понедельник, 7 января 2013 г.

Валидация XML-сообщений

В статье Проектирование контракта сервиса мы отметили, что действительно самодокументируемый контракт подразумевает возможность автоматической валидации сообщений, которыми данный сервис общается с внешним миром. Пришло время рассмотреть данный процесс подробнее.

Прежде всего давайте разберемся в каких случаях необходима валидация сообщений.

  1. Мы можем ничего не знать о клиенте нашего сервиса, соответственно нам необходимо проверить запросы, поступающие от данного клиента, перед тем как их обрабатывать.

  2. Сообщения, поступающие от внешних сервисов, т.е. сервисов, которые мы не контролируем, должны подвергаться валидации.

Лучшей практикой считается вызов внешних сервисов через ESB. Данное решение позволяет вынести валидацию на шину и реализовать ее один раз, вместо того, чтобы реализовывать ее везде, где используется конкретный сервис.

Не обязательно осуществлять валидацию сообщений в следующих случаях:

  1. Если сообщение передается от одного компонента к другому внутри композитного приложения, то необходимости валидации нет: это наше приложение, мы его полностью контролируем.

  2. Во внутренних сервисах или других контролируемых нами приложениях валидация обычно не требуется, но может быть реализована. В случае, если внутренний сервис осуществляет обработку данных, вводимых пользователями, то валидация необходима.

В данной заметке мы рассмотрим некоторые приемы валидации сообщений, а так же способы обработки ошибок, возникающих при проверке некорректных сообщений.


Валидация сообщений по схеме


Интерфейс каждого сервиса определен в его WSDL-контракте, структура данных при этом определяется с помощью XML-схемы. Валидация XML-сообщения на соответствие схеме обеспечивает замечательный способ реализовать начальный уровень проверки корректности данного сообщения.

Существует два подхода при описании контрактов сервисов:

  • строго-типизированный сервис;

  • слабо-типизированный сервис.

Рассмотрим особенности валидации по схеме при использовании каждого из данных подходов.

Строго-типизированный сервис

При использовании данного подхода мы подробно определяем все ограничения на каждый компонент структуры данных. Пример для пластиковой карты:

<xsd:complexType name="tCreditCard">

  <xsd:sequence>

    <xsd:element name="cardType" type="tCardType"/>

    <xsd:element name="cardHolderName" type="tCardHolderName"/>

    <xsd:element name="cardNumber" type="tCardNumber" />

    <xsd:element name="expiryMonth" type="tExpiryMonth"/>

    <xsd:element name="expiryYear" type="tExpiryYear"/>

    <xsd:element name="securityNo" type="tSecurityNo" />

  </xsd:sequence>

</xsd:complexType>



<xsd:simpleType name="tCardType">

  <xsd:restriction base="xsd:string">

    <xsd:enumeration value="MasterCard"/>

    <xsd:enumeration value="Visa"/>

   </xsd:restriction>

</xsd:simpleType>



<xsd:simpleType name="tCardHolderName">

  <xsd:restriction base="xsd:string">

    <xsd:maxLength value="32"/>

  </xsd:restriction>

</xsd:simpleType>



<xsd:simpleType name="tCardNumber">

  <xsd:restriction base="xsd:integer">

    <xsd:pattern value="[0-9]{16}"/>

  </xsd:restriction>

</xsd:simpleType>



<xsd:simpleType name="tExpiryMonth">

  <xsd:restriction base="xsd:integer">

    <xsd:minInclusive value="1"/>

    <xsd:maxInclusive value="12"/>

  </xsd:restriction>

</xsd:simpleType>



<xsd:simpleType name="tExpiryYear">

  <xsd:restriction base="xsd:integer">

    <xsd:minInclusive value="2010"/>

    <xsd:maxInclusive value="9999"/>

  </xsd:restriction>

</xsd:simpleType>



<xsd:simpleType name="tSecurityNo">

  <xsd:restriction base="xsd:integer">

    <xsd:pattern value="[0-9]{3}"/>

  </xsd:restriction>

</xsd:simpleType>

 

В данном примере мы проверяем следующие условия:

  • тип карты: Visa или MasterCard;

  • номер: 16 цифр;

  • месяц, до которого действует карта, от 1 до 12;

  • год, до которого действует карта, от 2010 до 9999;

  • код безопасности: 3 цифры.

