-
外文名
- Struts 2 解 释
- Struts的下一代产品
-
类 别
- 框架 理 解
- WebWork的更新产品
发展历史
编辑
经过六年多的发展,Struts1已经成为了一个高度成熟的框架,不管是 稳定性还是可靠性都得到了广泛的证明。市场占有率超过20%,拥有丰富的开发人群,几乎已经成为了事实上的工业标准。但是随着时间的流逝,技术的进 步,Struts1的局限性也越来越多地暴露出来,并且制约了Struts1的继续发展。
对于Struts1框架而言,由于与JSP/Servlet耦合非常紧密,因而导致了一些严重的问题。首先,Struts1支持的表现层技术单一。由于Struts1出现的年代比较早,那个时候没有
FreeMarker、
Velocity等技术,因此它不可能与这些视图层的模版技术进行整合。其次,Struts1与Servlet API的严重耦合,使应用难于测试。最后,Struts1代码严重依赖于Struts1 API,属于侵入性框架。
从目前的技术层面上看,出现了许多与Struts1竞争的视图层框架,比如
JSF、
Tapestry和
spring MVC等。这些框架由于出现的年代比较近,应用了最新的设计理念,同时也从Struts1中吸取了经验,克服了很多不足。这些框架的出现也促进了Struts的发展。
Struts已经分化成了两个框架:第一个是在传统的Struts1的基础上,融合了另外的一个优秀的Web框架
WebWork的Struts2。
Struts 2虽然是在Struts1的基础上发展起来的,但是实质上是以WebWork为核心的。Struts2为传统的Struts1注入了WebWork的先进的设计理念,统一了Struts1和WebWork两个框架。
Struts1分化出来的另外一个框架是
Shale。这个框架远远超出了Struts1原有的设计思想,与原有的Struts1关联很少,使用了全新的设计思想。Shale更像一个新的框架而不是Struts1的升级。
工作原理
编辑
Struts 2的工作原理图:
体系结构
编辑
应用流程注解
当
Web容器收到请求(HttpServletReques
t)它将请求传递给一个标准的的过滤链包括(ActionContextCleanUp)过滤器。
经过Other filters(SiteMesh ,etc),需要调用FilterDispatcher核心控制器,然后它调用ActionMapper确定请求哪个 Action,ActionMapper返回一个收集Action详细信息的ActionMaping对象。
FilterDispatcher将控制权委派给ActionProxy,ActionProxy调用配置管理器(ConfigurationManager) 从配置文件中读取配置信息(struts.xml),然后创建ActionInvocation对象。
ActionInvocation在调用Action之前会依次的调用所 用配置拦截器(Interceptor N)一旦执行结果返回结果字符串ActionInvocation负责查找结果字符串对应的(Result)然后执行这个Result Result会调用一些模版(JSP)来呈现页面。
拦截器(Interceptor N)会再被执行(顺序和Action执行之前相反)最后响应(HttpServletResponse)被返回在web.xml中配置的那些过滤器和(核心控制器)(FilterDispatcher)。
技术改进
编辑
Struts 2对Struts1进行了巨大的改进。主要表现在如下几个方面:
在Action的实现方面
Struts1要求必须统一扩展自Action类,而Struts2中可以是一个
POJO。
线程模型方面
Struts1的Action是单实例的,一个Action的实例处理所有的请求。Struts 2的Action是一个请求对应一个实例(每次请求时都新new出一个对象),没有
线程安全方面的问题。
Servlet依赖方面
Struts1的Action依赖于Servlet API,比如Action的execute方法的参数就包括request和response对象。这使程序难于测试。Struts2中的Action不再依赖于Servlet API,有利于测试,并且实现TDD。
封装
请求参数
Struts1中强制使用ActionForm对象封装请求的参数。Struts2可以选择使用POJO类来封装请求的参数,或者直接使用Action的属性。
表达式语言方面
Struts1中整合了EL,但是EL对集合和索引的支持不强,Struts2整合了
OGNL(Object Graph NavigationLanguage)。
绑定值到视图技术
Struts1使用标准的JSP,Struts2使用“ValueStack”技术。
类型转换
Struts1中的ActionForm基本使用String类型的属性。Struts2中使用OGNL进行转换,可以更方便的使用。
Struts1中支持覆盖validate方法或者使用Validator框架。Struts2支持重写validate方法或者使用
XWork的验证框架。
Action
执行控制
的对比
Struts1支持每一个模块对应一个请求处理,但是模块中的所有Action必须共享相同的生命周期。Struts2支持通过拦截器
堆栈为每一个Action创建不同的生命周期。
拦截器的应用
