q篇文章以示例阐qC正确解决用户退出问题的Ҏ。作者Kevin Le首先描述了一个密码保护Web应用Q然后以CZE序解释问题如何产生q讨决问题的Ҏ。文章虽然是针对JSP面q行阐述Q但作者所阐述的概念很Ҏ理解切能够ؓ其他Web技术所采用。最后作者展CZ如何用Jakarta Struts优雅地解册一问题?
大部分Web应用不会包含象银行̎h信用卡资料那h密的信息Q但一旦涉及到敏感数据Q我们就需要提供一cd码保护机制。D例来_一个工厂中工h通过Web讉K他们的时间安排、进入他们的训练评以及查看他们的薪金等{。此时应用SSL(Secure Socket Layer)有点杀鸡用牛刀的感觉,但不可否认,我们又必Mؓq些应用提供密码保护Q否则,工hQ也是Web应用的用者)可以H探到工厂中其他雇员的私人机密信息?BR>
与上q情形相似的q有位处图书馆、医院等公共场所的计机。在q些地方Q许多用户共同用几台计机Q此时保护用L个h数据显得至关重要。设计良好编写优U的应用对用户专业知识的要求少之又?BR>
我们来看一下现实世界中一个完的Web应用是如何表现的Q一个用户通过览器访问一个页面。Web应用展现一个登陆页面要求用戯入有效的验证信息。用戯入了用户名和密码。此时我们假讄h供的w䆾验证信息是正的Q经q了验证q程QWeb应用允许用户览他有权访问的区域。用h退出时Q点击退出按钮,Web应用要求用户认他是否则真的需要退出,如果用户定退出,Sessionl束QWeb应用重新定位到登陆页面。用户可以放心的d而不用担心他的信息会泄露。另一个用户坐C同一台电脑前Q他点击后退按钮QWeb应用不应该出C一个用戯问过的Q何一个页面。事实上QWeb应用在第二个用户提供正确的验证信息之前应当一直停留在登陆面上?BR>通过CZE序Q文章向您阐qC如何在一个Web应用中实现这一功能?BR>
JSPCZ
Z更ؓ有效地阐q实现方案,本文从展示一个示例应用logoutSampleJSP1中碰到的问题开始。这个示例代表了许多没有正确解决退E的Web应用。logoutSampleJSP1包含了下qjsp面Qlogin.jsp, home.jsp, secure1.jsp, secure2.jsp, logout.jsp, loginAction.jsp, and logoutAction.jsp。其中页面home.jsp, secure1.jsp, secure2.jsp, 和logout.jsp是不允许未经认证的用戯问的Q也是_q些面包含了重要信息,在用L陆之前或者退Z后都不应该出现在览器中。login.jsp包含了用于用戯入用户名和密码的form。logout.jsp包含了要求用户认是否退出的form。loginAction.jsp和logoutAction.jsp作ؓ控制器分别包含了登陆和退Z码?BR>
W二个示例应用logoutSampleJSP2展示了如何解决示例logoutSampleJSP1中的问题。然而,W二个应用自w也是有疑问的。在特定的情况下Q退出问题还是会出现?BR>
W三个示例应用logoutSampleJSP3在第二个CZ上进行了改进Q比较完善地解决了退出问题?BR>
最后一个示例logoutSampleStruts展示了Struts如何优美地解决登陆问题?BR>
注意Q本文所附示例在最新版本的Microsoft Internet Explorer (IE), Netscape Navigator, Mozilla, FireFox和Avant览器上试通过?BR>
Login action
Brian Pontarelli的经典文章《J2EE Security: Container Versus Custom》讨Z不同的J2EE认证途径。文章同时指出,HTTP协议和基于form的认证ƈ未提供处理用户退出的机制。因此,解决途径便是引入自定义的安全实现机制?BR>
自定义的安全认证机制普遍采用的方法是从form中获得用戯入的认证信息Q然后到诸如LDAP (lightweight directory access protocol)或关pL据库的安全域中进行认证。如果用h供的认证信息是有效的Q登陆动作往HttpSession对象中注入某个对象。HttpSession存在着注入的对象则表示用户已经登陆。ؓ了方便读者理解,本文所附的CZ只往HttpSession中写入一个用户名以表明用户已l登陆。清?是从loginAction.jsp面中节选的一D代码以此阐q登陆动作:
| Listing 1 //... //initialize RequestDispatcher object; set forward to home page by default RequestDispatcher rd = request.getRequestDispatcher("home.jsp"); //Prepare connection and statement rs = stmt.executeQuery("select password from USER where userName = '" + userName + "'"); if (rs.next()) { //Query only returns 1 record in the result set; only 1 password per userName which is also the primary key if (rs.getString("password").equals(password)) { //If valid password session.setAttribute("User", userName); //Saves username string in the session object } else { //Password does not match, i.e., invalid user password request.setAttribute("Error", "Invalid password."); rd = request.getRequestDispatcher("login.jsp"); } } //No record in the result set, i.e., invalid username else { request.setAttribute("Error", "Invalid user name."); rd = request.getRequestDispatcher("login.jsp"); } } //As a controller, loginAction.jsp finally either forwards to "login.jsp" or "home.jsp" rd.forward(request, response); //... |
本文所附示例均以关pd数据库作为安全域Q但本文所阐述的观点对Mcd的安全域都是适用的?BR>
Logout action
退出动作就包含了简单的删除用户名以及对用户的HttpSession对象调用invalidate()Ҏ。清?是从loginoutAction.jsp面中节选的一D代码以此阐q退出动作:
| Listing 2 //... session.removeAttribute("User"); session.invalidate(); //... |
从form中获取用h交的认证信息q经q验证后Q登陆动作简单地往 HttpSession对象中写入一个用户名Q退出动作则做相反的工作Q它从用LHttpSession对象中删除用户名q调用invalidate()Ҏ销毁HttpSession。ؓ了登陆和退出动作真正发挥作用,所有受保护的JSP面都应该首先验证HttpSession中是否包含了用户名以认当前用户是否已经登陆。如果HttpSession中包含了用户名,也就是说用户已经登陆QWeb应用则将剩余的JSP发送给览器,否则QJSP将跌{到登陆页login.jsp。页面home.jsp, secure1.jsp, secure2.jsp和logout.jsp均包含清?中的代码D:
| Listing 3 //... String userName = (String) session.getAttribute("User"); if (null == userName) { request.setAttribute("Error", "Session has ended. Please login."); RequestDispatcher rd = request.getRequestDispatcher("login.jsp"); rd.forward(request, response); } //... //Allow the rest of the dynamic content in this JSP to be served to the browser //... |
在这个代码段中,E序从HttpSession中减~username字符丌Ӏ如果字W串为空QWeb应用则自动中止执行当前页面ƈ跌{到登陆页Q同时给出Session has ended. Please log in.的提C;如果不ؓI,Web应用则l执行,也就是把剩余的页面提供给用户?BR>
q行logoutSampleJSP1
q行logoutSampleJSP1会出现如下几种情ŞQ?BR>
1) 如果用户没有登陆QWeb应用会正确中止受保护页面home.jsp, secure1.jsp, secure2.jsp和logout.jsp的执行,也就是说Q假如用户在览器地址栏中直接敲入受保护JSP늚地址试图讉KQWeb应用自动蟩转到登陆ƈ提示Session has ended.Please log in.
2) 同样的,当一个用户已l退出,Web应用也会正确中止受保护页面home.jsp, secure1.jsp, secure2.jsp和logout.jsp的执?BR>
3) 用户退出后Q如果点L览器上的后退按钮QWeb应用不能正保护受保护的页面——在Session销毁后Q用户退出)受保护的JSP重新在览器中昄出来。然而,如果用户点击q回面上的M链接QWeb应用会跌{到登陆页面ƈ提示Session has ended.Please log in.