Данный подход снижает масштабируемость, например, уже будет сложно добавить обработку карт American Express, т.к. такие карты имеют 15-значный номер и 4-х значный код безопасности. Так же каждый год придется обновлять ограничение на ExpiryYear, т.к. год должен находиться в будущем.

Слабо-типизированный сервис

При данном подходе схема используется только для определения структуры данных, при этом стремятся к минимизации ограничений, накладываемых на содержимое компонентов схемы.

Пример:

<xsd:complexType name="tCreditCard">

  <xsd:sequence>

    <xsd:element name="cardType" type="xsd:string"/>

    <xsd:element name="cardHolderName" type="xsd:string"/>

    <xsd:element name="cardNumber" type="xsd:integer"/>

    <xsd:element name="expiryMonth" type="xsd:integer"/>

    <xsd:element name="expiryYear" type="xsd:integer"/>

    <xsd:element name="securityNo" type="xsd:integer"/>

  </xsd:sequence>

</xsd:complexType>



 

Важное преимущество данного подхода: сервис становится очень гибким, можно добавлять, например, новые типы карт, без необходимости проверять, что процесс валидации существующих типов был нарушен.

Недостаток данного подхода заключается в том, что не предоставляются механизмы контроля данных и требуется валидация с использованием дополнительных механизмов. При этом возможно дублирование кода, если одна и та же валидация используется в нескольких сервисах.

Так же к недостаткам можно отнести тот факт, что потребитель сервиса не может по данному описанию понять, какие данные являются корректными, т.е. грубо говоря, что от него хотят. Требуется дополнительное документирование параметров сервиса.

Существует и т.н. комбинированный подход, обеспечивающий баланс между расширяемостью и полнотой представления о данных. При данном подходе на каждый компонент схемы накладывается минимум ограничений: корректный тип данных (строка, число, дата) и длина поля. Для элементов, которые могут принимать ограниченный набор значений, необходимо задать минимально-возможный набор соответствующих констант.

Несколько советов при реализации валидации по схеме:

  • входящий документ нужно валидировать как можно раньше;

  • валидацию исходящего документа желательно разместить непосредственно перед вызовом внешнего сервиса;

  • если речь идет о валидации ответа от разрабатываемой системы, то нужно понимать, что если мы получили корректный входящий документ (а мы его валидировали) и у нас правильно реализована логика его обработки, то наш ответ так же должен быть корректным.

Использование Schematron для валидации


При использовании Schematron валидация осуществляется следующим образом: вводится ряд утверждений (assertions), если все они исполняются, то документ считается корректным. Утверждения вводятся с помощью XPath-выражений, что позволяет задавать условия, которые в принципе нельзя задать, используя схему, например:

  • если тип карты - American Express, то длина номера - 15 символов, иначе - 16;

  • если тип карты - American Exptess, то длина кода безопасности - 4 символа, иначе - 3;

  • дата окончания действия карты (месяц и год) должна быть больше текущей (т.е. в будущем).

Для каждого утверждения можно определить сообщение, которое подскажет почему утверждение не выполнилось. Другое преимущество Schematron заключается в том, что он позволяет модифицировать утверждения без необходимости изменять схему. Однако следует понимать, что существуют условия, которые нельзя проверить ни схемой, ни с помощью Schematron.

Пример: проверка того, что тип карты указан как Visa или MasterCard:

<?xml version="1.0" encoding="UTF-8"?>

<schema xmlns="http://www.ascc.net/xml/schematron">

  <ns uri="http://rubiconred.com/obay/ebm/UserAccount" prefix="ebm"/>

  <ns uri="http://rubiconred.com/obay/xsd/cmn" prefix="cmn"/>

  <pattern name="Check Credit Card Type">

    <rule context="/ebm:updateCreditCard/cmn:creditCard">

      <assert test="cmn:cardType='MasterCard' or cmn:cardType='Visa'">

        Credit Card must be MasterCard or Visa

      </assert>

    </rule>

  </pattern>

</schema>

 

Рассмотрим составные части Schematron-файла.