拦截器,在AOP(Aspect-Oriented Programming)中用于在某个方法或字段被访问之前,进行拦截然后在之前或之后加入某些操作。拦截是AOP的一种实现策略。
在Webwork的中文文档的解释为——拦截器是动态拦截Action调用的对象。它提供了一种机制可以使开发者可以定义在一个action执行的前后执行的代码,也可以在一个action执行前阻止其执行。同时也是提供了一种可以提取action中可重用的部分的方式。
谈到拦截器,还有一个词大家应该知道——拦截器链 (Interceptor Chain,在Struts 2中称为拦截器栈Interceptor Stack)。拦截器链就是将拦截器按一定的顺序联结成一条链。在访问被拦截的方法或字段时,拦截器链中的拦截器就会按其之前定义的顺序被调用。
1.拦截器的实现原理:
大部分时候,拦截器方法都是通过代理的方式来调用的。Struts 2的拦截器实现相对简单。当请求到达Struts 2的ServletDispatcher时,Struts 2会查找配置文件,并根据其配置实例化相对的拦截器对象,然后串成一个列表(list),最后一个一个地调用列表中的拦截器。
2.拦截器的配置
Struts 2已经为您提供丰富多样的,功能齐全的拦截器实现。大家可以至struts2的jar包内的struts-default.xml查看关于默认的拦截器与拦截器链的配置。
在struts.xml文件中定义拦截器,拦截器栈:
1
2
3
4
5
6
7
8
9
10
11
12
|
<
package
name=
"my"
extends
=
"struts-default"
namespace=
"/manage"
>
<interceptors>
<!-- 定义拦截器 -->
<interceptor name=
"拦截器名"
class
=
"拦截器实现类"
/>
<!-- 定义拦截器栈 -->
<interceptor-stack name=
"拦截器栈名"
>
<interceptor-ref name=
"拦截器一"
/>
<interceptor-ref name=
"拦截器二"
/>
</interceptor-stack>
</interceptors>
......
</
package
>
|
对比
编辑
Struts和Webwork同为服务于Web的一种MVC框架,从某种 程度上看,Struts2是从WebWork2上升级得到的。甚至Apache的官方文档也讲:WebWork2到Struts2是平滑的过渡。我们甚至 也可以说Struts2就是WebWork2.3而已。在很多方面Struts仅仅是改变了WebWork下的名称。Struts2对应的有自己的标签, 并且功能强大。Webwork也有自己的标签。在2005年12月,WebWork与Struts Ti决定合并, 在此同时, Struts Ti 改名为 Struts Action Framework 2.0,成为Struts真正的下一代。
基类
编辑标准返回值
ActionSupport基类中定义了五个标准的返回值 ,当然我们可以自己随意定义返回的名字
String SUCCESS = "success"; //默认是 SUCCESS 类型
String NONE = "none";
String ERROR = "error";
String INPUT = "input";
String LOGIN = "login";
方法
ActionSupport基类定义了了一些方法,程序员自己写的action如果继承了ActionSupport基类,就可以应用这些方法,很方便解决一些问题。
一些比较常用的方法:
getText(String aTextName);//国际化用到
...//getText(String aTextName)的
重载方法
addActionMessage(String aMessage);
addFieldError(String fieldName, String errorMessage);
//校验失败后返回给客户端的信息,struts2 标签<s:fielderror />可以取得
addActionError(String anErrorMessage);
Result Type
编辑
在默认时,<result>标签的type属性值是“dispatcher”(实际上就是转发,forward)。开发人员可以根据自己的需要指定不同的类型,如redirect、stream等。如下面代码所示:
<result name="save" type="redirect">
/result.jsp
</result>
这此result-type可以在struts2-core-2.0.11.1.jar包或struts2
源代码中的struts-default.xml文件中找到,在这个文件中找到<result-types>标签,所有的result-type都在里面定义了。代码如下:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
|
<result-types>
<result-type name=
"chain"
class
=
"com.opensymphony.xwork2.ActionChainResult"
/>
<result-type name=
"dispatcher"
class
=
