不仅仅是feature,还有很多NFR:non functional requirements. 比如:安全方面。
Q0: Webpage是否可以防跨域攻击,cookie是否添加了安全标记,密码是否是明文传输,是否有预防重放攻击,等等。
A0: 安全方面的东西有一个community:https://www.owasp.org/index.php/Main_Page, 比如针对XSS的预防:https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet。
Q: 产品安全方面的设计,比如密码的加密传输,https。
软件安全设计经常遇到,我开一个专门的文章,这里。
Q1: Spring对静态资源的访问控制?
A1:自己写servlet控制;使用Spring Security;对于spring v4.1+,做一个定制的ResourceResolvers。相关的url: http://www.baeldung.com/spring-mvc-static-resources。
Q2: 对于敏捷,学到的教训是:完全忽视了文档,虽然快,但是过一段时间,就忘了做了啥,对产品总体也没有一个把握。
A2:一定要有一个总体的架构,最好是用一幅图的方式给出。具体我写了一篇专门的文章:http://www.cnblogs.com/evanxyhu/p/architect-diagram.html。