S0ER

На сайте soer.pro опубликовал 26-ое архитектурное видео по теме инверсии зависимостей и потока управления. Поговорил об инверсии, как о инструменте проектирования, а не практическом решени для организации кода. Думаю, получилось интересно.

Раз за разом спрашивают про SICP, стоит ее читать или нет? Мне эта книга нравится, но "читать" ее нельзя, ее нужно изучать, потому что она рассматривает огромную часть базовой теории, которая необходима инженерам-разработчикам. Эта книга не подойдет "новым-воротничкам", которые не рассматривают себя в будущем инженерами. На курсах учить SICP, тоже самое, что давать нотную грамоту в самоучителе игры на гитаре! Если вы хотите влезти в структуру и интерпретацию компьютерных программ, то только этой книги будет недостаточно для формированя полноценной базы. Это лишь часть теории программирования, которую лучше изучать в профильном ВУЗе, чем пытаться учить по книгам или на курсе. Я склонен считать, что курсы, которые делают программу по этой книге, пытаются усидеть на двух стульях - сделать вид, что они "фундаментальные" и одновременно "адаптированные к рынку". Книга хорошая, но ничего не даст тем, кто хочет "просто писать фронт".

На soer.pro ответил на вопрос. Чтобы прослушать войдите на платформу - Развитие / Вопрос-ответ / Все вопросы

Что лучше курс по программированию или высшее техническое образование? Сколько не отвечай на этот вопрос, а все равно повторить лишним не будет. Есть два важных понятия "тактика" и "стратегия", тактика локальна - это те решения и действия, которые нужно принять прямо здесь и сейчас, стратегия глобальна - это те цели, для решения которых еще нет четкого порядка действий. В любом планировании есть стратегические и тактические цели. Карьера - это тоже планирование, если у вас нет ответа на вопрос "кем вы себя видите через пять лет" или этот вопрос кажется вам бессмысленным, то у вас нет стратегии. Если вы точно знаете, что через пять лет вы будете крутым сеньером, но не знаете как попасть на первую работу, то у вас нет тактики. Суть в том, что высшее образование - это стратегическое решение, оно необходимо для стратегических задач, а курсы - это тактические решения, они необходимы, чтобы адоптироваться к ситуации здесь и сейчас. Курсы всегда отвечают текущей конъюнктуре рынка, высшее образование всегда абстрагировано от текущего рынка и смотрит на базовые навыки, которые востребованы сейчас. Поэтому вопрос "что лучше?" вызывает столько споров, потому что по сути это вопрос "что лучше тактика или стратегия". По сути это две стороны одной медали. Хороший специалист всегда умеет и в стратегию и в тактику.

У нас тут в комментах пошел вопрос о том как защитить API от левого подключения, при условии что API в анонимном доступе. Вопрос сложный, так как любая защита доступа строится на "секрете", а у анонимного доступа есть проблемы с созданием и передачей секретов. Из практики могу посоветовать сделать такую штуку как "сценарии угроз", где пропишите от чего вы хотите защищать приложение и как. Например: - защита от парсинга/скачивания данных - api квоты (ограничение на IP) - токен авторизации - обфускация - защита от воровства токена - хэширование или контрольные суммы - защита от роботов - ... - защита от накрутки - ... - защита от DDOS - ... Когда конкретно будут понятны "угрозы" тогда и методы защиты станут более понятным. Если есть какие-то угрозы, которые непонятно как "закрыть" то это тоже хорошо, потому что знать слабые места - тоже важно.

Коротко: первая часть книги содержит довольно много воды, ближе к середине начинается "мясо". Примеры на Java лично мне сильно раздражали, они не раскрывают сути рассматриваемых понятий, а рассматривают процесс установки тех или иных компонент, т.е. не для Java разрабов - потеря времени. В книге нет глубокой теории, но есть довольно понятное объяснение основных приципов проектирования API и способы организации безопасного взаимодействия. Рассмотрены понятие авторизации и аутентификации, поверхностно про DAC и MAC (кроме разъяснения терминов ничего дельного). Основные ключевые слова, значение и принципы работы которых вы поймете из книги: OAuth, OpenID, JWT, JWS, JWE. Так же есть небольшой раздел с шаблонами взаимодействия с API. Там показаны схемы и объясняется логика работы. В общем, книга на 5 из 10, вроде и не совсем треш, но глубины не хватает, а практические акценты на Java только отвлекают от сути. #книга #отзыв

Пример из моего проекта Naris, я сделал простенькую систему принятия платежей, накидал ее бувально за пару вечеров. Потому что надо было быстро запустить новую фичу на сайте. И это вроде как по KISS. Но, несмотря на огромный опыт в решении разных задач по проектированию, я не золотая антилопа и из-под моих копыт не летят золотые монеты (идеальные решения). Поэтому я закрыл потребность, но сделал это очень и очень плохо. В итоге любая попытка развития сайта в этом направлении упирается либо в костылестроительство, либо в понимание, что нужно переделать этот кусок. Поэтому я сел, выкинул старое решение и спроектировал новое, которое сейчас внедряю, при этом я развязал себе руки сразу по нескольким векторам развития, и ничуть не считаю, что лучше было бы подставлять костыли под старое решение. Конечно, с костылями бы тоже работало, и можно было бы сказать, что в будущем можно переписать, но во-первых, я так просто не могу, во-вторых, я видел много факапов когда объем переделок такой, что это стоит сильно больше, чем имеющиеся ресурсы. Часто говорят "зацементировал" решение, т.е. сделал такой интерфейс, который используется много где (устойчивый), но сам по себе интерфейс неудачный. В итоге живешь с тем что сделал. Поэтому мне не особо нравится чрезмерное увлчение простыми решениями, которы закрывают текущую потребность и не дают никаких векторов развития.

В своей практике принцип KISS использую всегда только как аргумент в споре с коллегами, никогда не применял его в проектировании. Обычно я делаю решение отталкиваясь от функциональности, иду от общего к частному, получаю какое-то решение, с необходимым уровнем детализации, а потом ищу пути оптимизации (если есть необходимость). Я не представляю как можно сразу проектировать придерживаясь KISS. Т.е. нужно делать несколько предположений, выбирать из них наиболее простое, и надеяться, что комбинация таких решений даст оптимальный результат, соответствующий требованиям. Мне кажется, что такое упрощение промежуточных решений скорее приведет к несостоятельному конечному результату. Это как жигуль и какая-нибудь аналогичная иномарка, по устройству жигуль будет сильно проще, но абсолютно несостоятелен с позиции качества решения.

Решил попробовать отвечать на вопросы в nowapp, не уверен, что это правильно, но попытка - не пытка.

Решил сделать подложку для видосов, с кусками кода из примеров, которые я делал для канала. Вот такая штука получилась.