"org.apache.struts2.dispatcher.ServletDispatcherResult"
default
=
"true"
/>
<result-type name=
"freemarker"
class
=
"org.apache.struts2.views.freemarker.FreemarkerResult"
/>
<result-type name=
"httpheader"
class
=
"org.apache.struts2.dispatcher.HttpHeaderResult"
/>
<result-type name=
"redirect"
class
=
"org.apache.struts2.dispatcher.ServletRedirectResult"
/>
<result-type name=
"redirectAction"
class
=
"org.apache.struts2.dispatcher.ServletActionRedirectResult"
/>
<result-type name=
"stream"
class
=
"org.apache.struts2.dispatcher.StreamResult"
/>
<result-type name=
"velocity"
class
=
"org.apache.struts2.dispatcher.VelocityResult"
/>
<result-type name=
"xslt"
class
=
"org.apache.struts2.views.xslt.XSLTResult"
/>
<result-type name=
"plainText"
class
=
"org.apache.struts2.dispatcher.PlainTextResult"
/>
<!-- Deprecated name form scheduled
for
removal in Struts
2.1
.
0
. The camelCase versions are preferred. See ww-
1707
-->
<result-type name=
"redirect-action"
class
=
"org.apache.struts2.dispatcher.ServletActionRedirectResult"
/>
<result-type name=
"plaintext"
class
=
"org.apache.struts2.dispatcher.PlainTextResult"
/>
</result-types>
|
dispatcher
用来转向页面,通常处理JSP
1
|
org.apache.struts2.dispatcher.ServletDispatcherResult
|
freemaker
处理FreeMarker模板
1
|
org.apache.struts2.views.freemarker.FreemarkerResult
|
httpheader
控制特殊HTTP行为的结果类型
1
|
org.apache.struts2.dispatcher.HttpHeaderResult
|
stream
向浏览器发送InputStream对象,通常用来处理文件下载,还可用于返回AJAX数据
1
|
org.apache.struts2.dispatcher.StreamResult
|
StreamResult等价于在Servlet中直接输出Stream流。这种Result被经常使用于输出图片、文档等二进制流到 客户端。通过使用StreamResult,我们只需要在Action中准备好需要输出的InputStream即可。
配置:
1
2
3
4
5
6
|
<result name=
"success"
type=
"stream"
>
<param name=
"contentType"
>image/jpeg</param>
<param name=
"inputName"
>imageStream</param>
<param name=
"contentDisposition"
>filename=
"document.pdf"
</param>
<param name=
"bufferSize"
>
1024
</param>
</result>
|
同时,StreamResult支持许多参数,对输出的Stream流进行参数控制。
velocity
处理Velocity模板
1
|
org.apache.struts2.dispatcher.VelocityResult
|
随 着模板技术的越来越流行,使用Freemarker或者Velocity模板进行View层展示的开发者越来越多。Struts2同样为模板作为 Result做出了支持。由于模板的显示需要模板(Template)与数据(Model)的紧密配合,所以在Struts2中,这两个Result的主 要工作是为模板准备数据。
xslt
处理XML/XLST模板
1
|
org.apache.struts2.views.xslt.XSLTResult
|
plainText
显示原始文件内容,例如文件源代码
1
|
org.apache.struts2.dispatcher.PlainTextResult
|
chain
用来处理Action链
1
|
