进行环境实体查询。所以，使用文件系统的需求基本上是被排除了。

5.监听和接收socket连接，或者用socket进行多路发送。ejb组件并不意味着提供网络socket服务器功能，但是，这个体系结构使得ejb组件可以作为socket客户或是rmi客户并且可以和容器所管理的环境外面的代码进行通讯。

6.使用映象api查询ejb组件由于安全规则所不能访问的类。这个约束加强了java平台的安全性。

7.欲创建或获得一个类的加载器，设置或创建一个新的安全管理器，停止java虚拟机，改变输入、输出和出错流。这个约束加强了安全性同时保留了ejb容器管理运行环境的能力。

8.设置socket工厂被urls serversocket,socket和stream handler使用。避免这个特点，可以加强安全性同时保留了ejb容器管理运行环境的能力。

9.使用任何方法启动、停止和管理线程。这个约束消除了与ejb容器管理死锁、线程

和并发问题的责任相冲突的可能性。

通过限制使用10-16几个特点，你的目标是堵上一个潜在的安全漏洞：

10.直接读写文件描述符。

11.为一段特定的代码获得安全策略信息。

12.加载原始的类库。

13.访问java一般角色所不能访问的包和类。

14.在包中定义一个类。

15.访问或修改安全配置对象(策略、安全、提供者、签名者和实体)。

16.使用java序列化特点中的细分类和对象替代。

17.传递this引用指针作为一个参数或者作为返回值返回this引用指针。你必须使用

sessioncontext或entitycontext中的getejbobject的结果。

java2平台的安全策略

以上所列的特点事实上正是java编程语言和java2标准版中的标准的、强有力的特色。ejb容器允许从j2se中使用一些或全部的受限制的特色，尽管对于ejb组件是不可用的，但需通过j2se的安全机制来使用而不是通过直接使用j2se的api。

java2平台为ejb1.1规范中的ejb容器所制定的安全策略定义了安全许可集，这些许可在ejb组件的编程限制中出现。通过这个策略，定义了一些许可诸如：java.io.filepermission,.netpermission,java.io.reflect.reflectpermission,java.lang.security.securitypermission,以便加强先前所列出的编程限制。

许多ejb容器没有加强这些限制，他们希望ejb组件开发者能遵守这些编程限制或者是带有冒险想法违背了这些限制。违背这些限制的ejb组件，比标准方法依赖过多或过少的安全许可，都将很少能在多个ejb容器间移植。另外，代码中都将隐藏着一些不确定的、难以预测的问题。所有这些都足以使ejb组件开发者应该知道这些编程限制，同时也应该认真地遵守它们。

任何违背了这些编程限制的ejb组件的实现代码在编译时都不能检查出来，因为这些特点都是java语言和j2se中不可缺少的部分。

对于ejb组件的这些限制同样适用于ejb组件所使用的帮助/访问(helper/access)类，j2ee应用程序使用java文档(jar)文件格式打包到一个带.ear(代表enterprise archive)扩展名的文件中，这个ear文件对于发送给文件部署器来说是标准的格式。ear文件中包括在一个或多个ejb-jar文件中的ejb组件，还可能有ejb-jar所依赖的库文件。所有ear文件中的代码都是经过深思熟虑开发的应用程序并且都遵守编程限制和访问许可集。

未来版本的规范可能会指定通过部署工具来定制安全许可的能力，通过这种方法指定了一个合法的组件应授予的许可权限，也指定了一个标准方法的需求：如从文件系统中读文件应有哪些要求。一些ejb容器/服务器目前在它们的部署工具中都提供了比标准权限或多或少的许可权限，这些并不是ejb1.1规范中所需要的。

理解这些约束

ejb容器是ejb组件生存和执行的运行期环境，ejb容器为ejb组件实例提供了一些服务如：事务管理、安全持久化、资源访问、客户端连接。ejb容器也负责ejb组件实例整个生命期的管理、扩展问题以及并发处理。所以，ejb组件就这样寄居在一个被管理的执行环境中--即ejb容器。

因为ejb容器完全负责ejb组件的生命期、并发处理、资源访问、安全等等，所以与容器本身的锁定和并发管理相冲突的可能性就需要消除，许多限制都需要使用来填上潜在的安全漏洞。除了与ejb容器责任与安全冲突的问题，ejb组件还意味着仅仅聚焦于商务逻辑，它依赖于ejb容器所提供的服务而不是自己来直接解决底层的系统层的问题。 3 4 5 6 7 8 9 10 11 12 13 14 15

可能的问题

通常，ejb组件在容器之间的移植不可避免地与如下问题相关：

1.它需要依靠的受限制的特点在特定ejb容器中没有得到加强。

2.它需要依靠的非标准的服务从容器中可获得。

为了保证ejb组件的可移植性和一致的行为，你应该使用一个具有与java2平台安全

策略集相一致的策略集的容器来测试ejb组件，并且其加强了前述的编程限制。

总结

ejb组件开发者应该知道这些推荐的关于ejb组件的编程限制，明白它们的重要性，并且从组件的稳定性和可移植性利益方面考虑来遵循它们。因为这些编程限制能阻止你使用标准的java语言的特点，违背了这些编程限制在编译时不会知道，并且加强这些限制也不是ejb容器的责任。所有这些原因都使你应很小心地遵守这些编程限制，这些限制在组件的合同中已经成为了一个条款，并且它们对于建造可靠的、可移植的组件是非常重要的。

2. 优化ejb

entity bean为在应用程序和设计中描述持久化商业对象(persistent business objec ts)提供了一个清晰的模型。在java对象模型中，简单对象通常都是以一种简单的方式进行处理但是，很多商业对象所需要的事务化的持久性管理没有得到实现。entity bean将持久化机制封装在容器提供的服务里，并且隐藏了所有的复杂性。entity bean允许应用程序操纵他们就像处理一个一般的java对象应用。除了从调用代码中隐藏持久化的形式和机制外，entity bean还允许ejb容器对对象的持久化进行优化，保证数据存储具有开放性，灵活性，以及可部署性。在一些基于ejb技术的项目中，广泛的使用oo技术导致了对entity bean的大量使用，sun的工程师们已经积累了很多使用entity bean的经验，这篇文章就详细阐述的这些卡发经验：

*探索各种优化方法

*提供性能优化和提高适用性的法则和建议

*讨论如何避免一些教训。

法则1：只要可以，尽量使用cmp

cmp方式不仅减少了编码的工作量，而且在container中以及container产生的数据库访问代码中包括了许多优化的可能。container可以访问内存缓冲中的bean,这就允许它可以监视缓冲中的任何变化。这样的话就在事物没有提交之前，如果缓存的数据没有变化就不用写到数据库中。就可以避免许多不必要的数据库写操作。另外一个优化是在调用find方法的时候。通常情况下find方法需要进行以下数据库操作：

查找数据库中的纪录并且获得主键

将纪录数据装入缓存

cmp允许将这两步操作优化为一步就可以搞定。[具体怎么做我也没弄明白，原文没有具体阐述]

法则2：写代码时尽量保证对bmp和cmp都支持

许多情况下，ejb的开发者可能无法控制他们写的bean怎么样被部署，以及使用的container是不是支持cmp.

一个有效的解决方案是，将商业逻辑的编码完全和持久化机制分离。再cmp类中实现商业逻辑，然后再编写一个bmp类，用该类继承cmp类。这样的话，所有的商业逻辑都在cmp类中，而持久化机制在bmp中实现。[我觉得这种情况在实际工作中很少遇到，但是作者解决问题的思路值得学习]

法则3：把ejbstore中的数据库访问减小到最少。

如果使用bmp,设置一个缓存数据改变标志dirty非常有用。所有改变数据库中底层数据的操作，都要设置dirty,而在ejbstore中，首先检测dirty的值，如果dirty的值没有改变，表明目前数据库中的数据与缓存的一致，就不必进行数据库操作了，反之，就要把缓存数据写入数据库。

法则4：总是将从lookup和find中获得的引用进行缓存。(cache)

引用缓存对session bean和entity bean 都是适用的。

通过jndi lookup获得ejb资源。比如datasource,bean的引用等等都要付出相当大的代价。因此应该避免多余的lookup.可以这样做：

将这些引用定义为实例变量。

从setentitycontext(session bean使用setsessioncontext)方法查找他们。setentitycontext方法对于一个bean实例只执行一次，所有的相关引用都在这一次中进行查找，这样查找的代价就不是那么昂贵了。应该避免在其他方法中查找引用。尤其是访问数据库的方法：ejbload和ejbstore,如果在这些频繁调用的方法中进行datasource的查找，势必造成时间的浪费。

调用其他entity bean的finder方法也是一种重量级的调用。多次调用finder方法的代价非常高。如果这种引用不适合放在setentitycontext这样的初始化时执行的方法中执行，就应该在适当的时候缓存finder的执行结果。只是要注意的是，如果这个引用只对当前的entity有效，你就需要在bean从缓冲池中取出来代表另外一个实体时清除掉这些引用。，这些操作应该在ejbactivate中进行。

法则5:总是使用prepare statements

这条优化法则适用于所有访问关系数据库的操作。

数据库在处理每一个sql statement的时候，执行前都要对statement进行编译。一些数据库具有缓存statement和statement的编译后形式的功能。数据库可以把新的statement和缓存中的进行匹配。然而，如果要使用这一优化特性，新的statement要必须和缓存中的statement完全匹配。

对于non-prepared statement,数据和statement本身作为一个字符串传递，这样由于前后调用的数据不同而不能匹配，就导致无法使用这种优化。而对于prepared statement,数据和statement是分开传递给数据库的，这样statement就可以和cache中已编译的statement进行匹配。statement就不必每次都进行编译操作。从而使用该优化属性。

