关于struts2中的拦截器和登陆验证

 

今天给几个热爱JAVA的同学们讲了Struts2的一些知识,重点讨论了其最具价值的拦截器。

 

不知道大家还记不记得,在《Struts2之服务器端验证》里我说过这样一句话“在到达Login Action之前,验证已经完成了”。我很希望有人能提出这是为什么,这样我就可以说,这是拦截器的功劳,我们就可以研究拦截器了。 

其实,拦截器并不难,也不是十分难懂的东西。在这里再做一些补充.

 

打开帮助文档(struts-2.0.6\\docs\\docs\\interceptors.html)的拦截器部分。

 

能读懂英文技术文档是程序员必备的基本素质之一,慢慢来吧,只要静下心来逐字逐句的推敲,没有什么理解不了的。实在看不懂,那就看看[Action Lifecyle]这张图吧。Action生命周期,Action被一些拦截器包围着,也就是说在Action执行之前或之后,拦截器会被执行。

 

这就是拦截器,把程序看作是一个顺序执行的流,在执行Action的代码之前或之后,拦截器会打断Action的执行,让程序先执行拦截器的代码,这也许就是为什么把它叫做拦截器的原因。有的时候,拦截器还会阻止Action的执行,比如说在验证失败的情况下,应该让程序返回到输入界面让用户重新输入。

 

从图上还可以看出,一个Action之外不是只有一个拦截器,那么先执行哪个拦截器呢?Struts2把多个拦截器放在了一个栈中,我们把它叫做拦截器栈。一方面,栈可以解决拦截器的执行顺序问题,另一方面,把相关的拦截器放在一个栈中,管理起来也比较方便。

 

Struts2的一个优点是它的可配置性,我们可以根据实际情况选择需要的功能。当然也给我们带来了一些麻烦,就拿拦截器来说吧,要想让拦截器起作用,先要对它进行配置。配置拦截器,需要在struts.xml中加入相关配置:

<package name="default" extends="struts-default">

     <interceptors>

         <interceptor name="timer" class=".."/>

         <interceptor name="logger" class=".."/>

     </interceptors>

     <action name="login"

        class="tutorial.Login">

          <interceptor-ref name="timer"/>

          <interceptor-ref name="logger"/>

           <result name="input">login.jsp</result>

           <result name="success"

              type="redirect-action">/secure/home</result>

     </action>

</package>

=====================================================================

<interceptors>和</interceptors>标记对表示要配置一些拦截器,里面的每一条是一个拦截器。

 

<interceptor name="timer" class=".."/>

interceptor表示这是一个拦截器,name属性是给它起一个名字,class属性是指出它的实现类,也是代码的实际位置。

 

拦截器是拦截Action的,当然也要在Action的配置里加入对它的引用,指出这个Action要使用哪个拦截器。

 

<interceptor-ref name="timer"/>这句话是告诉Struts框架,login Action需要使用前面的timer拦截器。

 

有人也许会说,我们之前并没有配置拦截器,但刚才好像说过,不是也使用到拦截器了么?的确,可能是Struts2的开发者怕配置起来太麻烦了,没有人用吧:P,所以给我预先配置好了一些默认的拦截器和拦截器栈。

 

在struts-default.xml(struts-default.xml在struts2-core-2.0.6.jar包中)里面定义了很多拦截器:

<interceptor name="alias" class="com.opensymphony.xwork.interceptor.AliasInterceptor"/>

......

里面的validation和i18n就是我们之前用的验证和国际化功能。

 

还有很多拦截器栈:

<!-- Basic stack -->

<interceptor-stack name="basicStack">

<interceptor-ref name="exception"/>

<interceptor-ref name="servlet-config"/>

<interceptor-ref name="prepare"/>

<interceptor-ref name="static-params"/>

<interceptor-ref name="params"/>

<interceptor-ref name="conversionError"/>

</interceptor-stack>

...

<interceptor-stack name="defaultStack">

      <interceptor-ref name="exception"/>

      <interceptor-ref name="alias"/>

      <interceptor-ref name="prepare"/>

      <interceptor-ref name="servlet-config"/>

      <interceptor-ref name="i18n"/>

      <interceptor-ref name="chain"/>

      <interceptor-ref name="model-driven"/>

      <interceptor-ref name="fileUpload"/>

      <interceptor-ref name="static-params"/>

      <interceptor-ref name="params"/>

      <interceptor-ref name="conversionError"/>

      <interceptor-ref name="validation"/>

      <interceptor-ref name="workflow"/>

</interceptor-stack>

 

<default-interceptor-ref name="defaultStack"/>

最后这条比较主要,是框架默认使用的拦截器栈,也就是说,defaultStack栈中的拦截器会默认起作用。

 

这也是我们没有配置validation和i18n,它们就起作用的原因。

 

顺便说一下,拦截器应该属于AOP(面向方面编程)思想的一种实现,它的确给开发带来了很多好处,一方面可以把一个大的问题分解成多个小问题分别处理,另一方面可以使Action专注与处理自己的事情,把相关的功能分散给各个拦截器处理。

 

在《Struts2之服务器端验证》中我们详细讨论了关于登陆验证的问题,只有通过登陆验证,拿到令牌的用户才能进入我们的系统。为此我们建立了登陆验证页面和相应的Action类,登陆验证(Login.jsp)负责提供给用户输入帐号和密码的机会,Login Action负责验证用户输入的帐号和密码是否正确,验证通过的情况下把帐号和密码保存到Session中,就相当于用户拿到了一块令牌,就是一个合法用户了。

 

