Java読書会BOF 主催「Spring徹底入門 第2版」を読む会（第14回）を12月20日(土)に開催しました。

今回は、12章 Thymeleafの残りと14章チュートリアルの途中、エンティティの実装まで読み進めました。14章のチュートリアルは、参加者がそれぞれ持参のPCで実際にPostgreSQLのユーザー・データベース作成、Spring Bootのプロジェクトを作成してソースコードの打ち込みをしながら進めました。

チュートリアルにおいて引っかかったことなど

実際に手を動かしながら実施すると、書籍を読むだけでは気づかないことや引っかかる事項がいろいろと出てきます。これらを調べ議論しながら進めたことで知識が深まり知見が広がりました。

Spring Framework、Spring Bootのバージョン

先月2025年11月に、Spring Framework 7.0 および Spring Boot 4.0がリリースされました。 書籍で言及されているSpring Bootの構築は、Webサービスの Spring Initializr を利用して作成します。Spring Initializrで選択可能なSpring Bootバージョンは、最新バージョンと一つ前のマイナーバージョンで本日時点では 4.0.1または3.5.9 となっています。書籍のチュートリアルは Spring Boot 2.7を前提としていますが、事前に試した限りでは 3.5でも 一部修正をすればビルド・実行は可能でした。

修正：依存関係でthymeleaf-extras-springsecurity4 をthymeleaf-extras-springsecurity6 に修正

PostgreSQL ユーザー作成時のパスワード指定

書籍では、次のように mrs ユーザーを作成するPostgreSQLコマンドで、パスワードにmd5ハッシュコード化したものを指定しています。

CREATE ROLE mrs LOGIN
  ENCRYPTED PASSWORD 'md586082399b5082acb54472ee195a57ce8' ...
                                                 

PostgreSQLは、バージョン10あたりから ENCRYPTEDの指定は意味をなさなくなり（後方互換性のために残されている）、パスワード文字列がハッシュコードの場合はそのまま（再ハッシュせずに）パスワードとして保存されます。md5ハッシュを使用するときは、先頭にmd5を付け、その後ろにmd5ハッシュ文字列を指定します。指定可能なハッシュは、md5およびSCRAM-SHA256です。

ここで発生した問題は、書籍ではユーザーのパスワードを mrs と記載しているのですが、上述のCREATE ROLE文で指定しているパスワードのmd5ハッシュ文字列が、mrsをmd5ハッシュ化したものと一致しないことでした。書籍の通りユーザーを作成すると認証ができません。 世の中には、md5のハッシュから元の文字列を逆生成するWebサイトがあり、書籍のmd5ハッシュを入れたところ、mrsmrs と結果が十秒足らずで得られました。md5はかなり脆弱ですね。

ところで、PostgreSQLサーバーとはSSH接続でコマンドを実行するなら、パスワードを平文で指定してもいいのかなと思いましたが、この関連でインターネットを調べていたときに、コマンド実行履歴（history）で見れてしまうという点を見かけ、なるほどと思いました。とはいえ、平文をハッシュにするときをどうするか、もあるので平文パスワードを扱う場所をどこに限定するかは別途検討すべき事項と思いました。

LC_COLLATE と LC_CTYPE

データベースを作成するときのパラメータで、書籍ではどちらも "C" を指定していました。 LC_COLLATEは、文字列の並び順（照合順）を決める設定で、Cは、Unicodeの文字（コードポイント）のバイト順で判断するが、高速に動作し、ja_JP.UTF-8 を指定すると日本語の文字も考慮された並びとなるが、動作が遅くなるという模様です。

LC_CTYPEは、文字の種類を分類するための設定で、文字、数字、大文字、小文字などの区別をするものになります。Cは、ASCII文字範囲（英字）を分類します。

テーブル名 usr

なぜかテーブル名に usr と省略形を使っています。userではいけないのかな？　と疑問に思いました。 これは、userとしてしまうと、SQL の予約語（CREATE USER ... のUSER）と衝突してエラーになってしまいます。 推奨の回避方法は、名前をuser以外にする（推奨は複数形のusersですが）、あまりよくない回避方法は"user"とクォートする、ただしこの場合、JPAが生成するSQLでもuserをクォートさせる設定を別途行う必要があり、筋が悪い回避方法となってしまいます。

