Curriculum für. CPSA Certified Professional for Software Architecture. Advanced Level. Modul: Web-Architekturen

Transkript

1 Curriculum für CPSA Certified Prfessinal fr Sftware Architecture Advanced Level Mdul: Web-Architekturen Versin 1.3 (Februar 2015)

2 (Cpyright), Internatinal Sftware Architecture Qualificatin Bard e. V. (isaqb e. V.) Die Nutzung des Lehrplans ist nur unter den nachflgenden Vraussetzungen möglich: 1. Sie möchten das Zertifikat zum CPSA Certified Prfessinal fr Sftware Architecture Advanced Level erwerben. Für den Erwerb des Zertifikats ist es gestattet, die Text- Dkumente und/der Lehrpläne zu nutzen, indem eine Arbeitskpie für den eigenen Rechner erstellt wird. Sll eine darüber hinausgehende Nutzung der Dkumente und/der Lehrpläne erflgen, zum Beispiel zur Weiterverbreitung an Dritte, Werbung etc., bitte unter nachfragen. Es müsste dann ein eigener Lizenzvertrag geschlssen werden. 2. Sind Sie Trainer, Anbieter der Trainingsrganisatr, ist die Nutzung der Dkumente und/der Lehrpläne nach Erwerb einer Nutzungslizenz möglich. Hierzu bitte unter nachfragen. Lizenzverträge, die alles umfassend regeln, sind vrhanden. 3. Falls Sie weder unter die Kategrie 1. nch unter die Kategrie 2. fallen, aber dennch die Dkumente und/der Lehrpläne nutzen möchten, nehmen Sie bitte ebenfalls Kntakt unter zum isaqb e. V. auf. Sie werden drt über die Möglichkeit des Erwerbs entsprechender Lizenzen im Rahmen der vrhandenen Lizenzverträge infrmiert und können die gewünschten Nutzungsgenehmigungen erhalten. Grundsätzlich weisen wir darauf hin, dass dieser Lehrplan urheberrechtlich geschützt ist. Alle Rechte an diesen Cpyrights stehen ausschließlich dem Internatinal Sftware Architecture Qualificatin Bard e. V. (isaqb e. V.) zu. Seite 2 vn 28 Stand 05. Februar 2015

3 Inhaltsverzeichnis 0 EINLEITUNG: ALLGEMEINES ZUM ISAQB ADVANCED LEVEL WAS VERMITTELT EIN ADVANCED LEVEL MODUL? WAS KÖNNEN ABSOLVENTEN DES ADVANCED-LEVEL (CPSA-A)? VORAUSSETZUNGEN ZUR CPSA-A ZERTIFIZIERUNG GRUNDLEGENDES ZUM MODUL WEB-ARCHITEKTUR GLIEDERUNG DES LEHRPLANS FÜR WEB-ARCHITEKTUR UND EMPFOHLENE ZEITLICHE AUFTEILUNG DAUER, DIDAKTIK UND WEITERE DETAILS VORAUSSETZUNGEN FÜR DAS MODUL WEB-ARCHITEKTUR GLIEDERUNG DES WEB-ARCHITEKTURLEHRPLANS ERGÄNZENDE INFORMATIONEN, BEGRIFFE, ÜBERSETZUNGEN CREDIT POINTS FÜR DIESE SCHULUNGEN EINFÜHRUNG IN DAS ISAQB ZERTFIZIERUNGSPROGRAMM BEGRIFFE UND KONZEPTE LERNZIELE GRUNDLAGEN BEGRIFFE UND KONZEPTE LERNZIELE PROTOKOLLE UND STANDARDS BEGRIFFE UND KONZEPTE LERNZIELE REFERENZEN ARCHITEKTURSTILE BEGRIFFE UND KONZEPTE LERNZIELE TECHNOLOGIEN UND INFRASTRUKTUR BEGRIFFE UND KONZEPTE LERNZIELE Seite 3 vn 28 Stand 05. Februar 2015

4 6.3 REFERENZEN ENTWURF VON WEB-ARCHITEKTUREN BEGRIFFE UND KONZEPTE LERNZIELE REFERENZEN QUALITÄT IN WEB-ARCHITEKTUREN BEGRIFFE UND KONZEPTE LERNZIELE BEISPIELARCHITEKTUREN BEGRIFFE UND KONZEPTE LERNZIELE REFERENZEN QUELLEN UND REFERENZEN ZU WEB-ARCHITEKTUR Seite 4 vn 28 Stand 05. Februar 2015