【5】【6】【7】【8】【9】【10】【11】【12】【13】【14】【15】

这项技术在一些小型的数据库访问中能够减少statement将近90%的执行时间。

法则6：完全关闭所有的statement

在编写bmp的数据库访问代码时，记住一定要在数据库访问调用之后关闭statement,因为每个打开的statement对应于数据库中的一个打开的游标。

security

1.加密

对称加密

(1)分组密码

(2)流密码

常用的对称加密算法：

des和tripledes

blowfish

rc4

aes

非对称加密

常用的非对称加密算法

rsa

elgamal

会话密钥加密(对称加密和非对称加密一起使用)

常用的会话密钥加密协议

s/mime

pgp

ssl和tls ssl是在application level protocal和transport protocal之间的。

比如：http和tcp/ip之间

ssl 提供了服务器端认证和可选的客户端认证，保密性和数据完整性。

提供基于ssl方式的传输加密和认证，确保以下三种安全防护：

数据的机密性和准确性、

服务器端认证

客户端认证。

客户端认证比服务器端认证不很普遍的原因是每一个要被认证的客户都必须有一张verisign这样的ca签发的证书。

通常，在进行身份认证的时候，应当只接受一个ca，这个ca的名字包含在客户证书中。

由于不可能随意创建一个由指定ca签发的证书，所以这可以有效的防御通过伪造证书来进行的攻击尝试。

2.认证(authentication)

认证就是确定一条消息或一个用户的可靠性的过程。

1.消息摘要

md5

sha和sha-1

2.消息认证码(message authientication codes,mac)

3.数字签名

用户可以用自己的密钥对信息加以处理，由于密钥仅为本人所有，这样就产生了别人无法生成的文件，也就形成了数字签名

数字签名可以

1)保证数据的完整性

2)验证用户的身份

数字签名采用一个人的私钥计算出来，然后用公钥去检验。

hash算法 私钥加密

原报文 ――――――>;报文摘要( message digest ) ―――――>;数字签名

原报文和数字签名一起被发送到接受者那里，接受者用同样的hash算法得到报文摘要，然后用发送者的公钥解开数字签名。

比较是否相同，则可以确定报文确定来自发送者。

验证数字签名必须使用公钥，但是，除非你是通过安全的方式直接得到，否则不能保证公钥的正确性。(数字证书可以解决这个问题)

一个接受者在使用公钥(public key)检查数字签名(digital signature)的可信度时，通常先要检查收到的公钥(public key)是否可信的。

因此发送方不是单单地发送公钥(public key)，而是发送一个包含公钥(public key)的数字证书(cetificate )。

4.数字证书

数字证书是一个经证书授权中心数字签名的包含公开密钥所有者信息以及公开密钥的文件。

数字证书cetificate中包括：

i. 用户的公钥(public key)

ii. 用户的一些信息，如姓名，email

iii. 发行机构的数字签名(digital signature)， 用于保证证书的可信度

iv. 发行机构的一些信息

数字证书的格式遵循x.509国际标准。

注意：一个数字证书certificate并不适用于多种browser,甚至一种browser的多个版本。

数字标识由公用密钥、私人密钥和数字签名三部分组成。

当在邮件中添加数字签名时，您就把数字签名和公用密钥加入到邮件中。数字签名和公用密钥统称为证书。您可以使用 outlook express 来指定他人向您发送加密邮件时所需使用的证书。这个证书可以不同于您的签名证书。

收件人可以使用您的数字签名来验证您的身份，并可使用公用密钥给您发送加密邮件，这些邮件必须用您的私人密钥才能阅读。

要发送加密邮件，您的通讯簿必须包含收件人的数字标识。这样，您就可以使用他们的公用密钥来加密邮件了。当收件人收到加密邮件后，用他们的私人密钥来对邮件进行解密才能阅读。

在能够发送带有数字签名的邮件之前，您必须获得数字标识。如果您正在发送加密邮件，您的通讯簿中必须包含每位收件人的数字标识。

数字证书，可以是个人证书或 web 站点证书，用于将身份与"公开密钥"关联。只有证书的所有者才知道允许所有者"解密"或进行"数字签名"的相应"私人密钥"。当您将自己的证书发送给其他人时，实际上发给他们的是您的公开密钥，这样他们就可以向您发送只能由您使用私人密钥解密和读取的加密信息。

通过浏览器使用数字证书，必须先要设置浏览器软件 internet explorer 或 netscape使用此证书，才能开始发送加密或需要数字签名的信息。访问安全的 web 站点(以"https"打头的站点)时，该站点将自动向您发送他们的web站点证书。

3.ca(证书授证中心)

ca机构，又称为证书授证(certificate authority)中心，作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任。ca中心为每个使用公开密钥的用户发放一个数字证书，数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。ca机构的数字签名使得攻击者不能伪造和篡改证书。在set交易中，ca不仅对持卡人、商户发放证书，还要对获款的银行、网关发放证书。它负责产生、分配并管理所有参与网上交易的个体所需的数字证书，因此是安全电子交易的核心环节。

〖5〗〖6〗〖7〗〖8〗〖9〗〖10〗〖11〗〖12〗〖13〗〖14〗〖15〗

对证书的信任基于对根证书的信任. 例如在申请sheca的个人数字证书前，需要先下载根证书，然后再进行各类证书的申请。

下载根证书的目的：

网络服务器验证(s);安全电子邮件(e)

申请个人数字证书可以为internet用户提供发送电子邮件的安全和访问需要安全连接(需要客户证书)的站点。

1)个人数字证书

a.个人身份证书

个人身份证书是用来表明和验证个人在网络上的身份的证书，它确保了网上交易和作业的安全性和可靠性。可应用于：网上炒股、网上理财、网上保险、网上缴费、网上购物、网上办公等等。个人身份证书可以存储在软盘或ic卡中。

b.个人安全电子邮件证书

个人安全电子邮件证书可以确保邮件的真实性和保密性。申请后一般是安装在用户的浏览器里。用户可以利用它来发送签名或加密的电子邮件。

用户在申请安装完安全安全电子邮件数字证书后，就可以对要发送的邮件进行数字签名。收信人收到该邮件后，就可以看到数字签名的标记，这样就可以证明邮件肯定来自发信者本人，而不是别人盗用该帐号伪造信件，同时也保证该邮件在传送过程中没被他人篡改过任何数据。

安全电子邮件中使用的数字证书可以实现：

保密性 通过使用收件人的数字证书对电子邮件加密。如此以来，只有收件人才能阅读加密的邮件，在internet上传递的电子邮件信息不会被人窃取，即使发错邮件，收件人也无法看到邮件内容。

认证身份 在internet上传递电子邮件的双方互相不能见面，所以必须有方法确定对方的身份。利用发件人数字证书在传送前对电子邮件进行数字签名即可确定发件人身份，而不是他人冒充的。

完整性 利用发件人数字证书在传送前对电子邮件进行数字签名不仅可确定发件人身份，而且传递的电子邮件信息也不能被人在传输过程中修改。

不可否认性 由于发件人的数字证书只有发件人唯一拥有，故发件人利用其数字证书在传送前对电子邮件进行数字签名，发件人就无法否认发过这个电子邮件。

outlook express中的个人安全电子邮件证书

签名邮件带有签名邮件图标。

签名邮件可能出现的任何问题都将在本信息之后可能出现的“安全警告”中得到描述。如果存在问题，您应该认为邮件已被篡改，或并非来自所谓的发件人。

当收到一封加密邮件时，您应该可以自信地认为邮件未被任何第三者读过。outlook express 会自动对电子邮件解密， 如果在您的计算机上装有正确的数字标识。

2)企业数字证书

a.企业身份证书

企业身份证书是用来表明和验证企业用户在网络上身份的证书，它确保了企业网上交易和作业的安全性和可靠性。可应用于：网上证券、网上办公、网上交税、网上采购、网上资金转帐、网上银行等。企业身份证书可以存储在软盘和ic卡中。

b.企业安全电子邮件证书

企业安全电子邮件证书可以确保邮件的真实性和保密性。申请后一般是安装在用户的浏览器里。企业可以利用它来发送签名或加密的电子邮件。

可使用 windows 中的证书服务来创建证书颁发机构 (ca)，它负责接收证书申请、验证申请中的信息和申请者的身份、颁发证书、吊销证书以及发布证书吊销列表 (crl)。

通常，当用户发出证书申请时，在其计算机上的加密服务提供程序 (csp) 为用户生成公钥和私钥对。用户的公钥随同必要的识别信息发送至 ca。如果用户的识别信息符合批准申请的 ca 标准，那么 ca 将生成证书，该证书由客户应用程序检索并就地存储。

4.set

安全接口层协议——ssl(se cure socketslayer)，并且已经几乎成为了目前www 世界的事实标准。这一标准使用公共密钥编码方案来对传输数据进行加密，在双方之间建立一个internet 上的加密通道，从而使第三方无法获得其中的信息，其思路与目前流行的方案大致相同，目的都是要保护数据不被未经授权的第三方所窃听，或即使窃听到也不知所云。但就象 一样，ssl 在认证方面没有任何作为，它们都需要通过另外的手段来确认身份和建立双方彼此间的信任，然后再通过ssl 进行交易。

正是由于ssl 标准在认证方面的缺憾，所以set 才有存在的必要。set(secure electronic transactions) 规范由masterc ard 和visa 公司于1996 年发布，专家们认为set 是保证用户与商家在电子商务与在线交易中免受欺骗的重要手段。传统的信用卡交易者总在担心不诚实的店员会将自己的信用卡号码透露给他人，而在线交易也是如此，持卡者总在担心服务器端的管理员会将信用卡号码泄露出去，或者担心黑客会在管理员不知情的情况下盗取信用卡号码。事实上这些担心都是必要的，而set 标准则可以保证用户的信用卡号码只传送给信用卡公司进行认证，不会被系统管理员看到，也不会留在交易服务器的硬盘上给黑客以可乘之机。

