Запуск скрипта для приложения Kotlin

Конкретный вопрос в чём?

Как мне в котлин-приложении выполнить строку, предварительно прокинув туда все, что надо

Это не конкретный вопрос.

https://github.com/cfelde/KREPL/blob/master/src/main/kotlin/krepl/KREPL.kt

Хочется - отправить с клиента код написанный на этом чудо-DSL и выполнить его на стороне сервера

Ты собираешься встроить уязвимость в своё приложение. Нельзя разрешать клиенту выполнять код на сервере.

Okay, каким же образом тогда решить такую задачу?

А куда конкретнее? У меня есть текст, который является кодом на DSL. Есть сервер. Как мне принятую строку выполнить на клиенте

Если абстрактно, то:

1. Компилируешь код используя JDK и Kotlin SDK,
2. Загружаешь его класслоадером,
3. Создаёшь объект через рефлексию,
4. Дёргаешь его интерфейс, пихаешь в него данные.
   …
5. PROFIT

Если реально, то:

1. Выкидываешь Kotlin,
2. Пишешь DSL на Groovy,
3. Загружаешь через ScriptEngine (JSR-223), …
4. PROFIT

Для извращенцев есть Java on Truffle, которая даёт возможность запускать яву в яве (west_coast_customs.jpg).

Пишешь DSL на Groovy
Groovy

🤡🤡🤡

Шо не так с груви? Кмк для DSL и скриптинга оно подходит лучше котлина. Но в скриптэнжин можно хоть луа запихать.

С тех пор, как появился Kotlin, необходимость в Groovy примерно нулевая. Есть инерция рынка, но это вопрос времени.

Посмотри на развитие Gradle (но это не единственный успешный пример DSL на Kotlin).

Таки JSR-223, но не Groovy, а Kotlin.

https://kotlinlang.org/docs/custom-script-deps-tutorial.html#create-a-scripting-host

https://github.com/energister/kotlin-jsr223-example/

А это вообще часть стандартной имплементации-то? А то у меня сомнения.

Котлин и грэдл нужны только андроид-разрабам, остальные от этого говна в шоке.

Вроде то, что надо. Буду пробовать.

Преодолей свой шок.

График про то как щитбрейнс и гугл насаживают андроидмакак на котлин, отлично.

Ну поделись альтернативными источниками, без «андроидмакак». Я весь внимание.

Груви никогда и не был особо популярным, тащем-та. У него была и есть своя ниша, только и всего. А котлин – искусственный язык, который существует только благодаря трениям гугла с ораклом по поводу использования явы в андроиде. Если бы гугл тогда смог туда пихнуть яву 8+, то он бы не стал завязываться на эту хобби-поделку Бреслава.

Интересная легенда, спасибо.

Из первых уст, так сказать, услышанная в баре на Рубинштейна.

+10 к достоверности.

Я тоже бывал в этом баре.

Но верю таки объективной информации.

Какую задачу? Задача «дать клиенту выполнять свои скрипты на сервере» - анти-паттерн с т.з. кибербезопасности. На раннем этапе жизни *nix достаточно понаступали на грабли из-за command Injection и проч. порнографии.

Тут дело такое.

Когда ты скачиваешь некий проект с гитхаба к себе на машину и выполняешь ./configure; make all check или, прости Господи, ./gradlew build (или даже просто ./gradlew tasks) — ты слепо выполняешь чужой недоверенный код.

Когда ты открываешь проект в IDE, и среда строит тебе проектную модель — ты выполняешь недоверенный код.

И когда ты на условном гитхабе гоняешь тесты к своему проекту — гитхаб выполняет уже твой собственный недоверенный (с его точки зрения) код. А когда к тебе в проект пришёл какой-то незнакомый инженер и просит принять его PR — то это вообще ужас.

Я уж не говорю про всякие средства управления зависимостями, pip, npm, mvn, gradle, вот это вот всё.

Решается эта проблема запуском недоверенного кода в песочнице: docker, k8s, runsc, gvisor — решений масса.

Не совсем понял, что тебе нужно. Если ты хочешь авторизоваться на серваке и выполнить одну за другой несколько команд, дождавшись выполнения каждой (а то и запустить циклы или ветвления), смотри в сторону expect.

Требуется собрать сложный XML. На сервере есть для этого DSL, нужно через клиент как-то передать по сути скрипт написанный на нем и выполнить на сервере. Один из вариантов - выполнить скрипт в каком-то изолированном для сервера окружении

Тут дело такое.

Тут дело такое. При прочих равных, сравнивать свой локалхост с сервером некорректно.

И когда ты на условном гитхабе гоняешь тесты …

это ортогонально фиче DSL, т.е. опять некорректное сравнение.

Решается эта проблема запуском недоверенного кода в песочнице: docker

докер про удобство развёртывания, а не про безопасность

Наверное, можно. Но если язык DSL полноценный Тьюринг-полный, встанет в полный рост проблема отказа в обслуживании. Ведь для произвольной программы невозможно определить, когда она завершится и сколько памяти выжрет.

1. В докере с интерпретатором вашего DSL (где же ещё-то) запущен демон с обычным веб интерфейсом.
2. Порт, понятно, прокинут наружу.
3. Скрипты передаются POST запросами.
4. Данные для сборки XML доступны в контейнере через примонтированную файловую систему.

Как-то так.

Ставится разумный лимит и если скрипт не укладывается, то он принудительно убивается, а клиенту возвращается ответ «408 Request timeout». А дальше уже проблема клиента разбираться где он накосячил.

Берешь и реализуешь парсер этого DSL, и потом интерпретатор.

Валидируешь по ходу интерпретации, что там можно вызывать клиенту, а что нет.

В чем проблема?

При чем тут именно котлин вообще? При чем тут даже JVM вообще? Без разницы на чем писать. Лучше всего, конечно, на лиспе, но от макак в этой нашей индус-трии, хер дождешься использования лиспа, они себе DSL на XML сделают, который будет компилировать XML в XML, лишь бы на лиспе не писать.

Для того чтобы почитать как реализовывать языки программирования, включая DSL - рекомендую почитать SICP, и потом Dragon Book.

DSL - это уже готовые классы на Kotlin, которые просто сахар добавляют.

Ага, а Kotlin это уже готовые классы на Java, которые просто сахар добавляют