交易,提交以及安全性
2008-01-05 08:45:14 来源:WEB开发网核心提示:作者:Peter Holditch 发生问题的情形是这样的,有两个EJB组件分布在两台不同的服务器上,交易,提交以及安全性,当在服务器1上的Bean 1在JTA交易背景下执行时,调用了服务器2上的Bean 1,JMS子系统就有可能代理您发起一个交易,记住,此时,交易扩展到了服务器2上
作者:Peter Holditch
发生问题的情形是这样的,有两个EJB组件分布在两台不同的服务器上。当在服务器1上的Bean 1在JTA交易背景下执行时,调用了服务器2上的Bean 1,此时,交易扩展到了服务器2上。而当Bean1的方法结束后,交易就被提交。
当交易提交后,事实上交易就被终止了。随之而来的是含义模糊的异常消息:javax.transaction.HeuristicMixedException。由于这种情况多次发生,我想我应该将这篇文章贡献出来,以便告诉大家这是怎么回事。
委婉一点说:在交易的世界里,交易治理器不愿意表现得太消极,假如它们认为已经到了世界末日,那么它们就不再从事多余的工作,因为那样有可能干扰系统治理员。它们只是平静地表示有一个“heuristic outcom”结果产生了。这意味着您精心组织的ACID交易由于潜在的数据不一致已经结束了,您最好去检查一下您的数据库。换句话说:世界末日已经到了。
这样解释可能有点不着边际,让我们看看这里究竟发生了什么事情。
调用Bean1会启动一个交易,并与控制线程相联系,而且会波及数据库的更新以及类似的操作。调用Bean2,将导致请求由服务器1流向服务器2。交易的转移一般伴随着RMI请求。通常,在WLS中,服务器到服务器之间的通讯是通过T3协议完成的。利用T3的好处之一就是能够将有关交易请求的信息附加上去。这样,在内部,两个WebLogic实例已将交易的相关信息作了交换,它们都能够以单独的身份参与、以及随后提交或者终止交易。
题外话
关于这一点,我们有必要说一点题外的话。最新版本WLS 7.0是完全的J2EE 1.3认证版本,除去其它之外,它要求必须支持EJB2.0。这反过来要求应用服务器必须经由RMI/IIOP进行互操作。IIOP协议和T3很相象,答应诸如活动交易这样的上下文信息与方法调用一起被传送过去。因此,在WLS 7.0中,同样的情形也会发生,很可能一个服务器是WLS实例,而另一个是其它的应用服务器(尽管我不知道您为什么要这么做-但我偏向于这么想)。让我们回到正题上吧…
到现在为止,我还没有提到有关安全的问题。客户端发起与服务器1的连接请求后,在某处调用InitialContext时需要将用户名和口令传送过去。当Bean1的方法被调用时,EJB容器会检查该登录用户是否有执行此方法的权限。同理,服务器2的EJB容器在访问Bean2的方法之前会做同样的检查。这意味着安全ID会和交易ID一起在交易过程中传送,这是T3协议的另外一个能力,而这也刚好是EJB2.0 对容器互操作性的另一个要求-将用户的身份证实通过IIOP连接传送给调用CSIv2的协议。WLS 7.0 也支持这个功能。
交易内容、用户ID伴着请求一起从服务器1传送到服务器2,并在那儿执行,直到结果返回。到现在为止,一切都好。现在,Bean1返回到客户端,假如交易是容器治理的(Container-managed),则容器会调用提交(commit)。这就到了交易协调者(本例为服务器1中的JTA子系统的一部分)工作的时候了,它要将交易的预备阶段和提交阶段进行同步。此时,它会发现服务器2也是交易的参与者,因而会发送信息给服务器2要求进行两阶段提交中的预备阶段。恰在此时,问题来了。这个调用无法由客户端代理完成,相反,是由JTA子系统发起的。那么,在线路上传送的是哪一个安全ID呢?事实上,只能由WebLogic的“system”用户代理执行预备阶段的工作。假如任何用户,张三,李四等都可以随机地对交易进行预备或提交,那将是相当严重的安全缺陷,因此,使用系统ID避免了这个安全漏洞。我们再看一眼WLS 6对安全模式所做的强化工作(这一点在WLS 7中已被进一步巩固)。在版本6中,假如两个服务器拥有相同的系统口令,这两个服务器可以相互信任。没有任何信任度会超过系统用户之间的相互信任,因此,要使预备(包括随后的提交)阶段的工作继续进行,两个服务器必须拥有相同的系统口令。
回到新闻组…
作为结论,每当这个问题在新闻组中出现(记住,??这是我们开始的地方),解决方案就是确保所有参加交易的WLS实例都有相同的相同口令。需要提请注重的是,交易可能在不知不觉中就发生了,如,当您向远程JMS队列发送一条消息,JMS子系统就有可能代理您发起一个交易。记住,下次看见HeuristicMixedException,一定别忘了检查您的系统口令!
参考资料
l WebLogic Server交易新闻组:
News://newsgroups.bea.com/weblogic.developer.interest.transaction
Or
http://newsgroups.bea.com/cgi-bin/dnewsweb?cmd=xover&group=weblogic.developer.interest.transaction&utag=.
更多精彩
赞助商链接