5.pki

pki是一种易于管理的、集中化的网络安全方案。它可支持多种形式的数字认证: 数据加密、数字签字、不可否认、身份鉴别、密钥管理以及交叉认证等。pki可通过一个基于认证的框架处理所有的数据加密和数字签字工作。p ki标准与协议的开发迄今已有20xx年的历史,目前的pki已完全可以向企业网络提供有效的安全保障。 〖5〗〖6〗〖7〗〖8〗〖9〗〖10〗〖11〗〖12〗〖13〗〖14〗〖15〗

pki是一种遵循标准的密钥管理平台,它能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理。pki必须具有

1)ca、

2)证书库、

3)密钥备份及恢复系统、

4)证书作废处理系统、

5)客户端证书处理系统

等基本成分,构建pki也将围绕着这五大系统来构建

一个pki由众多部件组成,这些部件共同完成两个主要功能:

1)为数据加密

2)创建数字认证。

服务器(即后端)产品是这一系统的核心,这些数据库管理着数字认证、公共密钥及专用密钥( 分别用于数据的加密和解密)。

ca数据库负责发布、废除和修改x.509数字认证信息,它装有用户的公共密钥、证书有效期以及认证功能(例如对数据的加密或对数字签字的验证) 。为了防止对数据签字的篡改,ca在把每一数字签字发送给发出请求的客户机之前,需对每一个数字签字进行认证。一旦数字认证得以创建, 它将会被自动存储于x.500目录中,x.500目录为树形结构。ldap(lightweight directory access protocol)协议将响应那些要求提交所存储的公共密钥认证的请求。ca为每一用户或服务器生成两对独立的公共和专用密钥。其中一对用于信息的加密和解密, 另一对由客户机应用程序使用,用于文档或信息传输中数字签字的创建。

大多数pki均支持证书分布,这是一个把已发布过的或续延生命期的证书加以存储的过程。这一过程使用了一个公共查询机制,x.500目录可自动完成这一存储过程。影响企业普遍接受p ki的一大障碍是不同ca之间的交叉认证。假设有两家公司,每一家企业分别使用来自不同供应商的ca,现在它们希望相互托管一段时间。如果其后援数据库支持交叉认证, 则这两家企业显然可以互相托管它们的ca,因而它们所托管的所有用户均可由两家企业的ca所托管。

* 认证机关

ca是证书的签发机构,它是pki的核心。众所周知,构建密码服务系统的核心内容是如何实现密钥管理,公钥体制涉及到一对密钥,即私钥和公钥, 私钥只由持有者秘密掌握,无须在网上传送,而公钥是公开的,需要在网上传送,故公钥体制的密钥管理主要是公钥的管理问题,目前较好的解决方案是引进证书(certificate)机制。

证书是公开密钥体制的一种密钥管理媒介。它是一种权威性的电子文档，形同网络计算环境中的一种身份证，用于证明某一主体(如人、服务器等)的身份以及其公开密钥的合法性。在使用公钥体制的网络环境中, 必须向公钥的使用者证明公钥的真实合法性。因此,在公钥体制环境中,必须有一个可信的机构来对任何一个主体的公钥进行公证,证明主体的身份以及他与公钥的匹配关系。c a正是这样的机构,它的职责归纳起来有:

1、验证并标识证书申请者的身份;

2、确保ca用于签名证书的非对称密钥的质量;

3、确保整个签证过程的安全性,确保签名私钥的安全性;

4、证书材料信息(包括公钥证书序列号、ca标识等)的管理;

5、确定并检查证书的有效期限;

6、确保证书主体标识的唯一性,防止重名;

7、发布并维护作废证书表;

8、对整个证书签发过程做日志记录;

9、向申请人发通知。

其中最为重要的是ca自己的一对密钥的管理，它必须确保其高度的机密性,防止他方伪造证书。ca的公钥在网上公开,整个网络系统必须保证完整性。

* 证书库

证书库是证书的集中存放地,它与网上"白页”类似,是网上的一种公共信息库,用户可以从此处获得其他用户的证书和公钥。

构造证书库的最佳方法是采用支持ldap协议的目录系统,用户或相关的应用通过ldap来访问证书库。系统必须确保证书库的完整性,防止伪造、篡改证书。

* 密钥备份及恢复系统

* 证书作废处理系统

* pki应用接口系统

pki的价值在于使用户能够方便地使用加密、数字签名等安全服务，因此一个完整的pki必须提供良好的应用接口系统，使得各种各样的应用能够以安全、一致、可信的方式与p ki交互，确保所建立起来的网络环境的可信性，同时降低管理维护成本。最后，pki应用接口系统应该是跨平台的。

许多权威的认证方案供应商(例如verisign、thawte以及gte)目前都在提供外包的pki。外包pki最大的问题是,用户必须把企业托管给某一服务提供商, 即让出对网络安全的控制权。如果不愿这样做,则可建造一个专用的pki。专用方案通常需把来自entrust、baltimore technologies以及xcert的多种服务器产品与来自主流应用程序供应商(如microsoft、netscape以及qualcomm)的产品组合在一起。专用pk i还要求企业在准备其基础设施的过程中投入大量的财力与物力。

7.jaas

扩展jaas实现类实例级授权

“java 认证和授权服务”(java authentication and authorization service，jaas)

在 jaas 下，可以给予用户或服务特定的许可权来执行 java 类中的代码。在本文中，软件工程师 carlos fonseca 向您展示如何为企业扩展 jaas 框架。向 jaas 框架添加类实例级授权和特定关系使您能够构建更动态、更灵活并且伸缩性更好的企业应用程序。

大多数 java 应用程序都需要某种类实例级的访问控制。例如，基于 web 的、自我服务的拍卖应用程序的规范可能有下列要求： 《5》《6》《7》《8》《9》《10》《11》《12》《13》《14》《15》

任何已注册(经过认证)的用户都可以创建一个拍卖，但只有创建拍卖的用户才可以修改这个拍卖。

这意味着任何用户都可以执行被编写用来创建 auction 类实例的代码，但只有拥有该实例的用户可以执行用来修改它的代码。通常情况下，创建 auction 实例的用户就是所有者。这被称为类实例所有者关系(class instance owner relationship)。

该应用程序的另一个要求可能是：

任何用户都可以为拍卖创建一个投标，拍卖的所有者可以接受或拒绝任何投标。

再一次，任何用户都可以执行被编写用来创建 bid 类实例的代码，但只有拥有该实例的用户会被授予修改该实例的许可权。而且，auction 类实例的所有者必须能够修改相关的 bid 类实例中的接受标志。这意味着在 auction 实例和相应的 bid 实例之间有一种被称为特定关系(special relationship)的关系。

不幸的是，“java 认证和授权服务”(jaas)— 它是 java 2 平台的一部分 — 没有考虑到类实例级访问控制或者特定关系。在本文中，我们将扩展 jaas 框架使其同时包含这两者。推动这种扩展的动力是允许我们将访问控制分离到一个通用的框架，该框架使用基于所有权和特定关系的策略。然后管理员可以在应用程序的生命周期内更改这些策略。

在深入到扩展 jaas 框架之前，我们将重温一下 java 2 平台的访问控制机制。我们将讨论策略文件和许可权的使用，并讨论 securitymanager 和 accesscontroller 之间的关系。

java 2 平台中的访问控制

在 java 2 平台中，所有的代码，不管它是本地代码还是远程代码，都可以由策略来控制。策略(policy)由不同位置上的代码的一组许可权定义，或者由不同的签发者定义、或者由这两者定义。许可权允许对资源进行访问;它通过名称来定义，并且可能与某些操作关联在一起。

抽象类 java.security.policy 被用于表示应用程序的安全性策略。缺省的实现由 sun.security.provider.policyfile 提供，在 sun.security.provider.policyfile 中，策略被定义在一个文件中。清单 1 是一个典型策略文件示例：

清单 1. 一个典型的策略文件

// grant these permissions to code loaded from a sample.jar file

// in the c drive and if it is signed by xyz

grant codebase "file:/c:/sample.jar", signedby "xyz" {

// allow socket actions to any host using port 8080

permission .socketpermission "*:8080", "accept, connect,

listen, resolve";

// allows file access (read, write, execute, delete) in

// the users home directory.

permission java.io.filepermission "${user.home}/-", "read, write,

execute, delete";

};

securitymanager 对 accesscontroller

在标准 jdk 分发版中，控制代码源访问的机制缺省情况下是关闭的。在 java 2 平台以前，对代码源的访问都是由 securitymanager 类管理的。securitymanager 是由 java.security.manager 系统属性启动的，如下所示：

java -djava.security.manager

在 java 2 平台中，可以将一个应用程序设置为使用 java.lang.securitymanager 类或者 java.security.accesscontroller 类管理敏感的操作。accesscontroller 在 java 2 平台中是新出现的。为便于向后兼容，securitymanager 类仍然存在，但把自己的决定提交 accesscontroller 类裁决。securitymanager 和 accesscontroller 都使用应用程序的策略文件确定是否允许一个被请求的操作。清单 2 显示了 accesscontroller 如何处理 socketpermission 请求：

清单 2. 保护敏感操作

public void somemethod {

permission permission =

new .socketpermission("localhost:8080", "connect");

accesscontroller.checkpermission(permission);

// sensitive code starts here

socket s = new socket("localhost", 8080);

}

在这个示例中，我们看到 accesscontroller 检查应用程序的当前策略实现。如果策略文件中定义的任何许可权暗示了被请求的许可权，该方法将只简单地返回;否则抛出一个 accesscontrolexception 异常。在这个示例中，检查实际上是多余的，因为缺省套接字实现的构造函数也执行相同的检查。

在下一部分，我们将更仔细地看一下 accesscontroller 如何与 java.security.policy 实现共同合作安全地处理应用程序请求。

运行中的 accesscontroller

accesscontroller 类典型的 checkpermission(permission p) 方法调用可能会导致下面的一系列操作：

accesscontroller 调用 java.security.policy 类实现的 getpermissions(codesource codesource) 方法。

getpermissions(codesource codesource) 方法返回一个 permissioncollection 类实例，这个类实例代表一个相同类型许可权的集合。

accesscontroller 调用 permissioncollection 类的 implies(permission p) 方法。

接下来，permissioncollection 调用集合中包含的单个 permission 对象的 implies(permission p) 方法。如果集合中的当前许可权对象暗示指定的许可权，则这些方法返回 true，否则返回 false。