5 0 Einleitung: Allgemeines zum isaqb Advanced Level 0.1 Was vermittelt ein Advanced Level Mdul? Der isaqb Advanced-Level bietet eine mdulare Ausbildung in drei Kmpetenzbereichen mit flexibel gestaltbaren Ausbildungswegen. Er berücksichtigt individuelle Neigungen und Schwerpunkte. Die Zertifizierung erflgt als Hausarbeit. Die Bewertung und mündliche Prüfung wird durch vm isaqb benannte Experten vrgenmmen. 0.2 Was können Abslventen des Advanced-Level (CPSA-A)? CPSA-A Abslventen können: Eigenständig und methdisch fundiert mittlere bis grße IT-Systeme entwerfen. In IT-Systemen mittlerer bis hher Kritikalität technische und inhaltliche Verantwrtung übernehmen. Maßnahmen zur Erreichung nichtfunktinaler Anfrderungen knzeptinieren, entwerfen und dkumentieren. Entwicklungsteams bei der Umsetzung dieser Maßnahmen begleiten. Architekturrelevante Kmmunikatin in mittleren bis grßen Entwicklungsteams steuern und durchführen 0.3 Vraussetzungen zur CPSA-A Zertifizierung Eine erflgreiche Ausbildung und Zertifizierung zum CPSA-F (Certified Prfessinal fr Sftware Architecture, Fundatin Level) Mindestens drei Jahre Vllzeit-Berufserfahrung in der IT-Branche, dabei Mitarbeit an Entwurf und Entwicklung vn mindestens zwei unterschiedlichen IT-Systemen Ausnahmen auf Antrag zulässig (etwa: Mitarbeit in OpenSurce Prjekten) Aus- und Weiterbildung im Rahmen vn isaqb-advanced Level Schulungen im Umfang vn mindestens 70 Credit-Pints aus mindestens zwei unterschiedlichen Kmpetenzbereichen (detailliert geregelt in Abschnitt ). Bestehende Zertifizierungen (etwa Sun/Oracle Java-Architect, Micrsft-CSA ä) können auf Antrag auf diese Credit-Pints angerechnet werden. Snstige Aus- und Weiterbildungen können auf Antrag beim isaqb ebenfalls anerkannt werden, sfern ein Bezug zu Sftware-Architektur vrliegt. Die Entscheidung hierüber trifft im Einzelfall die Arbeitsgruppe Advanced Level des isaqb. Erflgreiche Bearbeitung der CPSA-A Zertifizierungsprüfung. Seite 5 vn 28 Stand 05. Februar 2015

6 1 Grundlegendes zum Mdul Web-Architektur 1.1 Gliederung des Lehrplans für Web-Architektur und empfhlene zeitliche Aufteilung Grundlagen (mindestens 90 min) Prtklle und Standards (mindestens 90 min) Architekturstile (mindesten 180 min) Technlgie und Infrastruktur (mindestens 240 min) Entwurf vn Web-Architekturen (mindestens 300 min) Qualität in Web-Architekturen (mindestens 180 min) Beispielarchitekturen (mindestens 60 min) Gesamtdauer Grundlagen Prtklle und Standards Architekturstile Technlgie und Infrastruktur Entwurf vn Web-Architekturen Qualität in Web-Architekturen Beispielarchitekturen 1.2 Dauer, Didaktik und weitere Details Die unten genannten Zeiten sind Empfehlungen. Die Dauer einer Schulung zum Web-Architektur sllte mindestens 3 Tage betragen, kann aber länger sein. Anbieter können sich durch Dauer, Didaktik, Art- und Aufbau der Übungen swie der detaillierten Kursgliederung vneinander unterscheiden. Insbesndere die Art der Beispiele und Übungen lässt der Lehrplan kmplett ffen. 1.3 Vraussetzungen für das Mdul Web-Architektur Teilnehmer sllten flgende Kenntnisse und/der Erfahrung mitbringen: CPSA-F und alle damit verbundenen Vraussetzungen Erfahrungen mit verteilten Systemen idealerweise Web-Anwendungen Grundkenntnisse in Web-Technlgien HTML, CSS, JavaScript swie mindestens ein serverseitiges Framewrk Seite 6 vn 28 Stand 05. Februar 2015

7 1.4 Gliederung des Web-Architekturlehrplans Die einzelnen Abschnitte des Lehrplans sind gemäß flgender Gliederung beschrieben: Begriffe/Knzepte: Wesentliche Kernbegriffe dieses Themas. Unterrichts-/Übungszeit: Legt die Unterrichts- und Übungszeit fest, die für dieses Thema bzw. dessen Übung in einer akkreditierten Schulung mindestens aufgewendet werden muss. Lernziele: Beschreibt die zu vermittelnden Inhalte inklusive ihrer Kernbegriffe und -knzepte. Dieser Abschnitt skizziert damit auch die zu erwerbenden Kenntnisse in entsprechenden Schulungen. Die Lernziele werden differenziert in flgende Kategrien bzw. Unterkapitel: Was sllen die Teilnehmer können? Diese Inhalte sllen die Teilnehmer nach der Schulung selbständig anwenden können. Innerhalb der Schulung werden diese Inhalte durch Übungen abgedeckt und sind Bestandteil der Mdulprüfung Web-Architektur und/der der Abschlussprüfung des isaqb Advanced Levels. Was sllen die Teilnehmer verstehen? Diese Inhalte können in der Mdulprüfung Web- Architektur geprüft werden. Was sllen die Teilnehmer kennen? Diese Inhalte (Begriffe, Knzepte, Methden, Praktiken der Ähnliches) können das Verständnis unterstützen der das Thema mtivieren. Diese Inhalte sind nicht Bestandteil der Prüfungen, werden in Schulungen thematisiert, aber nicht ntwendigerweise ausführlich unterrichtet. Referenzen: Verweise auf weiterführende Literatur, Standards der andere Quellen. Eine ausführliche Liste vn Büchern und weiteren Quellen findet sich auf isaqb-fachlichequellen. 1.5 Ergänzende Infrmatinen, Begriffe, Übersetzungen Sweit für das Verständnis des Lehrplan erfrderlich, haben wir Fachbegriffe ins isaqb Glssar aufgenmmen, definiert und bei Bedarf durch die Übersetzungen der Originalliteratur ergänzt. 1.6 Credit Pints für diese Schulungen Vm isaqb e.v. lizensierte Schulungen gemäß dieses Lehrplans tragen zur Zulassung zur abschliessenden Advanced Level Zertifizierungsprüfung flgende Punkte (Credit Pints) bei: Technische Kmpetenz: 30 Punkte Seite 7 vn 28 Stand 05. Februar 2015

