Ein Posting auf beas dev2dev Seiten hat meine Aufmerksamkeit erregt. Ein recht umfassender Beitrag zum produktionsgerechten Packaging von EAR (Enterprise Application Archives) Files. In Summe finden sich 15 Hinweise und Vorgehensweisen zum optimalen Packagen für Produktionsumgebungen.
Mit Ausnahme einiger Weniger, sind diese Hinweise "state-of-the-art" und werden sicherlich von jedem berücksichtigt.
Erstaunt war ich über den dritten Hinweis: PS003: JSPs, unprocessed/uncompiled annotations and source files must not be included in the EAR. Genauer: über die JSP Seiten. Dass Java Sourcen nicht in eine Produktivumgebung gehören ist klar.
Wenn die JSP Seiten unter WEB-INF/jsp abgelegt sind, dann ist ein unberechtigter Zugriff auf die Sourcen von extern gar nicht möglich.
Und verglichen mit dem Umstand, dass JSPClassServlet einrichten zu müssen ist dieser "Schutz" vergleichsweise einfach zu erreichen.
JSP Sourcen gehören m.E. nicht in ein Produkt. Aber im Kontext eine klassischen Individualentwicklung, welche auf einer separaten Instanz betrieben wird, ist dieser Aufwand m.E. überflüssig. Trotz allem sollte man allerdings den jspc nicht vergessen. Grad bei großen Webprojekten unter Last ist ein Precompilen der JSP Seiten unabdingbar.