複合キーのクラスReservableRoomId でequalsとhashCodeのオーバーライド

複合キーを使用するエンティティ（テーブル）で、複合キーを表すクラスは包含するキーの値が同じ場合はインスタンスが違っていても同値とする（equalsメソッドがtrueを返し、hashCodeメソッドが同じ値を返す）実装が必要です。

書籍では、次のようなequalsメソッドとhashCodeメソッドの実装をしています。

    @Override
    public boolean equals(Object obj) {
        if (this == obj) {
            return true;
        }
        if (obj == null) {
            return false;
        }
        if (getClass() != obj.getClass()) {
            return false;
        }
        ReservableRoomId other = (ReservableRoomId) obj;
        if (reservedDate == null) {
            if (other.reservedDate != null) {
                return false;
            }
        }  else if (!reservedDate.equals(other.reservedDate)) {
            return false;
        }
        if (roomId == null) {
            if (other.roomId != null) {
                return false;
            }
        } else if (!roomId.equals(other.roomId)) {
            return false;
        }
        return true;
    }

    @Override
    public int hashCode() {
        final int prime = 31;
        int result = 1;
        result = prime * result + ((reservedDate == null) ? 0 : reservedDate.hashCode());
        result = prime * result + ((roomId == null) ? 0 : roomId.hashCode());
        return result;
    }

Javaでは、同値の判定をするオブジェクト（値オブジェクト）を実装する場合は、equalsとhashCodeをオーバーライドして同値判定の実装をするのが定石です。

IDEにIntelliJ IDEAを使っていたので、試しに IntelliJのコード生成機能で equalsとhashCodeメソッドの実装を生成したところ、次のようなコードとなりました。

    @Override
    public boolean equals(Object o) {
        if (o == null || getClass() != o.getClass()) return false;
        ReservableRoomId that = (ReservableRoomId) o;
        return Objects.equals(roomId, that.roomId) && Objects.equals(reservedDate, that.reservedDate);
    }

    @Override
    public int hashCode() {
        return Objects.hash(roomId, reservedDate);
    }

java.util.Objectsクラス（JDK 7から導入されたユーティリティクラス）の equals（Object, Object)メソッドとhash（Object...）メソッドを使って、とっても簡潔な実装となっています。

読書会参加メンバーでEclipseを使用している人に、同様に equalsとhashCodeのメソッドをコード生成してもらったところ、java.util.Objects を使用せず、書籍と同じような長いコードが生成されていました。

ということで、IntelliJ IDEAが コード生成機能をきちんと洗練していることが分かりました。

schema.sql

Spring Boot で、application.propertiesに、spring.sql.init.mode=always と指定すると、Spring Bootアプリケーションを起動したときに、src/main/resources/　ディレクトリの下にある schema.sql ファイルと data.sql ファイルを実行します。

schema.sqlには、DDL文を、data.sql には初期データをインサートするSQLを記述します。 書籍では、schema.sql の中に、外部参照の制約をCONSTRAINTで定義しますが、CONSTRAINTに、ハッシュのような長い文字列が付いています。

例

ALTER TABLE reservable_room ADD CONSTRAINT FK_f4wnx2qj0d59s9tl1q5800fw7 FOREIGN KEY (room_id) REFERENCES meeting_room;

これはどうやら Hibernate のスキーマ生成ツール hbm2ddl がJPAのアノテーション付きエンティティからSQLのDDL文を生成しているもののようです。