8 2 Einführung in das isaqb Zertfizierungsprgramm Dauer: 15 Min (ptinal) Übungszeit: keine Dieser Abschnitt ist nicht prüfungsrelevant. Falls Teilnehmer bereits CPSA-F zertifiziert sind, kann dieser Abschnitt entfallen. 2.1 Begriffe und Knzepte isaqb, Advanced-Level Zertifizierung und Vraussetzung dazu. 2.2 Lernziele Die Teilnehmer lernen den Kntext des isaqb Zertifizierungsprgrammes und der zugehörigen Prüfungen beziehungsweise Prüfungsmdalitäten kennen Was sllen die Teilnehmer kennen? isaqb als Verein Advanced Level in Abgrenzung zu anderen Level Randbedingungen und Vrgehen beim isaqb Zertifizierungsprgramm Seite 8 vn 28 Stand 05. Februar 2015

9 3 Grundlagen Dauer: 90 Min Übungszeit: keine 3.1 Begriffe und Knzepte Web-Brwser, Web-Server, Client, Server, Prxy, HTTP, HTML, CSS, JavaScript, URI, Request, Respnse, Barrierefreiheit, Basic-Auth, Digest-Auth, Intranet vs. Internet, Redirect, TLS, SSL 3.2 Lernziele Was sllen die Teilnehmer können? Die Teilnehmer können den typischen Request-/Respnse-Verlauf erläutern, der bei der Eingabe einer Adresse in der Adresszeile des Brwsers bzw. beim Absenden eines Frmulars abläuft. Teilnehmer können den Request-/Respnse-Verlauf auf typische Kmpnenten im Web- Umfeld abbilden: Client, Server, Prxy, Reverse Prxy, Lad-Balancer, DNS-Server, Framewrk, eigene Kmpnente (Servlet, PHP-Script, Rails-Cntrller) Die Teilnehmer können den Unterschied zwischen GET und POST-Request erläutern. Die Teilnehmer können schematisch die typische Client-Server-Infrastruktur vn Web- Architekturen skizzieren. Teilnehmer können den allgemeinen Aufbau vn HTTP-Requests erläutern: Header (mit Hstname, Cntent-Type usw.), Cntent Teilnehmer können den allgemeinen Aufbau vn HTTP-Respnses erläutern: Respnse mit Statuszeile, Header und Cntent. Die Teilnehmer können den Aufbau einer URI erläutern und die Kmpnenten in der Request-Verarbeitung, die tendenziell dafür zuständig sind, sie zu interpretieren. Die Teilnehmer kennen die Rllen, die HTML, CSS und JavaScript im Brwser spielen Was sllen die Teilnehmer verstehen? Die Teilnehmer verstehen, dass sich hinter dem Oberbegriff Web-Applikatin swhl technisch als auch fachlich grundlegend verschiedene Arten vn IT-Systemen verbergen können, die verschiedene Architekturen erfrdern. Die Teilnehmer verstehen, dass Web-Anwendungen häufig swhl Online-Transaktins- als auch Online-Analyse-Anwendungsfälle realisieren, für die jeweils unterschiedliche Architektur-Muster zum Tragen kmmen. Die Teilnehmer verstehen, dass Web-Applikatinen nicht auf die Verwendung durch Brwser beschränkt sind sndern können auch durch andere Clients genutzt werden können. Die Teilnehmer verstehen wie ein Redirect verarbeitet wird. Die Teilnehmer verstehen, warum ein Brwser beim Erneut Laden bei HTTP-POST eine separate Bestätigung verlangt. Die Teilnehmer verstehen, wie Web-Anwendungen realisiert sein müssen, um slche Rückfragen des Brwsers weitgehend zu vermeiden. Die Teilnehmer verstehen, was HTTPS bedeutet und wie es funktiniert. Die Teilnehmer verstehen, welche Auswirkung es hat, eine SSL-Verbindung zu terminieren. Die Teilnehmer verstehen den Unterschied zwischen inhaltlicher bzw. struktureller und darstellungsspezifischer Auszeichnung vn Inhalten. Einige der Techniken, die zu barrierefreien Inhalten führen, srgen gleichzeitig dafür, dass diese Inhalte auch leichter maschinell verarbeitet werden können. Seite 9 vn 28 Stand 05. Februar 2015