L览器缓?/B>
上述问题的根源在于大部分览器都有一个后退按钮。当点击后退按钮Ӟ默认情况下浏览器不是从Web服务器上重新获取面Q而是从浏览器~存中蝲入页面。基于Java的Web应用q未限制q一功能Q在ZPHP、ASP?NET的Web应用中也同样存在q一问题?BR>
在用Ld退按钮后,览器到服务器再从服务器到浏览器q样通常意思上的HTTP回\q没有徏立,仅仅只是用户Q浏览器和缓存进行了交互。所以,即包含了清?上的代码来保护JSP面Q当点击后退按钮Ӟq些代码是不会执行的?BR>
~存的好坏,真是仁者见仁智者见智。缓存的提供了一些便利,但通常只在使用静态的HTML面或基于图形或影响的页面你才能感受到。而另一斚wQWeb应用通常是基于数据的Q数据通常是频J更改的。与从缓存中dq显C期的数据相比Q提供最新的数据才是更重要的Q?BR>
q运的是QHTTP头信息“Expires”和“Cache-Control”ؓ应用E序服务器提供了一个控制浏览器和代理服务器上缓存的机制。HTTP头信息Expires告诉代理服务器它的缓存页面何时将q期。HTTP1.1规范中新定义的头信息Cache-Control可以通知览器不~存M面。当点击后退按钮Ӟ览器重新访问服务器已获取页面。如下是使用Cache-Control的基本方法:
1) no-cache:强制~存从服务器上获取新的页?BR>
2) no-store: 在Q何环境下~存不保存Q何页?BR>
HTTP1.0规范中的Pragma:no-cache{同于HTTP1.1规范中的Cache-Control:no-cacheQ同样可以包含在头信息中?
通过使用HTTP头信息的cache控制Q第二个CZ应用logoutSampleJSP2解决了logoutSampleJSP1的问题。logoutSampleJSP2与logoutSampleJSP1不同表现在如下代码段中,q一代码D加入进所有受保护的页面中:
| //... response.setHeader("Cache-Control","no-cache"); //Forces caches to obtain a new copy of the page from the origin server response.setHeader("Cache-Control","no-store"); //Directs caches not to store the page under any circumstance response.setDateHeader("Expires", 0); //Causes the proxy cache to see the page as "stale" response.setHeader("Pragma","no-cache"); //HTTP 1.0 backward compatibility String userName = (String) session.getAttribute("User"); if (null == userName) { request.setAttribute("Error", "Session has ended. Please login."); RequestDispatcher rd = request.getRequestDispatcher("login.jsp"); rd.forward(request, response); } //... |
通过讄头信息和查HttpSession中的用户名确保了览器不~存面Q同Ӟ如果用户未登陆,受保护的JSP面不会发送到览器,取而代之的是登陆面login.jsp?BR>
q行logoutSampleJSP2
q行logoutSampleJSP2后将回看到如下结果:
1) 当用户退出后试图点击后退按钮Q浏览器q不会显C受保护的页面,它只会现实登陆页login.jsp同时l出提示信息Session has ended. Please log in.
