学习过struts的朋友应该都有了解,struts的处理过程为:*.do-->actionServlet-->requestProcessor-->action
可见requestProcessor是struts一个标志性的核心处理过程...在进入action处理具体业务之前,requestProcessor
进行了大量的前期初始化、控制传递、权限控制等工作...今天我们主要选取几个比较常用的方法进行扩展介绍:
1.processLocale(HttpServletRequest httpservletrequest, HttpServletResponse httpservletresponse)
这个方法我们在struts的第一篇讲解struts国际化的时候已经提到,是用来获取本地请求的地区和语言信息,详见第一篇
2.processRoles(HttpServletRequest httpservletrequest, HttpServletResponse httpservletresponse, ActionMapping actionmapping)
为web提供了一个授权方案,一旦一个用户进入web容器,processRoles()将提供request.isUserInRole()验证当前用户是否有权限访问actionmapping
此方法在下面的struts系统安全将进行扩展,稍等...
3.processValidate(HttpServletRequest httpservletrequest, HttpServletResponse httpservletresponse, ActionForm actionform, ActionMapping actionmapping)
在此方法中,struts将调用actionForm的validate()方法,如果validate()返回ActoinErrors对象不为空,将重定向到action的input页面
简单介绍这3个常用方法之后,我们来了解下struts的系统安全问题
对于采用struts的web系统,对于用户的访问限制主要体现在:
1.限制用户对action的非法访问;2.限制用户对jsp的访问
下面以对用户是否登录的检查作为样例
通常的处理规则是:将用户id存入session中,这样判断session中用户id是否存在即可....
之所以保存在session是因为session存在于服务器端且与每个用户相关联...
对action权限校验方法:
1.扩展requestProcessor的processRoles()方法
protected boolean processRoles(HttpServlet request,HttpServletResponse response,ActionMapping mapping){
HttpSession session=request.getSession();
String userId=session.getAttribute("userId");
if(userId==null){
//实现页面跳转还有一种方法,response.sendReDirect("/errors/error.jsp");
区别在于:forward()会将参数传出目标地址,而sendReDirect()不会
RequestDispatcher rd=request.getRequestDispatcher("/errors/error.jsp");
rd.forward(request,response);
return false;
}
return true;
}
2.利用公共的action实现校验,所有需要权限校验的都继承该action类...需要注意的是:
requestProcessor的processRoles()方法是对所有action的校验,而公共action是有选择的对需要校验的处理,视不同业务而定
3.对jsp的权限校验:通常会编写一个自定义标签,引入在公共jsp的头部,访问时即可识别
4.使用Filter进行权限的验证,这个不再赘述...
无拓展...