[1][2][3][4][5][6][7][8][9][10][11][12][13][14][15]

现在，让我们更详细地看一下这个访问控制序列中的重要元素。

permissioncollection 类

大多数许可权类类型都有一个相应的 permissioncollection 类。这样一个集合的实例可以通过调用 permission 子类实现定义的 newpermissioncollection 方法来创建。java.security.policy 类实现的 getpermissions 方法也可以返回 permissions 类实例 — permissioncollection 的一个子类。这个类代表由 permissioncollection 组织的不同类型许可权对象的一个集合。permissions 类的 implies(permission p) 方法可以调用单个 permissioncollection 类的 implies(permission p) 方法。

codesource 和 protectiondomain 类

许可权组合与 codesource(被用于验证签码(signed code)的代码位置和证书)被封装在 protectiondomain 类中。有相同许可权和相同 codesource 的类实例被放在相同的域中。带有相同许可权，但不同 codesource 的类被放在不同的域中。一个类只可属于一个 protectiondomain。要为对象获取 protectiondomain，请使用 java.lang.class 类中定义的 getprotectiondomain 方法。

许可权

赋予 codesource 许可权并不一定意味着允许所暗示的操作。要使操作成功完成，调用栈中的每个类必须有必需的许可权。换句话说，如果您将 java.io.filepermission 赋给类 b，而类 b 是由类 a 来调用，那么类 a 必须也有相同的许可权或者暗示 java.io.filepermission 的许可权。

在另一方面，调用类可能需要临时许可权来完成另一个拥有那些许可权的类中的操作。例如，当从另一个位置加载的类访问本地文件系统时，我们可能不信任它。但是，本地加载的类被授予对某个目录的读许可权。这些类可以实现 privilegedaction 接口来给予调用类许可权以便完成指定的操作。调用栈的检查在遇到 privilegedaction 实例时停止，有效地将执行指定操作所必需的许可权授予所有的后继类调用。

使用 jaas

顾名思义，jaas 由两个主要组件组成：认证和授权。我们主要关注扩展 jaas 的授权组件，但开始我们先简要概述一下 jaas 认证，紧接着看一下一个简单的 jaas 授权操作。

jaas 中的用户认证

jaas 通过添加基于 subject 的策略加强了 java 2 中定义的访问控制安全性模型。许可权的授予不仅基于 codesource，还基于执行代码的用户。显然，要使这个模型生效，每个用户都必须经过认证。

jaas 的认证机制建立在一组可插登录模块的基础上。jaas 分发版包含几个 loginmodule 实现。loginmodules 可以用于提示用户输入用户标识和密码。logincontext 类使用一个配置文件来确定使用哪个 loginmodule 对用户进行认证。这个配置可以通过系统属性 java.security.auth.login.config 指定。一个示例配置是：

java -djava.security.auth.login.config=login.conf

下面是一个登录配置文件的样子：

example {

com.ibm.resource.security.auth.loginmoduleexample required

debug=true userfile="users.xml" groupfile="groups.xml";

};

认识您的主体

subject 类被用于封装一个被认证实体(比如用户)的凭证。一个 subject 可能拥有一个被称为主体(principal)的身份分组。例如，如果 subject 是一个用户，用户的名字和相关的社会保险号可能是 subject 的某些身份或主体。主体是与身份名关联在一起的。

principal 实现类及其名称都是在 jaas 策略文件中指定的。缺省的 jaas 实现使用的策略文件与 java 2 实现的策略文件相似 — 除了每个授权语句必须与至少一个主体关联在一起。javax.security.auth.policy 抽象类被用于表示 jaas 安全性策略。它的缺省实现由 com.sun.security.auth.policyfile 提供，在 com.sun.security.auth.policyfile 中策略定义在一个文件中。清单 3 是 jaas 策略文件的一个示例：

清单 3. 示例 jaas 策略文件

// example grant entry

grant codebase "file:/c:/sample.jar", signedby "xyz",

principal com.ibm.resource.security.auth.principalexample "admin" {

// allow socket actions to any host using port 8080

permission .socketpermission

"*:8080", "accept, connect, listen, resolve";

// allows file access (read, write, execute, delete) in

// the users home directory.

permission java.io.filepermission

"${user.home}/-", "read, write, execute, delete";

};

这个示例与清单 1 中所示的标准 java 2 策略文件相似。实际上，唯一的不同是主体语句，该语句声明只有拥有指定主体和主体名字的 subject(用户)被授予指定的许可权。

再一次，使用系统属性 java.security.auth.policy 指出 jaas 策略文件驻留在何处，如下所示：

java -djava.security.auth.policy=policy.jaas

subject 类包含几个方法来作为特殊 subject 执行工作;这些方法如下所示：

public static object

doas(subject subject, java.security.privilegedaction action) 3 4 5 6 7 8 9 10 11 12 13 14 15

public static object

doas(subject subject, java.security.privilegedaction action)

throws java.security.privilegedactionexception

jaas 中的授权

清单 4 显示一个授权请求的结果，该请求使用清单 3 中显示的 jaas 策略文件。假设已经安装了 securitymanager，并且 logincontext 已经认证了一个带有名为“admin”的 com.ibm.resource.security.auth.principalexample 主体的 subject。

清单 4. 一个简单的授权请求

public class jaasexample {

public static void main(string args) {

...

// where authenticateduser is a subject with

// a principalexample named admin.

subject.doas(authenticateduser, new jaasexampleaction);

...

}

}

public class jaasexampleaction implements privilegedaction {

public object run {

filewriter fw = new filewriter("hi.txt");

fw.write("hello, world!");

fw.close;

}

}

这里，敏感代码被封装在 jaasexampleaction 类中。还要注意，调用类不要求为 jaasexampleaction 类代码源授予许可权，因为它实现了一个 privilegedaction。

扩展 jaas

大多数应用程序都有定制逻辑，它授权用户不仅仅在类上执行操作，而且还在该类的实例上执行操作。这种授权通常建立在用户和实例之间的关系上。这是 jaas 的一个小缺点。然而，幸运的是，这样设计 jaas 使得 jaas 可以扩展。只要做一点工作，我们将可以扩展 jaas，使其包含一个通用的、类实例级的授权框架。

在文章开头处我已经说明了，抽象类 javax.security.auth.policy 被用于代表 jaas 安全性策略。它的缺省实现是由 com.sun.security.auth.policyfile 类提供。policyfile 类从 jaas 格式的文件(象清单 3 中显示的那个一样)中读取策略。

我们需要向这个文件添加一个东西为类实例级授权扩展策略定义：一个与许可权语句相关的可选关系参数。

缺省 jaas 许可权语句的格式如下：

permission ; [name], [actions];

我们在这个许可权语句的末尾添加一个可选的关系参数来完成策略定义。下面是新许可权语句的格式：

permission ;

[name], [actions], [relationship];

在为类实例级授权扩展 jaas 时要注意的最重要的一点是：许可权实现类必须有一个带三个参数的构造函数。第一个参数是名称参数，第二个是行为参数，最后一个是关系参数。

解析新文件格式

既然文件格式已经改变，就需要一个新的 javax.security.auth.policy 子类来解析文件。

为简单起见，我们的示例使用了一个新的 javax.security.auth.policy 子类 com.ibm.resource.security.auth.xmlpolicyfile，来从 xml 文件读取策略。在实际的企业应用程序中，关系数据库更适合执行这个任务。

使用 xmlpolicyfile 类代替缺省的 jaas 访问控制策略实现的最容易的方法是向 java.security 属性文件添加 auth.policy.provider=com.ibm.resource.security.auth.xmlpolicyfile 条目。java.security 属性文件位于 java 2 平台运行时的 lib/security 目录下。清单 5 是与 xmlpolicyfile 类一起使用的样本 xml 策略文件：

清单 5. 一个 xml 策略文件

;

;

;

"com.ibm.resource.security.auth.principalexample" name="users">;

"com.ibm.resource.security.auth.resourcepermission"

name="com.ibm.security.sample.auction"

actions="create" />;

"com.ibm.resource.security.auth.resourcepermission"

name="com.ibm.security.sample.auction"

actions="read" />;

"com.ibm.resource.security.auth.resourcepermission"

name="com.ibm.security.sample.auction"

actions="write"

relationship="owner" />;

"com.ibm.resource.security.auth.resourcepermission"

name="com.ibm.security.sample.bid"

actions="create" />;

"com.ibm.resource.security.auth.resourcepermission"

name="com.ibm.security.sample.bid"

actions="read" />;

"com.ibm.resource.security.auth.resourcepermission"

【5】【6】【7】【8】【9】【10】【11】【12】【13】【14】【15】

name="com.ibm.security.sample.bid"

actions="write"

relationship="owner" />;

"com.ibm.resource.security.auth.resourcepermission"

name="com.ibm.security.sample.bid"

actions="accept"

relationship="actionowner" />;

;

;

;

在这个示例策略文件中，任何与名为 principalexample 的用户有关的用户(subject)都可以创建并读取一个 auction.class 实例。但是，只有创建该实例的用户才可以更新(写)它。这是第三个 permission 元素定义的，该元素包含值为 owner 的 relationship 属性。bid.class 实例也是一样，除了相应 auction.class 实例的所有者可以更改投标接受标志。

resource 接口

要求类实例级访问控制的类必须实现 resource 接口。该接口的 getowner 方法返回类实例的所有者。fulfills(subject subject, string relationship) 方法被用于处理特定关系。另外，这些类使用 com.ibm.resource.security.auth.resourcepermission 类保护敏感代码。例如，auction 类拥有下列构造函数：

public auction {

permission permission =

new resourcepermission("com.ibm.security.sample.auction", "create");

accesscontroller.checkpermission(permission);

