来源:http://hi.baidu.com/sunsunsoso/blog/item/cd4316039a744c1c4afb51c0.html
今天我们开始学习拦截器,虽然一直没有学习拦截器,但事实上我们已经使用拦截器很久了。 不知道大家还记不记得,在《Struts2之服务器端验证》里我说过这样一句话“在到达Login Action之前,验证已经完成了”。我很希望有人能提出这是为什么,这样我就可以说,这是拦截器的功劳,我们就可以研究拦截器了。可能大家都没有在意,或者提出了疑问,怕杨老师不知道,怪尴尬的^_^没关系的,不会我们可以一起学嘛。 其实,拦截器并不难,也不是十分难懂的东西。 打开帮助文档(struts-2.0.6//docs//docs//interceptors.html)的拦截器部分。 能读懂英文技术文档是程序员必备的基本素质之一,慢慢来吧,只要静下心来逐字逐句的推敲,没有什么理解不了的。实在看不懂,那就看看[Action Lifecyle]这张图吧。Action生命周期,Action被一些拦截器包围着,也就是说在Action执行之前或之后,拦截器会被执行。 这就是拦截器,把程序看作是一个顺序执行的流,在执行Action的代码之前或之后,拦截器会打断Action的执行,让程序先执行拦截器的代码,这也许就是为什么把它叫做拦截器的原因。有的时候,拦截器还会阻止Action的执行,比如说在验证失败的情况下,应该让程序返回到输入界面让用户重新输入。 从图上还可以看出,一个Action之外不是只有一个拦截器,那么先执行哪个拦截器呢?Struts2把多个拦截器放在了一个栈中,我们把它叫做拦截器栈。一方面,栈可以解决拦截器的执行顺序问题,另一方面,把相关的拦截器放在一个栈中,管理起来也比较方便。 Struts2的一个优点是它的可配置性,我们可以根据实际情况选择需要的功能。当然也给我们带来了一些麻烦,就拿拦截器来说吧,要想让拦截器起作用,先要对它进行配置。配置拦截器,需要在struts.xml中加入相关配置: class="tutorial.Login"> login.jsp type="redirect-action">/secure/home ===================================================================== 和 标记对表示要配置一些拦截器,里面的每一条是一个拦截器。 interceptor表示这是一个拦截器,name属性是给它起一个名字,class属性是指出它的实现类,也是代码的实际位置。 拦截器是拦截Action的,当然也要在Action的配置里加入对它的引用,指出这个Action要使用哪个拦截器。 这句话是告诉Struts框架,login Action需要使用前面的timer拦截器。 有人也许会说,我们之前并没有配置拦截器,但刚才好像说过,不是也使用到拦截器了么?的确,可能是Struts2的开发者怕配置起来太麻烦了,没有人用吧:P,所以给我预先配置好了一些默认的拦截器和拦截器栈。 在struts-default.xml(struts-default.xml在struts2-core-2.0.6.jar包中)里面定义了很多拦截器: ...... 里面的validation和i18n就是我们之前用的验证和国际化功能。 还有很多拦截器栈: ... 最后这条比较主要,是框架默认使用的拦截器栈,也就是说,defaultStack栈中的拦截器会默认起作用。 这也是我们没有配置validation和i18n,它们就起作用的原因。 顺便说一下,拦截器应该属于AOP(面向方面编程)思想的一种实现,它的确给开发带来了很多好处,一方面可以把一个大的问题分解成多个小问题分别处理,另一方面可以使Action专注与处理自己的事情,把相关的功能分散给各个拦截器处理。
在《Struts2之服务器端验证》中我们详细讨论了关于登陆验证的问题,只有通过登陆验证,拿到令牌的用户才能进入我们的系统。为此我们建立了登陆验证页面和相应的Action类,登陆验证(Login.jsp)负责提供给用户输入帐号和密码的机会,Login Action负责验证用户输入的帐号和密码是否正确,验证通过的情况下把帐号和密码保存到Session中,就相当于用户拿到了一块令牌,就是一个合法用户了。 我们的目的是限制非法用户,也就是没有拿到令牌的用户,不能访问我们的系统。但是我们只进行了登陆验证和保存令牌的工作,并没有做限制非法用户的工作。现在不守规矩的用户就可以直接在浏览器的地址栏里输入:http://localhost:8080/Success.jsp 访问我们的Success.jsp页面,这当然是不能容忍的。 在没有学习拦截器之前,我们当然可以在Success.jsp页面里加代码进行限制,先从Session中取出用户名和密码,如果取到了则说明用户已经登陆系统了,否则让浏览器显示Login.jsp让用户登陆系统,这样做一点问题也没有,就相当于我们在每一个房间门口都安排了一个检查令牌的人一样,万无一失。不过,如果系统的受限制资源多起来的时候,比如说像Success.jsp或Action很多,几十个,几百个的时候,这样的代码我们就要写很多遍,这当然也是聪明的我们所不能容忍的:P 显然,让拦截器来做这项工作再合适不过了。我们可以添加一个拦截器,让它在这些受限制的资源被执行之前先运行,在拦截器里我们检查用户是否登陆了系统,如果登陆了才让他们访问,否则送给用户一个Login.jsp让用户登陆。这样我们的检查代码只需要写一次就一劳永逸了。 明白了原理之后还需要做几项具体的工作: 1,自己写一个拦截器,实现检查用户是否登陆的功能。 2,添加拦截器的配置,让我们自己写的拦截器起作用。 首先我们来完成第一个任务,打开: struts-2.0.6docsdocsguides.html里面的 struts-2.0.6docsdocswriting-interceptors.html帮助。 