10 3.2.3 Was sllen die Teilnehmer kennen? Die Teilnehmer kennen die relevanten Standardisierungsgremien wie IETF, IANA, W3C und deren Aufgabenbereiche im Bezug auf Web-Architektur. Die Teilnehmer wissen, dass rechtliche Rahmenbedingungen barrierefreie Oberflächen verlangen können. Z.B. frmuliert die Verrdnung zur Schaffung barrierefreier Infrmatinstechnik nach dem Behindertengleichstellungsgesetz etwa knkrete Anfrderungen, die vn allen Web-Seiten der Bundesverwaltung der Bundesrepublik Deutschland umgesetzt werden müssen. Die Teilnehmer kennen die allgemeinen Anfrderungen, die unter dem Begriff Barrierefreiheit zusammen gefasst sind. Kmpnenten- swie Actin- der Request-Respnse-Framewrks nutzen häufig vm MVC- Muster beeinflusste Designs. Die Teilnehmer kennen mindestens eine Client-Technlgie / eine Markup-Sprache, um Infrmatinen an den Client zu übermitteln und damit die gewünschte Funktinalität zu realisieren. Die Teilnehmer wissen, dass HTTP ein textbasiertes Applikatinsprtkll ist. Die Teilnehmer kennen die verschiedenen standardisierten Authentisierungsmechanismen: HTTP Basic- bzw. Digest-Authenticatin Die Teilnehmer wissen, dass bei HTTP Basic-Authenticatin Benutzername und Passwrt im Klartext übertragen werden. Die Teilnehmer wissen, dass vertrauliche Infrmatinen im Web-Umfeld am Besten auf dem Transprtweg verschlüsselt übertragen werden sllten. Die Verschlüsselung auf dem Transprtweg (Transprt Level Security, TLS) erflgt über SSL. Die Teilnehmer kennen die Auswirkungen vn SSL für das Caching. Die Teilnehmer kennen WebSckets und SPDY. Seite 10 vn 28 Stand 05. Februar 2015

11 4 Prtklle und Standards Dauer: 90 Min Übungszeit: keine 4.1 Begriffe und Knzepte URI, URL, URN und IRI, HTTP, HTTP-Verben (GET, PUT, POST, DELETE), HTTP-Header, Intermediaries, Caching, Idemptenz, Cntent-Types, Cntent-Negtiatin, SSL/TLS, HTML, DOM, RSS, ATOM 4.2 Lernziele Was sllen die Teilnehmer können? Die Teilnehmer können Sftware-Systeme s entwerfen, dass sie an den Schnittstellen die im Wrld Wide Web gebräuchlichen Prtklle effektiv und ressurcenschnend einsetzen. Die Teilnehmer können benennen, welche Art vn Anfragen zu welchem Datenverkehr führen. Die Teilnehmer können gezielt HTTP-Header verwenden, um der Intrastruktur das Caching zu ermöglichen. Die Teilnehmer können für gegebene Anfrderungen passende Authentisierungsmechanismen (Basic- und Digest-Authenticatin) verwenden. Die Teilnehmer können Web-Anwendungen entwerfen, in denen die Brwser-Buttns Back und Frward generell funktinieren, hne unerwünschte Nebeneffekte auszulösen. Die Teilnehmer können den Kmmunikatinskanal mit TLS absichern und wissen welcher Authentisierungsmechanismus im Falle einer unverschlüsselten Kmmunikatin geeignet ist. Die Teilnehmer können für gängige Frmate abschätzen, wie grß dynamische Inhalte werden können (swhl im Brwser als auch auf dem Transprt-Weg). Die Teilnehmer können benennen, welche HTTP-Header sich auf Caching beziehen und wie sich diese auswirken (Stichwrt Validierung vs. Verfallszeitstempel). Die Teilnehmer können Struktur der Infrmatinen vn deren Darstellung trennen. Die Teilnehmer können die Größenverhältnisse vn Nutzlast und Overhead für die Frmate einrdnen und können anhand zu dem erwartenden Datenaufkmmen und der geplanten Verwendung, die passenden Repräsentatinsfrmen auswählen Was sllen die Teilnehmer verstehen? Die Prtklle und die Architektur des Webs sind technlgieunabhängig. Die Teilnehmer verstehen den Zusammenhang zwischen Server-Adresse und Server-Name und kennen die Auswirkungen für die Erzeugung und Verwendung vn URLs, die swhl System-intern als auch extern verwendet werden sllten. Die Teilnehmer verstehen den Zusammenhang zwischen dem Transprt-Prtkll (TCP/IP) und dem Applikatinsprtkll (HTTP). Die Teilnehmer verstehen, wie eine Namensauflösung per DNS-Lkup funktiniert. Die Teilnehmer verstehen, welche Auswirkungen die Cache-Cntrl-Header auf Intermediaries haben. Die Teilnehmer verstehen die wesentlichen Eigenschaften des HTTP-Prtklls und können diese erklären. Seite 11 vn 28 Stand 05. Februar 2015