我们的目的是限制非法用户,也就是没有拿到令牌的用户,不能访问我们的系统。但是我们只进行了登陆验证和保存令牌的工作,并没有做限制非法用户的工作。现在不守规矩的用户就可以直接在浏览器的地址栏里输入:http://localhost:8080/Success.jsp

访问我们的Success.jsp页面,这当然是不能容忍的。

 

在没有学习拦截器之前,我们当然可以在Success.jsp页面里加代码进行限制,先从Session中取出用户名和密码,如果取到了则说明用户已经登陆系统了,否则让浏览器显示Login.jsp让用户登陆系统,这样做一点问题也没有,就相当于我们在每一个房间门口都安排了一个检查令牌的人一样,万无一失。不过,如果系统的受限制资源多起来的时候,比如说像Success.jsp或Action很多,几十个,几百个的时候,这样的代码我们就要写很多遍,这当然也是聪明的我们所不能容忍的:P

 

显然,让拦截器来做这项工作再合适不过了。我们可以添加一个拦截器,让它在这些受限制的资源被执行之前先运行,在拦截器里我们检查用户是否登陆了系统,如果登陆了才让他们访问,否则送给用户一个Login.jsp让用户登陆。这样我们的检查代码只需要写一次就一劳永逸了。

 

明白了原理之后还需要做几项具体的工作:

1,自己写一个拦截器,实现检查用户是否登陆的功能。

2,添加拦截器的配置,让我们自己写的拦截器起作用。

 

首先我们来完成第一个任务,打开:

struts-2.0.6docsdocsguides.html里面的

struts-2.0.6docsdocswriting-interceptors.html帮助。

从这个帮助里我们可以看出,拦截器必须实现com.opensymphony.xwork2.interceptor.Interceptor接口。根据经验,init()方法应该是初始化拦截器的方法,可以把一些初始化工作的代码放在它里面,destroy()方法与之相反,在拦截器被销毁之前,让我们有机会执行一些善后工作。

 

显然intercept()方法,是添加真正执行拦截工作的代码的地方,如果我们不需要初始化和清理的操作,可以直接继承com.opensymphony.xwork2.interceptor.AbstractInterceptor类,覆盖它的intercept()方法。这个方法有个ActionInvocation类型的参数,可以用它取得Session或转发请求等操作。

 

先在src下建立一个包:tutorial.interceptor

在这个包下建立一个类LogonInterceptor继承于AbstractInterceptor,覆盖intercept()方法:

 

package tutorial.interceptor;

import java.util.Map;

import org.apache.struts2.ServletActionContext;

import com.opensymphony.xwork2.ActionContext;

import com.opensymphony.xwork2.ActionInvocation;

import com.opensymphony.xwork2.interceptor.AbstractInterceptor;

 

public class LogonInterceptor extends AbstractInterceptor {

      public String intercept(ActionInvocation invocation) throws Exception {

          // 取得请求的Action名

          String    name = invocation.getInvocationContext().getName();

 

          if (name.equals("Login")) {

              // 如果用户想登录,则使之通过

              return invocation.invoke();

          } else {

              // 取得Session。

              ActionContext ac = invocation.getInvocationContext();

              Map session =    (Map)ac.get(ServletActionContext.SESSION);

  

              if (session == null) {

                  // 如果Session为空,则让用户登陆。

                  return "login";

              } else {

                  String username = (String)session.get("username");

                  if (username == null) {

                      // Session不为空,但Session中没有用户信息,

                      // 则让用户登陆

                      return "login";

                  } else {

                      // 用户已经登陆,放行~

                      return invocation.invoke();

                  }

              }

          }

      }

}

 

今天的内容有点多,接下来还要对这个拦截器进行配置:

关于怎样配置一个拦截器使之对所有的Action起作用请参考:

struts-2.0.6docsdocshow-do-we-configure-an-interceptor-to-be-used-with-every-action.html

修改struts.xml,

1,自定义拦截器

2,重定义默认拦截器堆栈

3,添加一个global-results,用户在验证失败的情况下跳转到登陆验证页面

struts.xml的完整内容:

<!DOCTYPE struts PUBLIC

      "-//Apache Software Foundation//DTD Struts Configuration 2.0//EN"

      "http://struts.apache.org/dtds/struts-2.0.dtd">

<struts><!-- Configuration for the default package. -->

<constant name="struts.custom.i18n.resources" value="globalMessages" />

 

<include file="struts-validation.xml" />

<package name="default" extends="struts-default">

 

    <!-- 自定义拦截器 -->

    <interceptors>

     <interceptor name="logon" class="tutorial.interceptor.LogonInterceptor"/>

     <!-- 自定义拦截器堆栈 -->

     <interceptor-stack name="myStack">

      <interceptor-ref name="logon"/>

      <!-- 引用默认的拦截器堆栈 -->

      <interceptor-ref name="defaultStack"/>

     </interceptor-stack>

    </interceptors>

 

    <!-- 重定义默认拦截器堆栈 -->

    <default-interceptor-ref name="myStack"/>

 

    <global-results>

     <result name="login" type="redirect-action">Login!input.action</result>

    </global-results>

 

        <action name="HelloWorld" class="tutorial.HelloWorld">

               <result>/HelloWorld.jsp</result>

           </action>

        

           <action name="Login" class="tutorial.Login">

              <result>/Success.jsp</result>

              <result name="input">/Login.jsp</result>

           </action> 

</package>

</struts>

 

保存修改并布署项目到Tomcat下,启动Tomcat

在浏览器的地址栏中输入:

http://localhost:8080/tutorial/HelloWorld.action

系统会自动转到Login页面。
posted @ 2011-08-06 09:43  javait03  阅读(1178)  评论(0编辑  收藏  举报