シンプルに外部参照を指定するなら、CREATE TABLEの中に記述することもできます。

CREATE TABLE reservable_room (
    room_id INT4 NOT NULL REFERENCES meeting_room (room_id),
    :

schema.sql と data.sql に記載のSQL文は、1文ずつJDBC経由でデータベースに投入されているようです。

読書会の冒頭、アフターでの話題

パッケージ構成（ディレクトリ構成）

Spring のパッケージ構成は、書籍のサンプル・チュートリアルのように レイヤーの観点でまずパッケージを構成し、それぞれの中で必要に応じて機能ごとのサブパッケージを構成する方法（package by layer）と、アプリケーションの業務（機能）の観点でパッケージを構成、それぞれの中で必要に応じてレイヤーごとのサブパッケージを構成する方法（package by feature）とがよく適用されています。

src/main/java/com/torutk/hello
  +- controller/
  |    +- login/
  |    +- search/
  |    +- edit/
  +- model/
  +- service/
  +- repository/

レイヤー観点の分割が上位のパッケージにあると、一つのアプリケーションを構成するソースファイルがかなり広範囲に散らばるので、まとまりという点では機能観点での分割が良さそうに思いました。

T.B.D.

MavenはXMLで設定を書かなくても良い

pom.xmlは、XMLなので人の目には少し厳しい（タグの記述がコンテンツよりも目立つ・多い）ですが、最近（しばらく前から？）はXMLではなくYAML形式のpom.yml で記述できるようです。

Maven使っている読書会参加者も知らなかったようです。 Gradleを使っているので、どれだけ利便性が向上するかは分かりませんが、反応はよさそうでした。

JDK 24のリリースと耐量子暗号

2025-03-18に、JDK 24がリリースされました。半年毎の定期バージョンアップで、非LTSです。 JDK 24

ざっと新機能を眺めてみると、Quantum-Resistant で始まる機能が２つほど正式採用されていました。

• Quantum-Resistant Module-Lattice-Based Key Encapsulation Mechanism (JEP 496)
• Quantum-Resistant Module-Lattice-Based Digital Signature Algorithm (JEP 497)

なんだろうなと思いつつ、JEPのサマリを読んでもピンときませんでした。そんな時、日経NETWORK 2025年3月号の包装を開き、ペラペラ読んでいたら、特集記事「耐量子暗号は正解か 暗号の2030年問題」に、RSA-2048の移行先として耐量子暗号が候補に上がっており、JEPのサマリに登場した略語 ML-KEM、ML-DSA が出てきました。

記事を要約すると

現在の暗号方式であるRSAやECCは暗号方式として素因数分解や楕円上の離散対数に基づいpており、今後量子コンピュータの性能向上で解読されることが予想されています。そこで、量子コンピュータでも解読が難しい耐量子暗号として、格子暗号、符号暗号、多変数多項式暗号に基づく暗号方式の標準化をNISTが進めており、2024年8月に鍵交換・データ暗号化に使うML-KEM、デジタル署名に使うML-DSA、SLH-DSAの3つが標準化されました。残るデジタル署名のFN-DSAはまだ標準化が公開されていません。

ここで登場する ML-KEMがJEP 496、ML-DSAがJEP 497でJDK 24に取り入れられたということです。

ただ、記事では、耐量子暗号の安全性の検証に十分時間がかけられておらず、今後脆弱性が見つかる可能性も指摘されていました。

先日、遅めの夏休みを取って、名古屋方面に一人旅をしてきました。 織田信長の足跡をたどって、初日は桶狭間合戦場と、大高城、鷲津砦、丸根砦の跡を巡りました。

地図に、大高城と鷲津砦、丸根砦、そして桶狭間合戦場と伝えられる場所をマークしました。また当時は大高城付近まで海となっており、地図で平地（緑色）の大半は海と考えられます。 出展：国土地理院ウェブサイト　デジタル標高地形図 濃尾平野周辺をもとに、城・砦跡、合戦場をマークして記載

大高城は織田方から今川方のものになっており、鷲津・丸根の砦は大高城に対抗するため織田方が築いた砦です。桶狭間合戦の日に鷲津砦・丸根砦は今川方の攻撃を受け落城、今川義元は本隊を率いて沓掛城から大高城へ入る途中、桶狭間付近で織田信長の奇襲を受けて受けて打ち取られ、今川方は撤退していきました。