}

所有者关系

resourcepermission 类的 implies(permission p) 方法是这个框架的关键。implies 方法就等同性比较名称和行为属性。如果定义了一个关系，那么必须把受保护的类实例(resource)传递到 resourcepermission 构造函数中。resourcepermission 类理解所有者关系。它将类实例的所有者与执行代码的 subject(用户)进行比较。特定关系被委托给受保护类的 fulfills 方法。

例如，在清单 5 中所示的 xml 策略文件中，只有 auction 类实例的所有者可以更新(写)文件。该类的 setter 方法使用清单 6 中显示的保护代码：

清单 6. 运行中的 implies(permission) 方法

public void setname(string newname) {

permission permission =

new resourcepermission("com.ibm.security.sample.auction", "write", this);

accesscontroller.checkpermission

我于6月22日入职，至今工作已经满两个月了。时光飞逝，在紧张、忙碌而又充实的工作中，在公司领导和同事们的帮助下。工作中有进步也有需要提升地方。下面就我入职两个月来的工作，做出如下总结：

一、展馆相关事务(助理工作)：

1.前期协助企划经理处理展馆开馆的相关事务，制作培训课件，对讲解员进行相关培训。包括：礼仪培训，相关展品的背景介绍，整个流程的相关介绍;

2.与涂经理对接，积极做好合同，展馆介绍以及其他日常事务;

3.开业前准备：1)每天提前到场查看当天的工作进展状况。2)配合施工人员对展馆的布置，灯光对位，画的摆放等，和施工方协商保证开业前展馆布置的顺利进行;

3)开业后，主动积极承担讲解。完成相关任务。

二、人事专员工作：

一、拓展招聘渠道：

目前公司的招聘渠道仅有人才网，为了满足当前人才需求。此项任务迫在眉睫。

1.目前入公司后，拓展的招聘渠道有：58同城，百姓网，赶集网，小鱼网，百度网，闽南人才网，新工作人才网。以上招聘网站部分需要付费才能使用;

2.通过以上网站为公司找到合适的人才有场务，放映员，保洁，电工。为公司有效地节约了人力资源成本;

3.对各大人才网熟练使用，并能及时收集相关有效地信息并储存。

4.与招聘网的联系人保持良好的关系，以确保有需要招聘的及时联系。

三、招聘工作：

1.发布招聘信息：

对日常的招聘岗位进行分析，包括：岗位工作内容、任职资格、岗位梳理等方面。对以上这些入职条件进行分析后，根据岗位的情况，选择相应的人群，从而选择相应的招聘渠道，找到合适的人员。

2.与用人部门进行沟通，了解招聘需求。根据用人部门的要求选择合适的招聘渠道，对人员进行简历筛选，面试，复试，招聘合适的人才。

3.建立有效的人才库

对有用的人才及时储备，以便临时招聘用工时选用，为了满足10月份即将开业的商场所需求的大量中高级人才，简历若干个文件夹，储备有效的简历60几份。

4.在专业人才急需的情况下，采取各种方法吸引优秀的人才。公司实力的竞争除了资金外，人才的竞争也是至关重要的。

5.如有到人才市场等招聘场所，了解其相关信息。掌握最新的行业动态。如有合适的人员顺便招聘。

工作体会：来到公司招聘的岗位有涉及到专业技术人员，如土建工程师;高级管理人员，如进出口财务经理;对相关的专业知识有所欠缺，针对这一问题，主动搜集相关岗位的信息学习，以提升自己的专业技巧。目前有平面设计师岗位因薪酬，专业等原因未能按要求的时间完成。此项工作正在进行中。

计划采取如下措施改进工作：

1)对专业对口，经验丰富，设计能力较强的人员工资可相应提升;

2)拓展招聘渠道，积极收集合适的简历;

3)注意对已有意向的人员，针对其实际情况，吸引并留住人才。

四、员工关系工作：

1.从6月份，我开始逐步涉及新上岗员工的入职办理，熟悉入职办理流程。在新员工入职的当天，带领新员工熟悉公司的熟悉各个部门，积极了解其近期上岗的工作心态，对其进行人文关怀。

2.对于有离职意向的员工，了解其原因。对其进行心理疏导，使其能够感受到公司对他的关注，以便尽好的服务于公司。

3.与各部门人员进行良好的沟通，处理好临时事务。

五、行政事务

目前人事行政部有3个人，在时间可协调度的情况下。处理行政事务。

临时事务的处理，包括保安，保洁等，

个人能力分析：

优势：亲和力较好;具备一定的沟通、组织协调能力;能虚心接受听取别人的意见，认同海天集团的企业文化;具备一定的人力资源管理知识及经验。反应灵活，能较好的控制自己的情绪，工作认真负责，有责任心。

劣势：锻炼自己为人处事的能力，加强团队的配合和凝聚力。作为人力资源专员，对各大模块的掌握有待提升，压力大的时候加强对情绪的调整。

提升措施：

1)充分学习公司的相关制度、文件，有助于个人和企业远景的统一;

2)反省自己，针对工作中的不足进行改进;

3)深入学习人力资源相关专业知识;

4)针对工作中进展不顺利的问题，理清思路重新整理;

工作总结：

人力资源工作是一个“润物细无声”的工作。如何更好的服务于公司各个部门，需要有较强的抗压力，灵活度，如何把各种琐事处理的妥当是一门学问。人事做为公司窗口，除了招聘面试外，良好的职业素养有利于应聘者对公司的认知，从而介绍更多优秀的人才为公司服务。提高公司整体的形象。

在入职的两个月，我能够胜任公司交予我的招聘任务，也希望在这个模块做的更好。我希望能够以最饱满的热情为公司做出最大的贡献。无论是任何事情我都能尽职尽责，高效的完成任务。

这两个月的基本完成了领导安排的各项事务，这与领导的指导和同事们的帮助是分不开的，在此再次对领导和同事们表示衷心的感谢!以上是我两个月以来，工作、思想情况的总结。我将会一如既往去工作，以认真、勤劳、务实的态度鞭策自己，充满热情的去工作。尽最大的努力，完成领导交给我的一切任务。

三个月的时间，将我从一个刚进门的小白变成了一个稳重且能独立处理任何问题的员工了。在这段时间里，我遇到了很多的难关，同时我也处理和解决了很多的难题。其实这就是一次成长的过程。无论是做什么，其实我们都是需要一颗坚定的决心的，所以很感谢公司愿意给我这个新人一次机会去学习和成长，也感谢在这个过程当中每一位支持我、鼓励我的同事和领导。试用期结束之后，我会再接再厉，继续把这份工作做到一个新的高度，不辜负任何一个人对我所寄予的希望!

还记得自己刚刚进公司的时候，非常的激动，因为我真的很想来到这个平台上，公司优秀的条件非常的吸引我。但是我也是很清楚的，自己刚刚毕业，很多地方都是空白的，所以我自知我是需要不断的学习和努力的。非常惊喜的是公司愿意给我一个机会，后来从经理那里得知，录用我是因为我性格不错，比较适合这份工作，可以进行培养。当时我听到之后，得到了很大的鼓励和肯定，更加激发我去努力和奋斗了。

这几个月走过来，我一直都在忙忙碌碌的工作和学习。我是一个做事很认真的人，平时只要是主管或者同事交给我的事情，我都会做好，并且做到接近完美。之所以这样，一是因为我想表现好自己，继续在公司留下去。二是我是一个很害怕被批评的人，所以我尽量会把自己的事情做到完美。三是我真的很珍惜这次机会和这个平台，所以我想尽自己全部的力量，为这个平台贡献出自己的价值。

这份工作是具有挑战的，但越是有挑战的工作就越有潜力。当初我之所以这么执着于这份工作也是因为我想通过这样的一个岗位去实现一个更强的自己。在这段时间里，我每天都在学习，并且一直在进步。趁着我现在还很年轻，还有很多的激情，我想或许我应该继续努力和奋斗下去。试用期结束了也代表着我可以转正了，其实这是一件很棒的事情，我也会珍惜这一次对我的肯定，我会把所有的激情和力量放在这份工作上，希望能够通过我的坚持，最终取得一个更好的成绩!

感谢这段时间里所有人默默对我的鼓励，即使有些同事没有让我知道曾经帮助过我，但其实我的心里都是非常清楚的。未来的日子，我会变得更强，希望可以帮助到大家!为公司争光发光!