12 Das HTTP-Prtkll ist ein Text-basiertes und zustandslses Request-Respnse Applikatinsprtkll. Das HTTP-Prtkll sieht dazwischengeschaltete Verarbeitungsprzesse (Intermediaries) ausdrücklich vr. Der Client identifiziert gegenüber dem Server eine Ressurce über einen URI mit dem Schema http der https. HTTP-Verben legen dabei die Art des Zugriffs fest, die Verben besitzen Semantik. Der Server antwrtet mit standardisierten Status-Cdes. HTTP-Header werden für weitere Dienste, Metadaten der Erweiterungen genutzt. HTTP-Verben, Status-Cdes und diverse HTTP-Header legen gemeinsam fest, b Respnses ge-cache-t werden dürfen. Verschiedene Repräsentatinen der gleichen Ressurce werden über Medientypen (Cntent-Types) identifiziert und können zwischen Client und Server über Cntent- Negtiatin ausgehandelt werden. Das HTTP-Prtkll enthält ein Sub-Prtkll zur Authentisierung des Clients gegenüber dem Server (Basic- und Digest-Authentisierung). Ckies erweitern das an sich zustandslse Prtkll um einen Mechanismus für statusbehaftete Kmmunikatin. Teilnehmer verstehen die interne Struktur vn HTTP-Requests und -Respnses. Die Teilnehmer verstehen, dass das Prtkll SSL auf der Transprt-Ebene verschlüsselt (TLS), bei der eine symmetrische Verschlüsselung erflgt. Der Schlüssel wird asymmetrisch mit Zertifikaten für den Server und den Client ausgehandelt. Zertifikate des Clients können zur Authentisierung genutzt werden Was sllen die Teilnehmer kennen? Die Teilnehmer kennen die gängigen HTTP-Status-Cdes und wissen, welche Ursache unterstellt und welche Reaktin darauf üblicherweise erwartet wird. Die Teilnehmer verstehen die Verantwrtung und Aufgaben der Prtklle und Kmpnenten im Web-Umfeld: URIs identifizieren und lkalisieren Ressurcen DNS-Server unterstützen bei der Auflösung des Authrity-Teils des URI. Das HTTP-Prtkll ist ein generisches Prtkll zum Zugriff auf Ressurcen und stellt Lösungen für einige nicht-fachliche Anfrderungen zur Verfügung. Verschlüsselung erflgt unterhalb der Ebene des HTTP-Prtklls. Für verschiedene Arten vn Daten stehen standardisierte Frmate zur Verfügung. HTTP sieht vr, dass Clients und Servers das verwendete Frmat miteinander aushandeln, wenn mehrere Alternativen existieren. Die Teilnehmer kennen das Brwser-intern verwendete Dcument Object Mdel und können mit dessen Hilfe Dkumente im Brwser auswerten der manipulieren. Die Teilnehmer kennen verschiedene Datenfrmate für die Repräsentatin vn Infrmatinen (HTML, XML, XHTML, JSON, CSV ). Die Teilnehmer kennen den Begriff Idemptenz und wissen, für welche HTTP-Verben Requests idemptent sind und für welche die Respnse des Servers ge-cache-t werden darf. Die Teilnehmer wissen, dass Web-Server häufig intern in Kmpnenten für die Implementierung des HTTP-Servers und für die Implementierung des Anwendungs-Cdes unterteilt werden (beispielsweise Web-Cntainer und Applikatins-Cntainer). Die Teilnehmer wissen, wie Ckies zwischen Client und Server ausgetauscht und verwaltet werden. Die Teilnehmer kennen verschiedene Frmate zur Realisierung vn Feeds wie RSS und Atm. Die Teilnehmer kennen das XML Http Request-Object (kurz XHR) als Grundlage vn AJAXbasierten Anwendungen. Die Teilnehmer kennen die Möglichkeiten, die sich durch Server-Side-Events ergeben. Seite 12 vn 28 Stand 05. Februar 2015

13 4.3 Referenzen [RFC3986] [RFC3987] [RFC2616] [Jacbs+2004] [Fielding+2000] [HTML-CSS] [ECMA-262] [WS-I] [Tilkv 2011] [RFC2246] [RFC6265] Seite 13 vn 28 Stand 05. Februar 2015