Утверждения (assertions) задаются в элементах assert. Важный атрибут утверждения - test - определяет XPath-выражение, которое может вернуть true или false. Если тестовое выражение возвращает true, то утверждение считается имеющим силу (met). Если возвращается false, то фиксируется ошибка валидации и содержимое элемента assert возвращается в качестве сообщения о данной ошибке.

Правила (rules). Утверждения определяются внутри правил. Правило содержит атрибут context, который включает в себя XPath-выражение, выбирающее узлы из валидируемого документа, к которым будут применяться утверждения. Для каждого узла будут применены правила, описанные в соответствующем элементе rule.

Пример:

<rule context="/emb:updateCreditCard/cmn:creditCard">

:

</rule>

 

в результате обработки выражения /emb:updateCreditCard/cmn:creditCard будет возвращен один единственный узел:

<cmn:creditCard>

  <cmn:cardType>MasterCard</cmn:cardType>

  <cmn:cardHolderName>John Smith</cmn:cardHolderName>

  <cmn:expiryMonth>10</cmn:expiryMonth>

  <cmn:expiryYear>2013</cmn:expiryYear>

  <cmn:securityNo>5285</cmn:securityNo>

</cmn:creditCard>

 

к которому и будет применено правило.

Если для правила определено несколько утверждений и все они не верны, то будет возвращено сообщение об ошибке для каждого утверждения.

Можно использовать относительный контекст, например, мы хотим определить правило валидации кредитной карты, независимо от операции в которой карта используется. Для этого нужно определить правило с использованием XPath выражения, возвращающего creditCard независимо от операции, например так:

<rule context="//cmn:creditCard">

:

</rule>

 

Паттерны (patterns). Правила определяются внутри паттерна. Каждый паттерн содержит одно или более связанных правил. Элемент pattern содержит единственный атрибут - name, задающий в свободной форме описание правил, содержащихся внутри паттерна.

<pattern name="Check Credit Card Type">

:

</pattern>

 

Schematron применяет паттерны друг за другом, правила внутри каждого паттерна применяются так же поочередно друг за другом.

Пространства имен (namespaces). Пространства имен описываются с помощью элемента ns. Элемент ns содержит два атрибута: uri - урл, задающий пространство имен и prefix - соответствующий префикс. Используются аналогично атрибуту xmlns схемы.

<ns uri="http:// rubiconred.com/obay/xsd/cmn" prefix="cmn"/>

 

Затем можно в правилах и утверждениях использовать префикс cmn.

Схема (schema) - корневой элемент для Schematron, определен в пространестве имен http://www.ascc.net/xml/schematron.

<?xml version="1.0" encoding="UTF-8"?>

<schema xmlns="http://www.ascc.net/xml/schematron">

:

</schema>

 

Примеры

Валидация в зависимости от содержимого нескольких полей:

<rule context="cmn:CreditCard">

  <assert test="((cmn:cardType='MasterCard' or cmn:cardType='Visa') and

                string-length(cmn:cardNumber) = '16') or

                (cmn:cardType='American Express' and

                string-length(cmn:cardNumber) = '15')">


     Invalid Card Number.

  </assert>

</rule>

 

Правило можно переписать красивее - использовать возможности XPath при определении правил:

<rule context="cmn:creditCard[cmn:cardType='MasterCard']">

  <assert test="string-length(cmn:cardNumber) = '16'">

    Mastercard card number must be 16 digits.

  </assert>

  <assert test="string-length(cmn:securityNo) = '3'">

    Security code for Mastercard must be 3 digits.

  </assert>

</rule>

 

Можно использовать функции, появившиеся в XPath 2.0:

<ns uri="http://www.oracle.com/XSL/Transform/java/oracle.tip.pc.services.functions.Xpath20" prefix="xp20"/>



<assert test="xp20:matches(cmn:cardNumber, '[0-9]{16}')">

  Mastercard number must be 16 digits.