职责：

1、认真分析软件的架构，整理设计者(项目经理)的设计思路之上进行功能设计;

2、独立完成项目经理分配的开发任务，负责程序开发、代码编写;

3、参与项目中遇到问题的讨论会并有效提出解决方案;

4、详细记录测试过程，发现并修复BUG;

5、对现场实施日志中出现的问题及时进行修正;

6、自主学习、追求创新，掌握岗位需要的技能;

岗位要求：

1、本科及以上学历，3年以上的java web应用开发经验;

2、有扎实的Java编程基础，熟悉java开发工具及代码编程，精通SSH，Jsp、Javascript、CSS、Ajax、jQuery等web应用开发技术;

3、熟悉微服务相关设计理念，熟悉高并发、高负载等相关技术，并具有实际开发经验;

4、熟悉各种主流开源框架，精通SpringBoot，Mybatis，JPA，Springmvc，Shiro等开源框架并熟悉其实现原理;

5、熟练操作Linux服务器，熟练搭建运行环境集群;

6、熟悉主流关系型数据库(ORACLE、MYSQL等 )的开发应用;

7、了解前端开发技术，例如react，vue，bootstrap等，或国内主流的开发框架;

8、具备较强的团队协作能力和沟通理解能力，责任心强;

9、熟悉系统搭建过程(例如WEB项目搭建)，并编写过公用代码(例如：公用DAO、SERVICE层代码);

10、有基于H5的APP、微信开发人员优先考虑。

11、接受过社会培训机构全方面技术培训者优先考虑。

职责

1、负责网站开发、平台应用、移动后台设计编写;

2、参与相关页面的Web前后台架构设计、核心代码的编写及后台服务程序的研发和编写;

3、协助总架构师及部门主管测试和发布系统，准备相关的技术文档，协助解决各种技术问题;

4、进行详细设计、代码开发，配合测试，高质量完成项目;

5、按照项目计划，按时提交高质量代码，完成开发任务;

6、参与公司新产品研发。

任职资格

1、专科及以上学历，五年左右PHP开发经验;

2、熟悉二种以上PHP开发框架，了解设计模式;

3、熟悉MYSQL数据库设计和性能优化;

4、精通PHP语言，熟悉javaScript,AJAX，JSON，XML等Web相关技术;

5、具备良好的代码编程习惯及较强的文档编写能力;

6、熟悉使用SVN版本控制;

7、严谨的逻辑思维，强烈的技术热情,善于合作,喜欢有挑战性的工作;

8、热爱互联网产品，工作态度积极，对产品细节敏感。

职责：

1、负责公司软件的开发工作(包括设计、编码、测试，文档);

2、根据需求进行模块级别的设计，并书写文档;

3、根据设计文档编写代码，能独立负责目标任务的开发过程;

4、对自已或他人开发的部分进行单元测试;

5、积极参与内部技术交流，具备编写文档的能力与功底;

6、根据系统设计进行实际代码编写和测试工作;

7、按项目管理规范要求编写相关文档，准确描述和解析业务需求、解决方案。

任职资格：

1、计算机或相关专业毕业，本科及以上学历;具有3年以上的相关开发经验;

2、熟悉掌握java、JavaScript、JSP等编程，而且有良好的编码习惯;

3、有面向对象的分析与设计能力及开发经验，熟悉使用Spring、Hibernate等开源框架模式;

4、熟悉Oracle、DB2等大型数据库及Liunx的应用;

5、熟悉使用Weblogic、Tomcat、WebSphere等应用服务;

6、具有良好的文字表达能力及良好的编码习惯;

7、性格开朗，快速的学习能力，思路清晰，能独立分析和解决问题;

8、有团队合作精神与沟通表达能力，积极主动，有责任性;

9、愿意与公司一同成长与发展，能承受一定的工作压力;

10、有团队带队管理能力者，或有大型软件开发经验，尤其是银行业经验者优先。

我叫，今年21岁，毕业于解放军信息工程大学计算机科学与技术专业，在四年的学习生活中，我系统地掌握了开发与应用方面的技术，同时也对当今网络的发展有了深

刻的认识。因此打下扎实的专业基础知识。在思想行为方面，思想上进，积极进取，有自信，有很强的工作责任感和事业心，工作踏实，吃苦耐劳，有较高综合素质修养。

在校期间有多次社会实践经历，曾参与过学院网上虚拟实验室开发的需求分析，大学期间多次担任多课程的课代表。专业知识上，精通C/C++编程语言，能够熟练运用上述语言进行软件开发;掌握Visual C++6.0编程软件，有丰富的基于Windows平台编写软件的经验;了解TCP/IP协议，熟悉数据库基本原理;具有较为丰富的网站设计开发经验，曾经协助建设和维护学院网站。积极参与多项科研项目。具有很强的业务能力。拥有扎实的Core java基础，良好的编程风格;熟悉Tomcat，Jboss服务器等，熟悉基于Linux及Unix环境下的软件开发。

虽然实际工作经验不是很足，但军校四年培养了我充分的自信心和敬业精神以及扎实的学科基础知识和较强的专业技能，四年军校生活中，我严格要求自己，自觉、遵纪、守时。本人坦诚且有责任心，有独立进取的品性，勤于动手、善于动脑，适应新环境能力很强。能在最短时间内完成从学生到职业工作人员的转型，尽自己最大的努力融入新的工作生活。 经过四年的学习，培养我成为一名品德端正、意志坚强、有崇高理想，具有进取精神和团队合作精神的出色的大学生。相信我所具有的知识和处事能力完全可以胜任任何困难的工作。如我有幸成为贵公司的一员，我将把所有的青春和热情倾力投入到工作中，取得应有的成绩，为公司的发展壮大贡献自己的力量。

你好，我叫，今年24岁，就读于，专业，将于20xx年毕业。性格稍内向，善于交流，看待事情能够理性认识，善于思考，有团队合作精神。在学校的这三年多的时间里，由于专业需要，对计算机接触较多。在开设的课程中学过C语言、C#、java等编程语言，对编程语言有一定的了解。在接触java程序语言和J2ME手机游戏开发的学习中，对java产生了强烈的兴趣，并对java学习有了一定的基础。 通过“黑马程序员训练营”的官网，我了解到了javaee+3G课程体系所包含的知识面广，是经过对java前景分析和现在就业所需技术要求而制定的，对我们这些即将参加就业、想参加java方面工作的人来说是最好的强心剂。课程安排科学合理，有助于学员深化对java的学习，使学员掌握到真正前沿的技术。我深信，“黑马程序员训练营”的讲师是java培训和开发方面最棒的，这也是我钟情于“黑马程序训练营”的原因之一。由于家里生活拮据，不想让父母操心、给家里增加经济负担，是“黑马程序员”给了我一个机会、给了我一份保证。

作为一名理科生，我有着很强的求知欲，勤奋，有上进心，对于坚信的事情能够坚持到底。在平时学习过程中，善于独立思考，遇到问题会尝试各种方法去解决(网络、老师、同学都是我的获得知识的途径)。平时喜欢看一些和自己专业的书籍，乐于了解一些最前沿的科技和未来的发展趋势。注重的基础知识的同时，喜欢探索新知识，在收获知识的同时也收获着乐趣。学习是一辈子的事情，也是一件乐事，就算将来学校的生活结束了，学习也永远不会落下。

我非常期待能成为“黑马程序员训练营”的一员，如果这个愿望能实现，我将以最大的热情投入到“黑马程序员训练营”的学习中去，用自己的努力去实现的自身价值，用自己的成绩回报“黑马程序员训练营”。我坚定工作后的第一件事就是努力工作，用工资偿还培训期间的费用，绝不辜负“黑马程序员训练营”对我的信任和老师的培养!请给我一份信任，我将以自己的自己的行动去回报。

择是我的期望，给我一次机会还你一份惊喜。

我叫，我毕业于XX学院法学专业下面我做一下面试的自我介绍。

能够劈波斩浪，从无数应聘者中脱颖而出进入面试，自信心让我感觉到离成功的距离又近了一步!坦率地说，如果我为自己的理想奋斗了，即使是失败，我也不会后悔因为我收获了!

我生于农村，父母勤劳善良品德的熏陶、学校老师的教育，使我对公务员产生了一股羡慕与敬仰之情;20xx年高考时，我毫不犹豫选择了XX学院法学专业，四年的大学生涯，培育了我和蔼、和睦、和谐的处世态度.

在思想上，我也积极向党组织靠拢，一方面，加强自身的思想道德建设，从思想上武装自己;另一方面，本着为人民服务的宗旨，坚持帮助他人，服务社会，以党员的要求严格要求自己。终于在大三开始的时候光荣的加入了中国共产党，并在一年后顺利转正。

在校期间，学习成绩优秀，大一通过全国计算机等级考试(二级C语言)大二通过大学英语六级考试，同年，获得全国大学生英语竞赛三等奖，大三，自学ACCA(英国特许公认会计师)，现为第二阶段考生，大四，开始对金融投资很感兴趣，报名了6月的CFA(CharteredFinancialAnalyst)考试。

此外我积极参加社会实践活动，锻炼自己的专业技能，增长自己的专业知识，并达到了一定的效果。通过一系列的校内外活动，我也逐渐把握了人交往和沟通的技巧，学会了如何使自己处于一个融洽的人际关系中。通过在校的学习我深深体会到理论指导实践的含义，并且确实以这个准则要求自己。在学习和活动之余我也积极充实自己，博览群书，丰富知识，而且掌握了一定的计算机应用技巧足以应付工作需要。

作为应届大学生，我还很稚嫩，但我明白：一个青年人，可以通过不断的学习来完善自己，在实践中证明自己。我相信，良好的自学能力和不懈的钻研精神一定能使我很快胜任我的工作。我性格开朗、大方，有较强的沟通组织能力和实际动手能力，善于人际交往。掌握良好的礼仪知识和接待工作经验，头脑灵活、反应敏捷，能够灵活处理工作中的突发事件。

在本学期的二周时间内，我们在学校机房进行了为期二周的java实训。现在即将结束了，回首本学期的java学习，重点还是在学习概念等一些常识性的东西，也学到平常在课堂中没有学到的东西，在JAVA API中又多认识了几种类，使我对JAVA产生了浓厚的兴趣。两周的时间说长也不长，在这两周中，我们的实训任务是仓库管理系统，在演示过程中，并没有觉得它有很难，但在实际编程过程中，却遇到了各种各样的错误，这也多亏了老师的指点和班级同学的帮忙，使我一步步克服了实训过程中遇到的困难。虽然我所做的系统并没有实现所有功能，但是我觉得自己进步了，很多原来都不懂的东西现在都已经了解了，也培养了我的团队合作精神，让我感受到了集体的温暖。实训的过程与课堂上的讲课比，更为有趣，因为可以真正的自己动手操作，使我对老师上课所讲的内容有了更深一步的了解，使我在以后的编程中可以灵活运用。我期待以后有更多类似的实训，使我们可以多掌握一项技能，也可以让我们在以后找工作中可以有更多的实践经验。学知识可不能凭自己的爱好和一时兴趣，要一步一个脚印，认认真真，踏踏实实，理论与实践相结合，在扎实掌握课本实例和内容之后，有一定的扩展阅读和课外学习，充分全面的了解JAVA的应用和扩展运用。