2) 然而,当按了后退按钮q回的页是处理用h交数据的面ӞIE和Avant览器将弹出如下信息提示Q?BR>
警告Q页面已q期……(你肯定见q)
选择h后前一个JSP面重新显C在览器中。很昄Q这不是我们所想看到的因ؓ它违背了logout动作的目的。发生这一现象Ӟ很可能是一个恶意用户在试获取其他用户的数据。然而,q个问题仅仅出现在后退按钮对应的是一个处理POSTh的页面?BR>
记录最后登陆时?/B>
上述问题之所以出现是因ؓ览器将其缓存中的数据重新提交了。这本文的例子中Q数据包含了用户名和密码。无论是否给出安全警告信息,览器此时vC负面作用?BR>
Z解决logoutSampleJSP2中出现的问题QlogoutSampleJSP3的login.jsp在包含username和password的基上还包含了一个称作lastLogon的隐藏表单域Q此表单域动态的用一个long型值初始化。这个long型值是调用System.currentTimeMillis()获取到的?970q??日以来的毫秒数。当login.jsp中的form提交ӞloginAction.jsp首先隐藏域中的g用户数据库中的D行比较。只有当lastLogon表单域中的值大于数据库中的值时Web应用才认是个有效的登陆?BR>
Z验证登陆Q数据库中lastLogon字段必须以表单中的lastLogonD行更新。上例中Q当览器重复提交数据时Q表单中的lastLogong比数据库中的lastLogon值大Q因此,loginAction转到login.jsp面Qƈ提示Session has ended.Please log in.清单5是loginAction中节选的代码D:
清单5
| //... RequestDispatcher rd = request.getRequestDispatcher("home.jsp"); //Forward to homepage by default //... if (rs.getString("password").equals(password)) { //If valid password long lastLogonDB = rs.getLong("lastLogon"); if (lastLogonForm Q?lastLogonDB) { session.setAttribute("User", userName); //Saves username string in the session object stmt.executeUpdate("update USER set lastLogon= " + lastLogonForm + " where userName = '" + userName + "'"); } else { request.setAttribute("Error", "Session has ended. Please login."); rd = request.getRequestDispatcher("login.jsp"); } } else { //Password does not match, i.e., invalid user password request.setAttribute("Error", "Invalid password."); rd = request.getRequestDispatcher("login.jsp"); } //... rd.forward(request, response); //... |
Z实现上述ҎQ你必须记录每个用户的最后登陆时间。对于采用关pd数据库安全域来说Q这点可以可以通过在某个表中加上lastLogin字段L实现。LDAP以及其他的安全域需要稍微动下脑{,但很昄是可以实现的?BR>
表示最后登陆时间的Ҏ有很多。示例logoutSampleJSP3利用了自1970q??日以来的毫秒数。这个方法在许多人在不同览器中用一个用戯̎L陆时也是可行的?BR>
q行logoutSampleJSP3
q行CZlogoutSampleJSP3展C如何正处理退出问题。一旦用户退出,点击览器上的后退按钮在Q何情况下都不会是受保护的面在浏览器上显C出来。这个示例展CZ如何正确处理退出问题而不需要额外的培训?BR>
Z使代码更l有效,一些冗余的代码可以剔除掉。一U途径是把清?中的代码写到一个单独的JSP中Q通过标签Qjsp:includeQ其他页面也可以引用?BR>
Struts框架下的退出实?/B>
与直接用JSP或JSP/servlets相比Q另一个可选的Ҏ是用Struts。ؓ一个基于Struts的Web应用d一个处理退出问题的框架可以优雅CҎ力的实现。这部分归功于Struts是采用MVC设计模式的因此将模型和视图清晰的分开。另外,Java是一个面向对象的语言Q其支持l承Q可以比JSP中的脚本更ؓҎ地实C码重用。在Struts中,清单4中的代码可以从JSP面中移植到Actioncȝexecute()Ҏ中?BR>此外Q我们还可以定义一个承Struts Actioncȝ基本c,其execute()Ҏ中包含了清单4中的代码。通过使用cȝ承机Ӟ其他cd以承基本类中的通用逻辑来设|HTTP头信息以及检索HttpSession对象中的username字符丌Ӏ这个基本类是一个抽象类q定义了一个抽象方法executeAction()。所有承自基类的子c都应实现exectuteAction()Ҏ而不是覆盖它。清?是基cȝ部分代码Q?BR>
清单6
