Java Web开发实战：从零构建企业级员工管理系统

1. Java Web开发入门：从零搭建企业级应用

十年前我刚接触Java Web开发时，面对Servlet、JSP这些概念完全摸不着头脑。现在回头看，其实掌握几个核心要点就能快速上手。这篇教程会带你用任务驱动的方式，一步步构建一个完整的员工管理系统。我们不用任何现成框架，就从最基础的Java EE技术栈开始，这样你才能真正理解Web应用的底层原理。

这个教程适合已经掌握Java基础语法，想转型Web开发的程序员。最终我们会做出一个具备用户登录、数据增删改查功能的完整应用，涵盖从环境搭建到部署上线的全流程。过程中我会特别强调企业开发中的那些"潜规则"——比如为什么我们坚持用PreparedStatement而不是Statement，以及如何避免初学者常犯的线程安全问题。

2. 开发环境与项目初始化

2.1 工具选型与配置

我强烈建议使用IntelliJ IDEA Ultimate版（社区版缺少Java EE支持），配合Apache Tomcat 9.x作为服务器。数据库先用H2内存数据库方便测试，后期再切换MySQL。在pom.xml中要特别注意这些依赖：

xml复制<dependency>
    <groupId>javax.servlet</groupId>
    <artifactId>javax.servlet-api</artifactId>
    <version>4.0.1</version>
    <scope>provided</scope>
</dependency>
<dependency>
    <groupId>javax.servlet.jsp</groupId>
    <artifactId>javax.servlet.jsp-api</artifactId>
    <version>2.3.3</version>
    <scope>provided</scope>
</dependency>

重要提示：scope设为provided是因为服务器本身会提供这些库，打包时不需要重复包含，否则可能导致类冲突。

2.2 项目目录结构规范

标准的Maven Web项目结构应该是：

code复制src
├── main
│   ├── java        # Java源代码
│   ├── resources   # 配置文件
│   └── webapp      # Web资源
│       ├── WEB-INF 
│       │   └── web.xml  # 部署描述符
│       └── index.jsp    # 欢迎页面
└── test           # 测试代码

我见过很多新手把JSP文件随便乱放，后期维护简直是一场灾难。建议按功能模块划分子目录，比如：

code复制webapp
├── css
├── js
├── WEB-INF
│   └── views      # JSP文件按模块存放
│       ├── auth
│       └── employee

3. 核心功能实现详解

3.1 用户登录模块开发

我们先实现最基础的登录功能，这里演示如何正确处理中文参数：

java复制// 在Servlet的doPost方法中
request.setCharacterEncoding("UTF-8"); 
String username = request.getParameter("username");
String password = request.getParameter("password");

// 密码千万不要明文存储！
String hashedPwd = DigestUtils.sha256Hex(password + "随机盐值");

安全警示：永远不要直接拼接SQL查询！这是我们用PreparedStatement的原因：

java复制String sql = "SELECT * FROM users WHERE username=? AND password=?";
PreparedStatement stmt = conn.prepareStatement(sql);
stmt.setString(1, username);
stmt.setString(2, hashedPwd);
ResultSet rs = stmt.executeQuery();

3.2 员工管理CRUD实现

实现分页查询时要注意性能问题，这是我优化过的分页SQL：

sql复制SELECT * FROM employees 
ORDER BY id DESC 
LIMIT ? OFFSET ?

对应的Java代码应该这样处理参数：

java复制int pageSize = 10;
int page = Integer.parseInt(request.getParameter("page"));
int offset = (page - 1) * pageSize;

stmt.setInt(1, pageSize);
stmt.setInt(2, offset);

文件上传功能要特别注意：

java复制Part filePart = request.getPart("photo");
String fileName = Paths.get(filePart.getSubmittedFileName()).getFileName().toString();
InputStream fileContent = filePart.getInputStream();

// 一定要限制文件类型和大小
if (!fileName.endsWith(".jpg") || filePart.getSize() > 1024*1024) {
    throw new ServletException("Invalid file");
}

4. 进阶技巧与性能优化

4.1 使用连接池提升性能

直接获取数据库连接的方式在生产环境根本不可行。我们用HikariCP配置连接池：

java复制HikariConfig config = new HikariConfig();
config.setJdbcUrl("jdbc:h2:mem:test");
config.setMaximumPoolSize(20);
config.setConnectionTimeout(30000);
dataSource = new HikariDataSource(config);