在我所学的语言当中，我自认为JAVA是一门比较强大的面向对象的编程语言，不仅仅因为它的跨平台性，更多的是因为它的灵活多变

和实用性较强，可以说比较的经典和强悍。所以学好java语言有很大的用处，这次实训，我们更多学到的是不懂就问和自己应该尽自己的全力去尝试，哪怕失败，只要自己尽自己的全力，和身边同学一起探讨而不是抄袭，团结合作，发挥团队意识，最后在自己的努力下，终于运行成功，这种成就感美不可言，心情愉悦至极。

最后终于要结束了，大家都有种释怀的感觉，当然我想我更多的是兴奋和自己掌握了知识之后的饱满感，学知识就像吃东西一样，吃饱了就应该好好的消化。要不断的温习和运用，做到举一反三，将所学知识充分融入到平时的学习生活中去，为以后的工作做好坚实的基础。感谢学校和老师能够为我们提供这次机会，让我们更好的掌握和了解JAVA这门语言。

在本学期的开学初期，我们在学校机房进行了为期三周的JA实训。现在即将结束了，回首本学期的java学习，重点还是在学习概念等一些常识性的东西，通过这次为期三周的实训，遇到了很多自己感兴趣的问题，就会很有兴趣，当然学知识可不能凭自己的爱好和一时兴趣，不能遇到自己不敢兴趣的问题就把它抛给同学，要学会自己踏踏实实认真的去解决问题。要一步一个脚印，认认真真，踏踏实实，理论与实践相结合，在扎实掌握课本实例和内容之后，有一定的扩展阅读和课外学习，充分全面的了解JA的应用和扩展运用。

本次我们小组所做的程序是小小通讯录基本功能已经较好的完成，可是还是有一些不完善，比如我们的通讯录没有能够做到把通讯录里所储存的信息以列表的形式展现出来，所以还是有些不完善，，我们的指导老师对我们的程序作出了大体评价，发现我们的思想还是处于一个比较简单的过程当中，老师的几句简单评价，就带给我们无与伦比的冲击性，由于我们写程序的经验尚且较少，很多东西无法考虑到位，老师的点评，使我们认识到了不足与今后的前进方向与目标，使我们更加具有动力与激情，拥有了继续认真学习JA的信心，拥有了成为一位合格的高级程序员的壮志，在编写程序的过程当中，我们在一开始就遇到了问题，一直在纠结与是使用数据库连接还是使用文件，经过老师的耐心讲解，我们了解到了尚未接触到的Jar包等一些列名词，但是经过数据库的抒写与连接发现SQL20xx与SQL20xx无法同步，所以最终我们选择了使用文件来进行这次程序的编写，第二个问题就是我们的程序在进行按钮新窗口的链接，在新窗口弹出时，无法将老窗口关闭，纠结了好久，询问老师，老师还给我用了父子的生动例子来讲解，最终我们查找JDK，查找类的用法终于完美解决!甚是兴奋! 在我所学的语言当中，我自认为JA是一门比较强大的面向对象的编程语言，不仅仅因为它的跨平台性，更多的是因为它的灵活多变和实用性较强，可以说比较的经典和强悍。

所以学好java语言有很大的用处，这次实训，面对一道陌生的题目和要求时，不应慌张和无措，首先应该想到这和课本上的哪些知识具有结合点，回忆和分析这种结构的算法和具体实施方法，综合考虑其他的方面，例如:该题的易写性和易懂性及其他的问题的可利用性。在编写时，一个小小的符号，一个常量变量的设定，这都无不考量着我们的细心和严谨，所以学习JA，不仅对我们以后学习其他语言有很大的好处，而且也让我们知道了和理解了作为一个编程人员首先应具有的良好心理素质，那就是冷静思考和专心致志。对待学术知识应该是严谨和认真。

这次实训，我们更多学到的是不懂就问和自己应该尽自己的全力去尝试，哪怕失败，只要自己尽自己的全力，和身边同学一起探讨而不是抄袭，团结合作，发挥团队意识，最后在自己的努力下，终于运行成功，这种成就感美不可言，心情愉悦至极。据我了解，软件工程专业培养的工程型人才要富有创新精神。软件工程技术人员致力于开发可靠好用的计算机产品和软件产品，必须具有扎实宽泛的知识面和较高的社会责任感，必须了解最新的技术进展、能够综合运用各方面技术并深刻理解设计一个合格产品所涉及的多方面因素，如市场需求、用户习惯等。另外，

这两个学科领域是相辅相成的，并共同推进计算机技术的方展。计算机技术的发展会推动软件的开发，软件工业则对计算机科学技术的进展以及软件应用领域的扩展起着重要的推动作用。软件工程人才的就业前景十分看好。

未来几年，国内外高层次软件人才将供不应求。毕业生主要在各大软件公司、企事业单位、高等院校、各大研究所、国防等重要部门从事软件设计、开发、应用与研究工作。有数据表明，我国软件出口规模达到215亿元，软件从业人员达到72万人，在中国十大IT职场人气职位中，软件工程师位列第一位，软件工程人才的就业前景十分乐观。信息化是IT界的焦点。而信息化的实现，除了需要技术支持，人才也是很重要的环节。如何培养与国际接轨的高素质软件工程人才，已经成为中国软件产业的当务之急。

软件产业的发展水平，决定了一个国家的信息产业发展水平及其在国际市场上的综合竞争力。目前，我国软件高级人才的短缺已经成为制约我国软件产业快速发展的一个瓶颈。在中国，国内市场对软件人才的需求每年高达20万人，而高校计算机毕业生中的软件工程人才还很缺乏，尤其是高素质的软件工程人才的极度短缺。尽快培养起适合信息产业所需要的高素质软件工程人才，已经成为信息化工作中的重中之重。Java具有如此好的就业与发展前景，使我更加坚定了软件开发这条道路。但是自己还与很多不足，需要努力学习与改进，关键是读这个专业要自己动手实践，自己解决实践中发生的问题，对任何程序要懂得举一反

如果指望按书本的步骤做..指望每学期死记硬背通过考试..那绝对是没前途了..如果一个软件工程的学生都是在玩电脑游戏中度过每个学期的..那就不要期望毕业能找到本专业的好工作了.... Sun公司副总裁、Sun研究院院士、软件部首席技术官詹姆斯戈士林(JamesGosling)博士以Java技术之父闻名于世。作为Sun研究院院士，他亲手设计了Java语言，完成了Java技术的原始编译器和虚拟机。在他的带领下，Java现已成为互联网的标准编程模式以及分布式企业级应用的事实标准，其跨平台的技术优势为网络计算带来了划时代的变革。自1995年5月正式推出的20xx年以来，Java已从编程语言发展成为全球第一大通用开发平台。Java技术已为计算机行业主要公司所采纳，同时也被越来越多的国际技术标准化组织所接受。1999年，Sun推出了以Java2平台为核心的J2EE、J2SE和J2ME三大平台。随着三大平台的迅速推进，在世界上形成了一股巨大的Java应用浪潮。作为唯一在互联网上开发的语言，Java平台以其移动性、安全性和开放性受到追捧。 目前，中国的软件人才主要有两方面的欠缺，一是英语水平差，二是软件开发经验缺乏。针对这种情况，很多软件学院大幅增加了英语课时，同时广泛采用国外原版教材，部分基础课和专业课采用双语教学甚至全英文授课。各软件学院还特别强调实践环节。像清华软件学院90%的专业课程都配有课程实验大作业，学生从本科二年级起就能根据兴趣选择参加各种研究所的研究工作。所以我还要努力学习英语，提高自己各方面技能Java如此潮流，我就更具信心，争取早如成为一名合格的专业性人才!

最后终于要结束了，大家都有种释怀的感觉，当然我想我更多的是兴奋和自己掌握了知识之后的饱满感，学知识就像吃东西一样，吃饱了就应该好好的消化。要不断的温习和运用，做到举一反三，将所学知识充分融入到平时的学习生活中去，为以后的工作做好坚实的基础。感谢学校和老师能够为我们提供这次机会，让我们更好的掌握和了解JA这门语言。谢谢!

为期近1个月的实习结束了，我在实习中学到了很多在课堂上根本就学不到的知识，收益匪浅.现在我对这2个月的实习做一个工作小结。

一、作为学生，生产实践是学生对专业知识的进一步巩固和认识。

也是我们顺利融入社会化大生产的一项有利保障。因为学生自古以来都是以学为本，社会实践的机会机会相对较少。而社会对大学生的要求即使社会实践，社会生产经验都具备的员工。因此，对于我们来讲，动手能力是我们能成功就业的关键。同时生产实践，也是对我们协作能力，处理同学关系的一次锻炼。大学作为一个“熔炉”，为我们提供了许多培养社会经验的机会，但是相对于社会生产关系而言，我们却知之甚少。而生产关系的认识又是我们事业发展不得忽视的。因此，适当处理协作关系是我们能够开展事业的关键。

二、要善于沟通：

要想在短暂的实习时间内，尽可能多的学一些东西，这就需要跟老师有很好的沟通，加深彼此的了解，刚到实习的地方，老师并不了解你的工作学习能力，不清楚你掌握了哪些知识，不清楚你想了解什么样的知识，所以跟老师建立起很好的沟通是很必要的。同时我觉得这也是我们将来走上社会的一把不可获缺的钥匙。通过沟通了解，老师我有了大体的了解，一边有针对性的教我一些会计实际知识，一边根据我的兴趣给予我更多的指导与帮助，在这次的工作中，我真正学到了会计教科书上所没有的知识，拥有了实践经验，这才真正体现了知识的真正价值，学以致用。