com.opensymphony.xwork2.ActionChainResult
|
chain 其实只是在一个action执行完毕之后,forward到另外一个action,所以他们之间是共享HttpServletRequest的。在使用 chain作为Result时,往往会配合使用ChainingInterceptor。ChainingInterceptor的作用是在Action 直接传递数据。事实上,源Action中ValueStack的数据会被做一次Copy,这样,2个Action中的数据都在ValueStack中,使 得对于前台来说,通过ValueStack来取数据,是透明而共享的。比如说,一张页面中,你可能有许多数据要显示,而某些数据的获取方式可能被很多不同 的页面共享(典型来说,“推荐文章”这个小栏目的数据获取,可能会被很多页面所共享)。这种情况下,可以把这部分逻辑抽取到一个独立Action中,并使 用chain,将这个Action与主Action串联起来。这样,最后到达页面的时候,页面始终可以得到每个Action中的数据。
从实战上讲,使用chain作为Result也的确存在着上面所说的许多 问题,我个人也是非常不推崇滥用这种Result。尤其是,对于使用Spring和Hibernate的朋友来说,如果你开启 OpenSessionInView模式,那么Hibernate的session是跟随HttpServletRequest的,所以session在 整个action链中共享。这会为我们的编程带来极大的麻烦。因为我们知道Hibernate的session会保留一份一级缓存,在action链中, 共享一级缓存无疑会为你的调试工作带来很大的不方便。
所以,谨慎使用chain作为你的Result,应该成为一条最佳实践。
redirect
重定向到一个URL
1
|
org.apache.struts2.dispatcher.ServletRedirectResult
|
如 果你在Action执行完毕后,希望执行另一个Action,有2种方式可供选择。一种是forward,另外一种是redirect。有关 forward和redirect的区别,这里我就不再展开,这应该属于Java程序员的基本知识。在Struts2中,分别对应这两种方式的 Result,就是chain和redirect。
先来谈谈redirect,既然是重定向,那么源地址与目标地址之间是2个不同的HttpServletRequest。所以目标地址将无法通过ValueStack等Struts2的特性来获取源Action中的数据。
同时,Redirect的Result支持在配置文件中,读取并解析源Action中ValueStack的值,并成为
参数传递到Redirect的地址中。
redirectAction
重定向到一个Action
1
|
org.apache.struts2.dispatcher.ServletActionRedirectResult
|
区别比较
编辑
redirect和redirectAction chain的区别
struts2中关于result的返回类型一般我们是转发到一个jsp 页面或者是html页面等,但是struts2中的result的返回类型还有redirect,redirectAction,chain。对于这三种 返回类型之间肯定是有区别的,下面我们来看看关于redirect redirectAction chain这三种struts2的返回类型之间的区别。当使用type=“redirectAction” 或type=“redirect”提交到一个action并且需要传递一个参数时。这里是有区别的:使用type=“redirectAction”时, 结果就只能写Action的配置名,不能带有后缀:“.action”
Xml代码
1
2
3
|
<action name=
"Login"
class
=
"steven.actions.LoginAction"
>
<result name=
"success"
type=
"redirectAction"
>User?u_id=${loginBean.u_id}</result>
</action>
|
使用type=“redirect”时,结果应是action配置名+后缀名
Xml代码
1
2
3
|
<action name=
"Login"
class
=
"steven.actions.LoginAction"
>
<result name=
"success"
type=
"redirect"
>User.action?u_id=${loginBean.u_id}</result>
</action>
|
redirect:action处理完后重定向到一个视图资源(如:jsp页面),请求参数全部丢失,action处理结果也全部丢失。
redirect-action:action处理完后重定向到一个action,请求参数全部丢失,action处理结果也全部丢失。
chain:action处理完后转发到一个action,请求参数全部丢失,action处理结果不会丢失。
出现漏洞
编辑
曝出高危安全漏洞
Struts2曝出2个高危
安全漏洞,一个是使用缩写的导航参数前缀时的远程代码执行漏洞,另一个是使用缩写的重定向参数前缀时的开放式重定向漏洞。这些漏洞可使黑客取得网站服务器的“最高权限”,从而使企业服务器变成黑客手中的“肉鸡”。
解决措施
带来影响