一 .问题
1.为什么不用struts框架
struts 是一个开放的框架,其底层的诸多技术是Web开发的典范。《J2EE 设计模式》一书所列出的很多经典模式都在Struts有所体现。我觉得,Struts中最有用的就是它的控制框架,即Action,其他的都是配角而已。
采用Struts开发很不方便的在于,配置繁琐,虽然有很多辅助工具,但还是很麻烦。Struts提供的Html ,Bean,Tile 等Tag也很复杂,需要花很多时间去学习,当一个页面需要很多JavaScript 互动的时候,这些Tag用起来就更复杂了,所以页面层上还是原始的Html标记最实用。
至于Struts的Model层,也是多余的,因为可能完全采用Hibernate而不是JDBC连接。所以Struts提供的数据库连接几乎不用。
2.Struts的控制框架
上面提到了Struts的控制框架是最有用的,究竟Struts在控制层上做了哪些工作?
1)页面层参数的自动传值
当定义了一个Struts Form 后,就能够接收到包含该Form的页面的参数值。比如Form中有个name成员变量,在JSP页面有个<input type="text" name="name" >,当提交后,就可以直接在Form中通过getName()获得表单中name 的值,相当于request.getParameter("name");
2)扩展的自动传值
上面提到的自动传值还适用于上传表单。由于包含上传表单的Form必须定义为<form enctype="multipart/form-data" > 所以request.getParameter() 是得不到参数的。Struts框架屏蔽了这些,仍然可以在Form中用getName()获得表单中的值。
3)参数值效验
当表单提交后,可以采用JavaScript来效验或者在后台进行一次效验。Struts把效验机制放在Form中,属于后台效验,只有通过了效验才能执行应用逻辑,保护了应用逻辑。
采用JavaScript效验很直观,最大的问题在于很不安全。完全可以绕过JavaScript(采用Get或者在地址栏里直接输入参数)来提交数据,因为客户端(即IE)是完全可以自己编写或模拟的。 目前很多80%的网站都是JavaScript,如果后台不做附加的验证,这个漏洞是很危险的!
4)安全提交
在《J2EE 模式中》提到为了保证表单提交一次,采用Token(令牌)机制来防止表单的反复提交。Struts中也有这个机制。
在IE中,当提交了数据之后,可以“后退”在提交一次,或者数据正在提交的时候,连续刷新页面提交数据,如果有Token机制可以有效的防止反复机制,保护应用逻辑。
二.我的Web 框架
正是分析了Struts的底层机制,才促使我开发一个比Struts更直接的框架,简单的来说,就是要实现类似于Struts的控制层,把显示层保留,即最原始的Html标记,模型层则自己定义,可以采用JDBC或者Hibernate之类的技术。
核心代码如下:
该框架直接继承于Servlet,主要完成以下任务:
1. reset() ;重置
2. 初始话Request,完成参数值的自动复制,即上面提到的特性1和2,代码如下:
如果是MultiPart表单提交,处理更为繁琐。这些代码参考了Struts的底层代码。
3. 效验表单中的Token是否是有效。
4. 执行用户部分的参数效验,只有通过了用户的效验,才执行应用逻辑。
在效验过程中,集成了图片效验码机制(可以选择),进一步保护了表单的提交。
三.效果
1.显示层(JSP页面,采用原始的HTML标记)
可以看到,与普通的JSP页面没有什么差别,全部是都是HTML标记,为了跟控制曾交互,唯一的是要插入一个控制标签<education:form>。
当这个页面显示的效果如下:
对应的HTML代码为:
可以看到html代码中包含了该表单的唯一令牌。
2.控制层
控制层包含两个部分
1)执行参数效验,并将参数的效验信息反馈到页面上。
2)当效验通过后,执行应用逻辑
上述提到的令牌效验等机制都集成在在GenericAction中,用户只需要继承GenericAction即可。
3.文件上传和数组参数
包含multipart的表单,其中有文件上传,还有数组
映射关系
效验机制
应用逻辑
四. 总结
这个框架类似与Struts中的控制框架,把显示层和模型层释放出来,自己选择这两部分的技术实现。在我的Web开发中,模型层采用Hibernate机制,而显示层采用JSP 2.0,控制层继承这个框架。
如果对这个框架有兴趣,可以发Email联系,我希望我能做得更好!