</assert>

 

Валидация дат. Пример проверки того, что указанная дата больше текущей:

cmn:expiryYear > xp20:year-from-dateTime(xp20:current-dateTime()) or

(cmn:expiryYear= xp20:year-from-dateTime(xp20:current-dateTime()) and

cmn:expiryMonth>=xp20:month-from-dateTime(xp20:current-dateTime()) )

 

Проверка на присутствие элемента:

<rule context="//cmn:creditCard[cmn:cardType='American Express']">

  <assert test="cmn:securityNo">

    Security No must be specified

  </assert>

</rule>

 

Проверка на присутствие элемента и, если он присутсвует, на исполнение каких-то правил:

<rule context="//cmn:creditCard[cmn:cardType='American Express']">

  <assert test="cmn:securityNo and string-length(cmn:securityNo)>0">

    Security No must be specified

  </assert>

</rule>

 

Важно! Если для какого-то значения не описано правило, то данное значение всегда будет валидироваться как корректное. Если нужно ограничить набор возможных значений, то необходимо создать отдельное правило.

Пример возврата ошибки валидации с помощью Schematron:

<env:Fault>

  <faultcode>env:Server</faultcode>

  <faultstring>: Schematron validation fails with error

    <ns1:ValidationErrors>

      <error>Security code for Mastercard must be 3 digits.</error>

      <error>Credit Card has expired.</error>

    </ns1:ValidationErrors>

  </faultstring>

  <faultactor/>

  <detail>

    <exception/>

  </detail>

</env:Fault>

 

Использование бизнес-правил для валидации


Одним из методов реализации валидации является определение правил валидации как бизнес-правил. Это позволяет определить правила валидации один раз и затем использовать в нескольких сервисах. В свою очередь правила могут быть выставлены как веб-сервис, что позволяет легко использовать их из ESB или BPEL-процессов. Сами правила могут быть реализованы, например с помощью Oracle Business Rules, а для выставления их в качестве веб-сервиса может использоваться BPEL-обертка или соответствуюшее Java API.

Идея заключается в отделении сервисов валидации от корневых сервисов, что позволяет повторно использовать сервисы валидации. Так же данное решение позволяет изменять правила валидации без необходимости трогать другой код.

Возврат ошибок валидации из синхронного сервиса


Необходим механизм возврата информации об ошибках валидации потребителям сервиса, желательно с подробной информацией о том, какое именно поле сообщения некорректно.

Для синхронного сервиса механизм возврата основан на использовании SOAP Fault. SOAP Fault содержит 4 раздела:

  1. faultcode: высокоуровневый указатель на причину ошибки. SOAP 1.1 определяет следующие faultcode:
    - VersionMistmatch,
    - MustUnderstand,
    - Client
    - Server.

    Если ошибка в содержимом сообщения, полученного от клиента, и клиент должен исправить данную ошибку, то необходимо вернуть Client.

  2. faultstring: должен содержать понятное человеку описание причины возникновения ошибки.

  3. faultactor: описывает в какой точке пути обработки сообщения произошла ошибка. Если ошибка происходит в конечной точке обработки сообщения, то значение данного параметра можно оставить пустым.

  4. detail: опциональный элемент, который используется для предоставления дополнительной информации об ошибке. Необходимо заполнять только если faultstring содержит не всю подробную информацию о причинах ошибки.

SOAP Fault'ы добавляются как дополнительные элементы fault в определение операции (элемент operation) WSDL-файла. Элемент fault имеет два атрибута: name - задает код ошибки и message - содержит дополнительную информацию об ошибке и возвращается внутри элемента soap:detail.

Пример:

<operation name="updateCreditCard">

  <input message="tns:updateCreditCard"/>

  <output message="tns:updateCreditCardResponse"/>

  <fault name="tns:invalidCreditCard" message="tns:invalidCreditCardFault"/>

</operation>

 

Сервис может так же возвращать ошибки, не описанные в его контракте, однако описание ошибки облегчает потребителю использование сервиса и позволяет разрабатывать более качественные процессы обработки ошибок.