14 5 Architekturstile Dauer: 120 Min Übungszeit: Begriffe und Knzepte Representatinal State Transfer (REST), Resurce-riented Client Architecture (ROCA), Single-URI- /Stateful-BackEnd-Web-Apps, Single-Page-Applikatin, Crss-Cmpiler-Architekturen, Fat-Client-im- Brwser-Apps, Smart-Client-im-Brwser-Apps 5.2 Lernziele Was sllen die Teilnehmer können? Die Teilnehmer können erklären, wie sich der REST-Stil vm Single-URI-/Stateful-BackEnd- Architekturstil unterscheidet. Die Teilnehmer können verschiedene Architektur-Stile unterscheiden und bewusst auswählen, welcher für eine Menge vn gegebenen Anfrderungen und Rahmenbedingungen der sinnvllste ist. Die Teilnehmer können die Schnittstellen s entwerfen, dass langlaufende Transaktinen mit entsprechenden Status-Cdes angenmmen werden und über geeignete Mechanismen das Ergebnis gemeldet wird, sbald es vrliegt. Die Teilnehmer können für ein gegebenes Framewrk bewerten, wie gut es für die Realisierung vn Web-Anwendungen gemäß eines vrgegebenen Architektur-Stils geeignet ist. Die Teilnehmer können verschiedene Architekturstile vn Web-Architekturen erläutern und entsprechende Systeme entwerfen: REST-knfrme Web-Anwendungen Single-URI-/Single-Methd-Anwendungen Fat-Client-im-Brwser-Anwendungen Smart-Client-im-Brwser-Anwendungen Was sllen die Teilnehmer verstehen? Die Teilnehmer verstehen die Einschränkungen, die der Architekturstil REST auf den Entwurf eines Systems mit sich bringt: Identifizierbare Ressurcen Unifrme Schnittstelle Zustandslse Kmmunikatin Repräsentatinen Hypermedia Die Teilnehmer verstehen die Einschränkungen, die Single-URI-/Stateful-Backend- Architekturen auferlegen: Kmmunikatin läuft über einen zentralen Dispatcher Requests enthalten ein Kmmand der einen Diskriminatr, der entscheidet, welche Kmpnente für die Verarbeitung zuständig ist. In der Regel sind diese Dispatch-Infrmatinen hart kdiert der im Hauptspeicher abgelegt. Die Teilnehmer können beim Einsatz vn Werkzeugen zur Generierung vn Clientspezifischen Artefakten wie HTML/JavaScript.ä. aus Serverseitigem Quellcde zwischen Vr- und Nachteilen abwägen. Seite 14 vn 28 Stand 05. Februar 2015

15 Die Teilnehmer verstehen, dass gleichgültig welcher Architekturstil gewählt ist, sicherheitsrelevante Prüfungen stets im Server realisiert werden müssen. Die Teilnehmer verstehen, wie sich die Reaktinsfreudigkeit vn Web-Applikatinen über Funktinalität im Client verbessern lässt. Z.B. über: JavaScript im Client (z.b. in Verbindung mit AJAX) Prprietäre Erweiterungen wie Adbe Flash der Micrsft Silverlight Smart-Client Applikatinen Was sllen die Teilnehmer kennen? Die Teilnehmer kennen die Auswirkungen vn mbilen Clients: stark unterschiedliche Bandbreiten teilweise sehr geringe Bandbreiten schwankende Bandbreiten Die Teilnehmer wissen, dass mbile Clients teilweise reduzierte Leistungsfähigkeit im Bezug auf Hauptspeicher und CPU besitzen. Seite 15 vn 28 Stand 05. Februar 2015

16 6 Technlgien und Infrastruktur Dauer: 180 Min Übungszeit: 60 min 6.1 Begriffe und Knzepte Client, Server, Prxy, Reverse-Prxy, Cntent Delivery Netwrks/CDN, Lastverteilung/Lad Balancing, CGI, FastCGI, Servlets, ActiveServerPages, PHP-Seiten 6.2 Lernziele Was sllen die Teilnehmer können? Die Teilnehmer können serverseitige Web-Anwendungen s entwerfen, dass sie die Infrastruktur effektiv einsetzen. Die Teilnehmer können das Laufzeitverhalten eines Systems durch den gezielten Einsatz vn Reverse Prxies verbessern. Die Teilnehmer können die Last auf den Web-Server durch den Einsatz vn Cntent Delivery Netwrks reduzieren. Die Teilnehmer können verschiedene Intermediaries benennen und ihre Auswirkungen auf die Architektur erklären. Prxies speichern Respnses für den Client, hierfür sieht das HTTP-Prtkll explizite Regeln vr. Reverse Prxies sind Prxies auf der Server-Seite und fungieren als Caches für die Web- Applikatin. Cntent Delivery Netwrks fungieren als gegrafisch verteilte Caches statischer Inhalte. Die Teilnehmer kennen verschiedene Skalierungsstrategien (Scale Up, Scale Out hrizntal swie vertikal) und können die geeignete Skalierungsstrategie auswählen. Caching kann die Last auf den Server-Systemen reduzieren. Vertikale Skalierung durch leistungsfähigere Infrastruktur. Vertikale Skalierung dadurch, dass verschiedene Kmpnenten etwa Web- und Applikatinsserver auf getrennten Infrastruktur-Kmpnenten verteilt werden. Hrizntale Skalierung dadurch, dass die Kmpnenten dupliziert und die Last zwischen ihnen verteilt wird. Hrizntale Skalierung dadurch, dass die Applikatin in Teilapplikatinen aufgespalten wird. Hrizntale Skalierung dadurch, dass Requests nach bestimmten Charakteristiken etwa dem authentisierten Benutzer der dem Standrt des Clients auf verschiedene Infrastruktur-Kmpnenten verteilt werden Was sllen die Teilnehmer verstehen? Die Teilnehmer verstehen, wie Daten vieler Web-Anwendungen für wenige Benutzer (Clientder auch Frward-Prxy) der vieler Benutzer für wenige Web-Anwendungen (Reverse- Prxy) bereitgestellt werden können. Die Teilnehmer verstehen, wie Zugriffe auf Ressurcen durch Prxies kntrlliert werden können. Die Teilnehmer verstehen, wie mittels Reverse-Prxy Authentisierungsschemata (beispielsweise vn Frm-based auf Basic-Auth.) umgeschrieben werden können. Seite 16 vn 28 Stand 05. Februar 2015