桶狭間合戦場の場所は、実際には特定されておらず、上述地図に記載した場所のほかに、旧東海道沿いの場所があるようです。

• 小さな公園となっていて、織田信長、今川義元の像などがあります。最寄り駅は名鉄有松駅で、徒歩25分またはバス10分ほどになります。

• JR東海道線　大高駅のすぐ北側にあります。小山の途中が跡地となっていますが、特に遺構などはないようです。

• 鷲津砦跡から徒歩10分弱、尾根伝いに歩くと至ります。

• 鷲津砦跡から徒歩20分、砦と違ってそこそこの大きさです。

経路

今回は、名古屋駅から名鉄で有松駅に向かい、有松駅からバスで桶狭間寺前で下車、NPO法人が運営する桶狭間古戦場観光案内所に寄ってから桶狭間公園とそこから数十mほどにある今川義元本陣跡（住宅の前に看板だけある）、そこから有松駅方面に徒歩で向かい、旧東海道沿いの有松伝統的建造物群保存地区を見ながら有松駅に着きました。

名鉄有松駅からバスでJR大高駅に向かい、大高駅のすぐそばにある鷲津砦跡から丸根砦跡を回り、そこから大高城へ歩いて向かいました。

Java読書会の宿題より

Java読書会「基礎からのServlet/JSP 第5版」を読む会（第3回）の宿題で、int（32bit整数）を超える行のテーブルを作成して、一気にintを超える行の更新をした時の戻り値を調べてみよう、の取り組みです。

H2データベースへのデータ登録に要する時間

primary keyもunique属性もない単一カラムのテーブルを定義

CREATE TABLE bigdata (
    id int
);

単純 insert

32bit符号付整数値の最大値がおよそ21億なので、30億行のレコードを登録します。 まずは、単純に INSERT INTO bigdata(id) values (1); のようにデータをインサートするクエリを30億回実行します。

• 方法1 自動コミットが有効（デフォルト）
• 方法2 自動コミットを無効にし、100万行ごとにcommit

方法1は、100万行のinsertに20秒を要しました。30億行のinsertに推定17時間要する見積です。自動コミットが有効だと、insertを実行するごとにコミットが働くので遅いだろうと想定していました。

方法2で、自動コミットを無効として、一定量毎にcommitをしてみました。 ところが、方法2でも、100万行のinsertに20秒を要し、方法1とほとんど処理時間が変わりません。

バッチinsert

次は、バッチ登録を実施します。複数のinsert文をバッチ化してからバッチを実行します。100から1000個のisertをバッチにまとめます。

     PreparedStatement ps = conn.prepareStatement("insert into bigdata values(?)");
       :       
    for (int i = 0; i < 1000; i++) {
        ps.setInt(1, count);
            ps.addBatch();
    }
    ps.executeBatch();

バッチ登録の場合、自動コミットはオフとし、最後にcommitします。*1

さて、期待していた登録速度ですが、なんと方法3でも100万行のinsertに20秒を要し、方法1、2とほとんど同じでした。

ここまでの結果から、H2 databaseはSQLのリクエストのオーバーヘッド、自動コミットのオーバーヘッドがほとんどなく、クエリの処理数がほぼそのまま処理時間になっているものと推測します。

すると、クエリの処理数を減らして登録行数を増やすことができれば処理時間を短縮できるのではと考えます。

複数行を1つのinsertで

ここで、insert文は、複数行のデータを登録することができます。

insert into bigdata(id) values (1), (3), (5), (7), (11), (13);

このinsert文は、6行のレコードを登録します。

• 方法4 自動コミットを無効にして、10行のデータを1つのinsert文で登録する

100万行の登録が2-3秒と短縮することができました。

• 方法5 自動コミットを無効にして、100行のデータを1つのinsert文で登録する

100万行の登録が1秒とさらに短縮することができました。これであれば、30億行の登録に50分の見積もりです。

実行環境

• CPU: AMD Ryzen 7900X
• Memory: 64GB
• Disk: NVMe M.2 2TiB
• OS: Windows 11 Pro
• Java: Oracle JDK 21.0.2

実行結果