4.2 避免Servlet的线程陷阱

新手常犯的错误是在Servlet中使用实例变量：

java复制// 错误示范！这个userList会被所有请求共享
private List<User> userList = new ArrayList<>();

protected void doGet(...) {
    userList.add(...); // 线程不安全！
}

正确做法应该是：

java复制protected void doGet(...) {
    List<User> tempList = new ArrayList<>(); // 每个请求独立实例
    tempList.add(...);
}

4.3 日志记录最佳实践

别再用System.out.println了！用SLF4J+Logback：

java复制private static final Logger logger = LoggerFactory.getLogger(UserServlet.class);

try {
    // 业务代码
} catch (Exception e) {
    logger.error("用户登录失败: {}", username, e);
    // 错误信息要包含足够上下文但不要记录密码！
}

日志配置文件示例：

xml复制<appender name="FILE" class="ch.qos.logback.core.rolling.RollingFileAppender">
    <file>logs/app.log</file>
    <rollingPolicy class="ch.qos.logback.core.rolling.TimeBasedRollingPolicy">
        <fileNamePattern>logs/app.%d{yyyy-MM-dd}.log</fileNamePattern>
    </rollingPolicy>
</appender>

5. 部署与监控实战

5.1 Tomcat生产环境配置

在conf/server.xml中调整这些关键参数：

xml复制<Connector port="8080" 
           maxThreads="200"
           minSpareThreads="10"
           connectionTimeout="20000"
           redirectPort="8443" />

5.2 用JMX监控应用

启动Tomcat时添加参数：

bash复制export CATALINA_OPTS="-Dcom.sun.management.jmxremote 
-Dcom.sun.management.jmxremote.port=9010 
-Dcom.sun.management.jmxremote.ssl=false 
-Dcom.sun.management.jmxremote.authenticate=false"

然后用JConsole连接localhost:9010即可监控内存、线程等情况。

5.3 性能测试技巧

用Apache Benchmark做压力测试：

bash复制ab -n 1000 -c 50 http://localhost:8080/app/login

重点关注这些指标：

• 吞吐量(Requests per second)
• 95%的请求响应时间
• 错误率

6. 常见问题排错指南

6.1 中文乱码解决方案

完整的中文处理方案需要这些配置：

1. JSP页面头部加：

jsp复制<%@ page contentType="text/html;charset=UTF-8" %>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">

2. 在Servlet中：

java复制response.setContentType("text/html;charset=UTF-8");
request.setCharacterEncoding("UTF-8");

3. 在Tomcat的server.xml中：

xml复制<Connector URIEncoding="UTF-8" ... />

6.2 404错误排查步骤

1. 检查URL是否完全匹配web.xml中的
2. 查看Tomcat日志catalina.out
3. 确认项目已正确部署到webapps目录
4. 检查WEB-INF/web.xml是否存在且格式正确

6.3 数据库连接超时处理

典型的连接池配置建议：

java复制config.setConnectionTimeout(30000); // 30秒
config.setIdleTimeout(600000); // 10分钟
config.setMaxLifetime(1800000); // 30分钟
config.setLeakDetectionThreshold(5000); // 5秒

遇到连接泄漏时，查看日志中是否有类似提示：

code复制HikariPool-1 - Connection leak detection triggered

7. 项目扩展方向建议

现在你已经完成了基础版本，可以考虑这些增强功能：

1. 增加Redis缓存会话信息
2. 用Spring Security重构权限控制
3. 添加Swagger生成API文档
4. 实现Excel导入导出功能
5. 集成Quartz做定时任务

我在实际项目中发现，用Filter实现请求日志记录特别有用：

java复制public class LoggingFilter implements Filter {
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) {
        long start = System.currentTimeMillis();
        chain.doFilter(req, res);
        long elapsed = System.currentTimeMillis() - start;
        logger.info("Request {} took {}ms", ((HttpServletRequest)req).getRequestURI(), elapsed);
    }
}

最后提醒一点：Web开发中安全永远是第一位的。一定要做好这些防护措施：

• CSRF Token验证
• XSS过滤（推荐用OWASP Java Encoder）
• SQL注入防护（坚持用PreparedStatement）
• 密码加密存储（PBKDF2或BCrypt）
• 文件上传目录禁止执行权限