17 Die Teilnehmer sllten verstehen, welche Kmpnenten im Request-/Respnse-Zyklus Einfluss auf den Datendurchsatz und die Latenzzeit haben. Die Teilnehmer sllten verstehen, wie Brwser-Clients Ressurcen laden und insbesndere HTML-Seiten auswerten und referenzierte Ressurcen anfragen. Die Teilnehmer verstehen, wie das Auslagern vn Ressurcen in ein Cntent Delivery Netwrk (CDN) hilft, die eigene Infrastruktur zu entlasten. Die Teilnehmer verstehen, dass nicht alle Web-Brwser die Standards in gleichem Umfang unterstützen. Die Teilnehmer verstehen, dass sich die verschiedenen Web-Server im Bezug auf den Ressurcenverbrauch teilweise recht stark unterscheiden Was sllen die Teilnehmer kennen? Die Teilnehmer kennen die verschiedenen Standard-Mechanismen, mit denen Web-Server um Applikatinslgik erweitert werden können. Die Teilnehmer kennen die verschiedenen Ansätze zur Lastverteilung einer Web-Applikatin und können ihre Vr- und Nachteile swie ihre Auswirkungen auf Architektur und Design der Applikatin erklären. Die Teilnehmer kennen verschiedene Leistungsmerkmale der im Internet üblichen Web- Server (Apache Httpd, Micrsft IIS, nginx...) im Bezug auf Speicher- der Thread- Verbrauch pr Anwender bzw. Client-Request. Die Teilnehmer kennen mit Graceful Degradatin und Prgressive Enhancement verschiedene Strategien, die Oberfläche barrierefrei zu gestalten und an die Fähigkeiten des Web-Brwsers anzupassen. Die Teilnehmer kennen swhl für CSS als auch für JavaScript Framewrks, die die Entwicklung erleichtern können. Die Teilnehmer wissen, dass unter HTML5 diverse Technlgiepakete zusammengefasst werden, die neben neuen Strukturen für HTML auch neue APIs für JavaScript enthalten. Die Teilnehmer kennen die Bedeutung vn unbtrusive JavaScript: Darunter werden Prinzipien und Praktiken zusammengefasst, die Inhalte und Verhalten deutlich vneinander trennen. Die Teilnehmer kennen verschiedene Techniken, zur Verbesserung der wahrnehmbaren Perfrmance wie beispielsweise Request-Reduktin durch inlining Sprites und Data URIs Minimizer für JavaScript und CSS Etc. Die Teilnehmer kennen die Funktinsweise vn Web-Firewalls und wissen gegen welche Arten vn Angriffen diese schützen. 6.3 Referenzen [Kpparapu 2002] [ESI] [Wald+1994] [Buschmann+1996] [Brewer 2004] [Daswani+2007] [Stneburner+2004] [OWASP] [HTML5-SSE] Seite 17 vn 28 Stand 05. Februar 2015

18 [Websckets] [Bayeux] [WCAG 2008] [BITV 2011] [W3C-Int] [Pritchett-2008] Seite 18 vn 28 Stand 05. Februar 2015