SOAP 1.1 допускает создание своих кодов ошибок реализуемое через т.н. dot-notation: client.invalidCreditCard в пространстве имен http://schemas.xmlsoap.org/soap/envelope/. Однако это ведет к колизиям и создает проблемы интероперабельности, следовательно не является совместимым с WS-I Basic Profile. Нужно избегать таких решений.

Вместо этого необходимо определять коды ошибок в своих собственных пространствах имен. Например, можно определить свой код ошибки invalidCreditCard в том же пространстве имен, что и сервис userManagement.

Важно: Хотя определение своих кодов ошибок в своих пространствах имен и является совместимым с WS-I Basic Profile, WS-I BP рекомендует использовать стандартные коды ошибок SOAP 1.1, а информацию о конкретной ошибке передавать в поле detail.

Возврат ошибок валидации из асинхронного сервиса


Асинхронный сервис не может ничего вернуть потребителю в ответе, т.к. взаимодействие с асинхронным сервисом строится на основе двух однонаправленных сообщений: первое содержит оригинальный запрос, второе - обратный вызов от сервиса, содержащий результат его работы.

Для возврата ошибки необходимо использовать обратный вызов. Существует два подхода: возвратить корректный результат или ошибку в единственном стандартном обратном вызове или определить отдельные операции для возврата ошибок. Второй способ позволяет клиенту определить отдельные обработчики для каждого возможного типа ошибки.

В большинстве случаев можно считать наименование операции эквивалентом кода ошибки, а содержимое соответствующего сообщения может использоваться для передачи подробной информации об ошибке (например fault string и detail). Пример определения сервиса обработки кредитной карточки как асинхронного:

<porttype name="UserAccount">

  <operation name="updateCreditCard">

    <input message="tns:updateCreditCard "/>

  </operation>

</portType>



<porttype name="UserAccountCallback">

  <operation name="updateCreditCardCallback">

    <input message=" tns:updateCreditCardCallback "/>

  </operation>

  <operation name="invalidCreditCard">

    <input message="tns:invalidCreditCard"/>

  </operation>

</portType>



 

Соображения о многоуровневой валидации


При валидации существуют потенциальные проблемы, связанные с производительностью (очевидно, что процесс валидации требует времени), поэтому нужно внимательно прослеживать цепочки вызовов. Например, если мы используем сервис для валидации кредитных карт, а операция по карточке у нас проходит через цепочку сервисов, использующих данный сервис валидации, то получится, что он будет вызван N раз, хотя достаточно было бы одного раза.

Так же нужно внимательно управлять распространением ошибок и откатом транзакций (компенсациями). Например, в BPEL-процессе из сервиса A вызываютя сервисы B и C. Сервис B отработал корректно, а при вызове сервиса С произошла ошибка. В данном случае необходимо откатить изменения, сделанные в сервисе В.

В качестве решения данных проблем можно предложить следующую стратегию: низкоуровневые сервисы осуществляют минимально допустимую валидацию, а высокоуровневые - валидацию по-максимуму. В таком случае, в примере с обработкой платежа по карте, высокоуровневый сервис, реализующий бизнес-процесс платежа, будет вызывать сервис валидации кредитной карты, а низкоуровневые сервисы могут лишь ограничиться проверкой допустимости для каждого из них типа карты, верной длины номера и нахождения даты окончания действия карты в будущем.

Следует учитывать, что если сервис разработан только для внутреннего использования, то мы имеем возможность управлять им и должны гарантировать его корректную работу, соответственно - не тратить время на валидацию его сообщений. Если же мы должны будем выставить такие сервисы для внешнего использования, то лучше разработать обертки и реализовать валидацию в обертках. Тогда внутри компании сервисы можно будет использовать напрямую, без валидации, а извне - через обертки с валидацией.

Ресурсы


Статья написана на основе содержимого главы 13 - Building Validation Into Services книги Oracle SOA Suite Developer Guide.

Понравилось сообщение - подпишитесь на блог и Twitter

1 комментарий:

Unknown комментирует...

Здорово! Отличная статья.

Отправить комментарий

Любой Ваш комментарий важен для меня, однако, помните, что действует предмодерация. Давайте уважать друг друга!