三、充满激情与耐心：

激情与耐心，就像火与冰，看似两种完全不同的东西，却能碰撞出最美丽的火花。在中心时，老师就跟我说，想做软件这一块，激情与耐心必不可少，在编写程序这方面，这一行业就像做新闻工作，需要你有耐心去实事求是，而你的耐心就要用到不断的学习新知识，提高自己的专业水平当中去。在一些具体的工作当中也是这样的。后来我又进行了自主学习，一遍又一遍的研究，自然有些烦，但我用我的热情与耐心克服这些困难，老师也教给我一些自己的宝贵的经验。这些在平常的书本上仅仅是获得感性的认识，而在这里真的实践了，才算是真正的掌握了，也让我认识到了自己的不足，告诫自己，不管做什么，切忌眼高手低，要善于钻研。老师说对每个程序都要细心耐心，具有基本的专业素养，因为细心负责是做好每一件事情所必备的基本条件，基本的专业素养是做好工作的前提。

四、关于具体编码：

开发几个项目之后，对编写程序有了更进一步的了解。

好的程序应该具有:易读性，易扩展性，容错性。

易读性:所有变量和函数以及类名用简单易懂易记忆的命名方式。所有类和函数甚至变量都有关键的注释说明。这点很重要，也是最基础的。如果代码书写不够美观和易懂，我想自己以后也不想再看。就更别谈功能的扩展和新版本开发了。

易扩展性:整体系统架构逻辑简单清晰。模块与模块之间尽量做到互不影响，也就是尽可能的独立。这部分工作主要体现在前期设计工作中，需要掌握好的设计经验和方法才能够做得比较好。

容错性:对数据流和指针以及数组都做数据有效性检查;对第三方接口的调用失败的容错性。对所有代码都做调用失败后的错误处理。以及在大的工程中加入trace文件输出，把关键的数据流和关键处理部分的操作信息输出。以便对工程异常情况产生条件的定位，及时解决问题。

我觉得程序员能在这三方面做得很好就算一个优秀的programmer了。

经过过去一个月的实践和实习，我对未来充满了美好的憧憬，在未来的日子，我将努力做到以下几点：

一、继续学习，不断提升理论素养。

在信息时代，学习是不断地汲取新信息，获得事业进步的动力。作为一名年轻人更应该把学习作为保持工作积极性的重要途径。走上工作岗位后，我积极响应单位号召，结合工作实际，不断学习理论、技能知识和社会知识，用先进的理论武装头脑，用精良的业务知识提升能力，以广博的社会知识拓展视野。

二、努力实践，自觉进行角色转化。

“理论是灰色的，生活之树常青”，只有将理论付诸于实践才能实现理论自身的价值，也只有将理论付诸于实践才能使理论得以检验。同样，一个人的价值也是通过实践活动来实现的，也只有通过实践才能锻炼人的品质，彰现人的意志。

三、提高工作积极性和主动性

一个月的实习期很快过去了，是开端也是结束。展现在自己面前的是一片任自己驰骋的沃土，也分明感受到了沉甸甸的责任。在今后的工作和生活中，我将继续学习，深入实践，不断提升自我，努力创造业绩，继续为社会创造更多的价值。

最后感谢实习单位领导和老师们对我的辅导和帮助，我会继续努力的。

我于20xx年7月正式到××*工作，.至20xx年7月见习期已满一年，现正式提出转正申请。下面，我将一年来的思想、工作、学习、生活等方面的情况进行如下汇报。

一、注重思想政治学习，提高思想认识水平

党组非常重视干部队伍思想政治素质的提高，经常对全局同志进行政治理论教育，使我在思想政治方面取得了长足的进步。

我曾多次参加局党组和支部组织的政治理论学习，认真学习了“三个代表”重要思想和xx大报告等文件，并先后三次代表机关工委参加xx大知识竞赛活动，取得优异成绩。通过进行政治理论学习和参加党内的一系列活动，不仅提高了我的理论知识水平，还使我进一步加深了对“三个代表”重要思想的认识和理解，看到了党在过去五年的前进历程和改革开放所取得的丰硕成果，了解到了我党在新世纪、新阶段全面建设小康社会的奋斗目标以及在本世纪头二十年的在各方面建设中的各项任务。

学习、“三个代表”不能只落在口头上、笔头上，必须与工作结合起来，具体落实到实处。首先，必须正确贯彻和落实党的路线、方针、政策。作为一名××*工作者来说，就要按照xx大对深化行政管理体制改革所提出的明确要求，进一步转变政府职能，改进管理方式，推行电子政务，提高行政效率，降低行政成本，形成行为规范、运转协调、公正透明、廉洁高效的行政管理体制;要按照精简、统一、效能的原则和决策、执行、监督相协调的要求，继续推进我区政府机构改革，做到科学规范部古职能，合理设置机构，优化人员机构，实现机构编制的法定化，切实解决层次过多、职能交叉、人员臃肿、权责脱节和多重多头执法等问题。其次，要坚持人民群众的利益高于一切，坚持全面落实全心全意为人民服务的宗旨。我党最大的政治优势就是密切联系群众，作为一名国家公务员，在任何时候任何情况下，都要以人民群众的需求作为开展工作的出发点，把人民的根本利益放在第一位，切实解决人民生活中存在的问题。

20xx年月日对我来说是一个不平凡的日子，在这一天，我光荣地被党组织吸收为一名正式的共产党员，我的政治生命也由此掀开了新的篇章。我暗下决心，必将以更高的标准要求自己，钻研业务，吃苦在前，享受在后，克已奉公，多作贡献，真正起到党员的模范带头作用。

二、在实践中学习，不断提高工作能力.

我在同志们的关怀与培养下，认真学习、努力工作，积极投身到工作中，逐渐进入了工作角色，努力为实现我区建设目标做好本职工作。

(一)努力学习业务知识，做好基础性工作

初到××时，我对业务一无所知，于是就先从简单的工作入手，做一些数据统计、草拟批文和信息、文件归档等工作，通过这些工作，我对编办的职能和主要业务工作有了初步了解，形成了一定的感性认识。

正式到××*工作后，我主要负责××*工作。××*工作是一项严肃的行政执法行为，必须按照法律依据和规范的程序来进行，稍有不慎就会引起法律纠纷。所以，我认真学习了《事业单位法人登记管理暂行条例》和相关的法规、政策，逐渐了解了法人登记工作的办理程序、方法及内容。在工作中，我能够得当应用所学的业务知识，认真审查、受理每一份登记申请、打印《事业单位法人证书》、收费、发证、将每一份申请登记的材料整理归档、及时更新数据记录;在平时积极参与编办的各项工作,完成了20xx年度全区党政群机关和事业单位的机构编制统计工作。随着所接触工作面的增长和工作量的不断加大，我对科室工作的认识也不断加深，这些基础性工作也为我今后进一步提高业务水平和工作能力打下了扎实的基础。

(二)提高服务意识，改进工作作风

邓小平同志曾说过，“管理就是服务”。而事业单位法人登记管理工作，从某种意义上说，就是为了更好地为社会主义市场经济服务，为事业单位服务。为做好事业单位登记管理工作，规范工作程序，让办事人清楚明了办事程序，我印制了《事业单位登记手册》，在申请人领取申请书的同时发放给他们，并告知其申请中的注意事项，同时在受理登记时开具《事业单位登记受理通知单》，在规范办事程序、方便办事人的同时，还实现了事业单位对登记管理机关的监督。

另外，在日常工作中，我本着为人民服务的原则，热情、准确地解答来访、来电的事业单位或个人所提出的有关事业单位法人登记中的问题，为办事单位提供满意的服务。

(三)提高工作能力，勇于创新

在主任和科长指导下，我顺利完成了××*工作。在此次年检中，为简化办事人年检手续，首次尝试与××*对社会力量办学单位实行了联合年检。由于我是第一次接触年检工作，缺少工作经验，为保证联合年检的顺利进行，我积极开动脑筋，虚心向科长请教，主动与××*的同志们交流看法、商定年检时间、程序、事项和具体措施，及时沟通、探讨和解决年检中遇到的各种问题，最后顺利完成了对××家社会力量办学单位的联合年检工作。这项工作的顺利完成，不但使我学到更多地业务知识、提高了自己的工作能力，也为今后对事业单位的联合年检工作积累了经验、奠定了基础。

三、工作体会

在××*近一年的工作学习中，我在学习、工作和政治思想上都有了新的进步，个人综合素质也有了新的提高，回顾这一年来的工作历程，主要有以下几点体会：

(一)要在思想上与集体保持高度一致

在工作、学习过程中，我深深体会到，××*是一个讲学习、讲政治、讲正气的集体，在这样的氛围中，只有在思想上与集体保持高度一致、严于律己、积极上进，才能融入到这个集体之中。所以我必须更加深入地学习xx大精神，认真贯彻“三个代表”的重要思想，用理论知识武装自己的头脑，指导实践，科学地研究、思考和解决工作中遇到的问题，使自己能够与集体共同进步。

(二)要认真学习业务知识，在工作上争创佳绩

要成为一名合格的国家公务员，首要条件就是成为业务上的骨干。对于刚刚走出大学校古参加工作的我来说，当前的首要任务就是要努力学习、熟练掌握业务知识，始终以积极的工作态度、高度的责任感和只争朝夕的精神投入到工作中;要在加强业务知识学习的同时，踏踏实实地做好本职工作，戒骄戒躁，争取在自己的工作岗位上做出优异的成绩。只有这样才能使自己成为工作上的能手和内行，能够在工作中切实做到为群众排忧解难，更好地服务于人民。

(三)要扬长避短，不断完善自己

在这一年的时间，我虽然在思想和工作上都有了新的进步，但与其他同事相比还存在着很大差距，因此，我在今后的工作中，不但要发扬自己的优点，还要客观地面对自己的不足之处，逐渐改掉粗心、急躁、考虑事情不周全的缺点，注重锻炼自己的应变能力、协调能力、组织能力以及创造能力，不断在工作中学习、进取、完善自己。

总之，在今后的工作中，我要继续努力，克服自己的缺点，弥补不足，加强政治理论知识和业务知识方面的学习，力争成为学习型、创新型、实干型兼备的新世纪人才，在自己的岗位上实践“立党为公，执政为民”、实践“三个代表”。