19 7 Entwurf vn Web-Architekturen Dauer: 180 Min Übungszeit: 120 Min 7.1 Begriffe und Knzepte Datenmdellierung, Funktinale Zerlegung, Repräsentatin Verteiltes System, CAP-Therem, BASE, ACID, Sicherheit vn Web-Applikatinen, Authentisierung, Autrisierung, Barrierefreiheit/Accessibility, Internatinalisierung/Lkalisierung, HTML, CSS, JavaScript, Trennen vn Inhalt, Präsentatin und Verhalten, Graceful Degradatin, Prgressive Enhancement, unbtrusive JavaScript 7.2 Lernziele Was sllen die Teilnehmer können? Die Teilnehmer können die Muster Cmmand-Query-Separatin, CQS, und Cmmand- Query-Respnsibility-Separatin, CQRS, gezielt nutzen, um swhl funktinale als auch die nicht-funktinale Anfrderungen gezielt zu erfüllen. Die Teilnehmer können gezielt Regeln vrgeben, um beim Einsatz vn Mdel-View- Cntrller-Framewrks sicherzustellen, dass nur erwünschte Funktinalität in den Views implementiert werden. Die Teilnehmer können mit geeigneten Beschreibungsfrmaten wie (X)HTML, CSV, JSON, XML.ä. Client-Prgramme versrgen. Die Teilnehmer können die Belange Repräsentatin, Frmatierung und Interaktin klar im Markup unterscheiden und beim Entwurf vn Web-Anwendungen berücksichtigen. Die Teilnehmer können verschiedene Aufgaben der Client-Oberfläche Frmaten aus dem Kann der Web-Standards zurdnen: HTML liefert die Strukturdaten CSS legt die Präsentatin fest. Selektren wählen dabei Elemente aus der HTML- Struktur und weisen ihnen Präsentatinseigenschaften zu. JavaScript steuert das Verhalten, verleiht über Event-Handler Interaktivität und ermöglicht asynchrne Serverkmmunikatin (AJAX). Die Teilnehmer können Architekturmuster einsetzen, um bei knkurrierenden Qualitätszielen je nach Gewichtung ein gewünschtes Optimum zu erreichen. Die Teilnehmer können die Reaktinsfähigkeit des Systems durch geeigneten Einsatz vn asynchrner Verarbeitung verbessern Was sllen die Teilnehmer verstehen? Die Teilnehmer verstehen die grundsätzliche Aussage des CAP-Therems und können für die Abwägung zwischen Skalierbarkeit und Verfügbarkeit einen Kmprmiss zwischen Knsistenz und Aktualität der Daten finden. Die Teilnehmer verstehen, wie Netzwerk-Fehler in verteilten Systemen Inknsistenzen der besndere Fehlerzustände hervrrufen können. Die Teilnehmer kennen das CAP-Therem und verstehen, wie sich Architekturen für knsistente Systeme und Systeme mit Partitinstleranz unterscheiden. Die Teilnehmer verstehen, wie Angreifer Sicherheitslücken mit Hilfe vn HTML- der SQL- Injectin, per Crss-Site-Scripting (XSS) der per Client-Side-Request-Frgery (CSRF) ausnutzen können. Seite 19 vn 28 Stand 05. Februar 2015

20 Die Teilnehmer verstehen das Transaktinsknzept ACID Atmicity, Cnsistency, Islatin und Durability. Die Teilnehmer verstehen das Transaktinsknzept BASE - Basically Available, Sft state, Eventual cnsistency (grundsätzlich verfügbar, Übergangszustand, knsistent nach einiger Verzögerung). Die Teilnehmer verstehen, dass die innere Architektur der Server-Seite zusätzlich zu den fachlichen Aspekten auch durch die Philsphie des verwendeten Framewrks, Strategien zum Caching vn statischen und dynamischen Inhalten swie Strategien zur Skalierung der Applikatin getrieben wird. Die Teilnehmer verstehen, dass sich für lang laufende Przesse Integratinsmuster wie Messaging für eine lse Kpplung der Web-Applikatin an eine Hintergrundverarbeitung anbieten Was sllen die Teilnehmer kennen? Die Teilnehmer kennen die Grundmechanismen, mit denen im eigenen Technlgieprtfli SQL-Injectin, HTML-Injectin, Crss-Site-Scripting (XSS) und Client-Side-Request-Frgery (CSFR) verhindert werden. Die Teilnehmer kennen für gestellte Qualitätsanfrderungen verschiedene Strategien zur Verwaltung vn sitzungsbezgenen Daten, z.b. im Ckie, im Hauptspeicher des Servers, in einer Cache-DB. Die Teilnehmer kennen den Unterschied zwischen Internatinalisierung und Lkalisierung. Die Teilnehmer kennen verschiedene Strategien mit denen ein Client über das Ergebnis einer Aktivität infrmiert werden kann, die asynchrn auf dem Server gestartet wurde. Z.B.: Plling (Client Pull) Server Push HTML5 Server Sent Events Websckets Bayeux (als Vertreter für Lng Plling) Die Teilnehmer wissen, dass viele serverseitige Framewrks Plug-Ins, analg zum Pipes-And- Filter Muster erlauben. Beispielsweise ServletFilter in Java Servlet API basierten Framewrks der HttpMdules in ASP.NET. Die Teilnehmer wissen, dass jede Anwendung, die aus öffentlichen Netzen erreichbar ist, angegriffen wird. Die Teilnehmer kennen zumindest ein serverseitiges Framewrk, mit dem sich Web- Anwendungen realisieren lassen. Die Teilnehmer kennen unterschiedliche Arten vn serverseitigen Web-Framewrks: Kmpnenten-Framewrks versuchen ein Event-basiertes Prgrammier-Mdell aus dem Bereich der Desktp-Applikatinen zu übertragen. Actin- der Request-Respnse-Framewrks bilden das HTTP-Prtkll unmittelbar ab. Ressurce-Framewrks bieten Abstraktinen für Ressurcen und Repräsentatinen in einer RESTful Architektur. Daten-getriebene Framewrks bilden zur Datenerfassungen Datenbank-Tabellen in der Oberfläche ab. Die Teilnehmer kennen Authentisierungsmechanismen wie OpenId der OAuth. 7.3 Referenzen [Wald+1994] Seite 20 vn 28 Stand 05. Februar 2015