从这个帮助里我们可以看出,拦截器必须实现com.opensymphony.xwork2.interceptor.Interceptor接口。根据经验,init()方法应该是初始化拦截器的方法,可以把一些初始化工作的代码放在它里面,destroy()方法与之相反,在拦截器被销毁之前,让我们有机会执行一些善后工作。 显然intercept()方法,是添加真正执行拦截工作的代码的地方,如果我们不需要初始化和清理的操作,可以直接继承com.opensymphony.xwork2.interceptor.AbstractInterceptor类,覆盖它的intercept()方法。这个方法有个ActionInvocation类型的参数,可以用它取得Session或转发请求等操作。 先在src下建立一个包:tutorial.interceptor 在这个包下建立一个类LogonInterceptor继承于AbstractInterceptor,覆盖intercept()方法: /** * 工程: tutorial * 文件: LogonInterceptor.java * 包: tutorial.interceptor * 单位: 新东方一搏职业教育培训中心 * 版权: Copyright (c) 2007 NIT-PRO * 版本: 1.0 * 变更历史: Jun 24, 2007 11:51:07 PM (coombe) 创建 */ package tutorial.interceptor; import java.util.Map; import org.apache.struts2.ServletActionContext; import com.opensymphony.xwork2.ActionContext; import com.opensymphony.xwork2.ActionInvocation; import com.opensymphony.xwork2.interceptor.AbstractInterceptor; /** * 登陆验证拦截器,如果用户没有登陆系统则让用户到登陆验证页面进行登陆 * 当用户请求网站资源的时候,例如某个Action,在Action被执行之前,检 * 查用户是否登陆了系统. * 不足之处是该拦截器只能拦截Action,不能拦截jsp和servlet,所以不能 * 完全限制用户对未授权资源的访问,可以配合filter或将jsp页面放在 * WEB-INF目录下解决这个问题. * * @author coombe */ public class LogonInterceptor extends AbstractInterceptor { public String intercept(ActionInvocation invocation) throws Exception { // 取得请求的Action名 String name = invocation.getInvocationContext().getName(); if (name.equals("Login")) { // 如果用户想登录,则使之通过 return invocation.invoke(); } else { // 取得Session。 ActionContext ac = invocation.getInvocationContext(); Map session = (Map)ac.get(ServletActionContext.SESSION); if (session == null) { // 如果Session为空,则让用户登陆。 return "login"; } else { String username = (String)session.get("username"); if (username == null) { // Session不为空,但Session中没有用户信息, // 则让用户登陆 return "login"; } else { // 用户已经登陆,放行~ return invocation.invoke(); } } } } } 今天的内容有点多,接下来还要对这个拦截器进行配置: 关于怎样配置一个拦截器使之对所有的Action起作用请参考: struts-2.0.6docsdocshow-do-we-configure-an-interceptor-to-be-used-with-every-action.html 修改struts.xml, 1,自定义拦截器 2,重定义默认拦截器堆栈 3,添加一个global-results,用户在验证失败的情况下跳转到登陆验证页面 struts.xml的完整内容: "-//Apache Software Foundation//DTD Struts Configuration 2.0//EN" "http://struts.apache.org/dtds/struts-2.0.dtd"> Login!input.action /HelloWorld.jsp /Success.jsp /Login.jsp 保存修改并布署项目到Tomcat下,启动Tomcat 在浏览器的地址栏中输入: http://localhost:8080/tutorial/HelloWorld.action 系统会自动转到Login页面。 当然,现在只能限制未授权用户访问Action,不能限制用户非法访问jsp文件~ Struts2的拦截器实际上还是使用了filter的功能,当然可以直接使用filter 解决这个问题,不过如果使用了filter,我又何必使用拦截器呢-_-
转自:http://chinajava.blog.tom.com,感谢原创作者
