本周讲了AF、RI、Safety from rep exposure、spec等概念。这些是辅助程序设计的重要部分,需要在代码中以注释的形式体现,可以显著提高代码可读性,明确设计的目的。必须要养成写的习惯!!!
设计规约
1.规约的强弱
前置条件更弱,或后置条件更强的规约,是较强的规约。如果一个规约强于另一个规约,则可以用较强的代替较弱的。
2.规约越强,开发者的责任越重,使用者的责任越轻。如Lab1的GenerateMagicSquare,如果规约要求必须输入奇数(较强前置条件),则需要用户进行操作。如果不要求必须输入奇数(较弱前置条件),开发者就需要在程序中添加对输入奇数的操作。
3.某个具体实现,如果满足规约,则落在其范围内;否则在其之外。越强的规约,对应的面积越小。
抽象数据型(ADT)
1.ADT的特性:表示泄露、抽象函数AF、表示不变量RI。AF、RI用户不可见。
2.ADT是由操作定义的,和内部实现无关。
ADT类型和方法的分类
1.ADT可以分为可变和不可变数据类型。可变类型的对象提供了可改变其内部数据的值的操作(如StringBuilder);不可变数据类型的操作不改变内部值,而是构造新的对象(如String)。
2.抽象类型的方法分类:构造器、生产器、观察器、变值器。
生产器,例如String.concat(),以两个String对象为参数,返回一个新的String对象。
观察器,例如List.size(),返回int。
变值器,例如List.add(),改变对象属性。 !!!只在可变类型中出现
3.构造器可以实现为构造方法或者静态方法。实现为静态方法称为工厂方法,工厂方法属于类,而不属于某个具体对象。
4.返回void一定是变值器,如果返回void则必然改变了对象的某些内部状态。变值器不一定返回void。
表示独立性
用户使用ADT时无需考虑其内部实现,ADT内部表示的变化不影响spec和客户端。
违反表示独立性的例子:严格限制了people的类型
遵循表示独立性的例子:同时把people改为private
测试ADT
测试构造器、生产器、变值器:调用观察器查看结果是否满足规约
测试观察器:调用构造器、生产器、变值器产生或改变对象,查看结果是否正确
ADT不变量
1.不变量在任何时候都是true。
2.由ADT负责不变量,不变量和客户端的任何行为无关。
3.总是要假设用户有“恶意”破坏ADT的不变量(防御式编程)。
4.除非迫不得已,不要把希望寄托于客户端上,ADT有责任保证自身的不变量,并且避免“表示泄露”。最好的办法就是使用不可变的类型,彻底避免表示泄露。
5.如果一个类不是不可变的,改变属性的方式:
-通过属性中的操作
-表示暴露,方法返回属性的引用
RI和AF
1.抽象值构成的空间是客户端看到和使用的值(真实的数据)。ADT开发者关注表示空间R,客户端关注抽象空间A。
2.R空间到A空间满足的性质:
-满射,用户使用的数据必须在表示空间出现。
-未必单射,抽象空间的值可能对应表示空间的多个值
-未必双射,表示空间的值可能无法对应抽象空间的值
3.AF:R->A(抽象函数)给出R空间的数据,如何映射到A空间的解释。
RI:R->boolean(表示不变性)某个具体的表示是否是合法的。也可以将RI看成所有表示值的一个子集,包含了所有合法的表示值。同时可以将RI看作描述什么是合法表示值的条件。
4.选择某种特定的表示方式R,进而指定某个子集是合法的(RI),并为该自己中的每个值做出解释(AF),即如何映射到抽象空间的值。在设计ADT时,先确定AF再确定RI。
5.在所有可能改变rep的方法内都要检查RI是否满足。
有益可变性
1.对不可变ADT来说,它在A空间的抽象值是不变的。但R空间的表示值是可以变化的。
2.不可变类型的属性不一定不能改变。只要不影响A空间数据的变化,属性改变是可以的。
表示泄露的安全声明
给出理由证明代码并未对外泄露其内部表示。
总结
1.ADT规约里只能使用客户端可见内容来撰写,包括参数、返回值、异常等。如果规约里需要提及“值”,只能使用A空间的值。
2.ADT规约里不应该谈及任何内部表示的细节,以及R空间的任何值。
3.ADT的内部表示(private属性)对外部严格不可见。
4.在注释而不是Javadoc中写AF和RI,防止被外部看到而破坏表示独立性和信息隐藏。
5.表示泄露的风险:一旦泄露,ADT的内部表示可能在程序的任何位置发生改变,而不是限制在ADT内部,从而无法保证ADT不变量是否始终为true。
6.检测ADT保持不变量的三个标准:
-创建对象的时候满足不变量为true——对应creators、producers
-属性改变时满足不变量为true——对应mutators、observers
-没有发生表示泄露
