在我的服务层中传递 http servlet 响应是一个不好的做法吗？

Question

在我的authenticationService 的登录方法中，我需要创建一个cookie 并在cookie 中设置会话ID。

将请求对象传递到控制器操作内的服务层是一种不好的做法吗？

public void login(String email, String password) {

   User user = someService.validate(email, password);

   if(user != null) {
      // create session
      // set cookie ????
   }

}

我的控制器操作将调用上面的登录方法，但我很困惑应该在哪里为 cookie 创建和设置会话 ID。

对我来说，将其放在服务层中是有意义的，但随后我的登录方法将紧密绑定到 Web 应用程序。

我这样做对吗？

Answer 1

是（“不好的做法”），否（“正确做这件事”）。

服务层应该与任何与网络有关的东西完全解耦。 Web 层应该单独负责管理 Web 层工件，包括 cookie。

这样，即使 cookie 不存在（例如桌面或 CLI 应用程序），也可以使用该服务。它还允许在完全不考虑 Web 层的情况下测试服务，这是有道理的——服务不关心身份验证如何发生，或者之后发生什么——只关心使用用户名和密码作品。

Answer 2

是的。尝试尽快将网络消息转换为域对象，并且在确定整个消息格式正确且经过授权之前不要采取任何操作。

如果您可以将处理混乱的不受信任输入的代码与实现业务规则并根据域对象执行更改的代码与格式化对外界的响应的代码隔离开来，您的代码将更加可维护和安全。

如果您可以将服务分为：

1. 将 HTTP 请求转换为域对象的简单层、
2. 对域对象进行的（可能复杂的）操作并产生结果、
3. 将结果转换为 HTTP 响应的简单层，

那么您可以集中精力对 2 进行单元测试，无需担心创建和填充存根请求和响应对象。