| public abstract class BaseAction extends Action { public ActionForward execute(ActionMapping mapping, ActionForm form,HttpServletRequest request, HttpServletResponse response) throws IOException, ServletException { response.setHeader("Cache-Control","no-cache"); //Forces caches to obtain a new copy of the page from the origin server response.setHeader("Cache-Control","no-store"); //Directs caches not to store the page under any circumstance response.setDateHeader("Expires", 0); //Causes the proxy cache to see the page as "stale" response.setHeader("Pragma","no-cache"); //HTTP 1.0 backward compatibility if (!this.userIsLoggedIn(request)) { ActionErrors errors = new ActionErrors(); errors.add("error", new ActionError("logon.sessionEnded")); this.saveErrors(request, errors); return mapping.findForward("sessionEnded"); } return executeAction(mapping, form, request, response); } protected abstract ActionForward executeAction(ActionMapping mapping, ActionForm form, HttpServletRequest request, HttpServletResponse response) throws IOException, ServletException; private boolean userIsLoggedIn(HttpServletRequest request) { if (request.getSession().getAttribute("User") == null) { return false; } return true; } } |
清单6中的代码与清?中的很相像,仅仅只是用ActionMapping findForward替代了RequestDispatcher forward。清?中,如果在HttpSession中未扑ֈusername字符ԌActionMapping对象找到名为sessionEnded的forward元素q蟩转到对应的path。如果找CQ子cd执行其实CexecuteAction()Ҏ的业务逻辑。因此,在配|文件struts-web.xml中ؓ所有子cd明个一名ؓsessionEnded的forward元素是必ȝ。清?以secure1 action阐明了这样一个声明:
清单7
| Qaction path="/secure1" type="com.kevinhle.logoutSampleStruts.Secure1Action" scope="request"Q?BR>Qforward name="success" path="/WEB-INF/jsps/secure1.jsp"/Q?BR>Qforward name="sessionEnded" path="/login.jsp"/Q?BR>Q?actionQ?/TD> |
l承自BaseActioncȝ子类Secure1Action实现了executeAction()Ҏ而不是覆盖它。Secure1ActioncM执行M退Z码,如清?Q?BR>
| public class Secure1Action extends BaseAction { public ActionForward executeAction(ActionMapping mapping, ActionForm form, HttpServletRequest request, HttpServletResponse response) throws IOException, ServletException { HttpSession session = request.getSession(); return (mapping.findForward("success")); } } |
只需要定义一个基c而不需要额外的代码工作Q上q解x案是优雅而有效的。不怎样Q将通用的行为方法写成一个承StrutsAction的基cL许多Struts目的共同经验,值得推荐?BR>
l论
本文阐述了解决退出问题的ҎQ尽方案简单的令h惊讶Q但却在所有情况下都能有效地工作。无论是对JSPq是StrutsQ所要做的不q是写一D不过50行的代码以及一个记录用h后登陆时间的Ҏ。在Web应用中合用这些方案能够拥护的私人数据不致泄Ԍ同时Q也能增加用Ll验?img src ="http://m.tkk7.com/rkind/aggbug/19726.html" width = "1" height = "1" />
]]>
Struts的TokenQo牌)机制能够很好的解册单重复提交的问题Q基本原理是Q服务器端在处理到达的请求之前,会将h中包含的令牌?/I>与保存在当前用户会话中的令牌D行比较,看是否匹配。在处理完该h后,且在{复发送给客户端之前,会产生一个新的o牌,该o牌除传给客户端以外,也会用户会话中保存的旧的o牌进行替换。这样如果用户回退到刚才的提交面q再ơ提交的话,客户端传q来的o牌就和服务器端的令牌不一_从而有效地防止了重复提交的发生?/P>
q时其实也就是两点,W一Q你需要在h中有q个令牌|h中的令牌值如何保存,其实和我们qx在页面中保存一些信息是一LQ通过隐藏字段来保存,保存的Ş式如Q?〈input type="hidden" name="org.apache.struts.taglib.html.TOKEN" value="6aa35341f25184fd996c4c918255c3ae"〉,q个value是TokenProcessorcM的generateToken()获得的,是根据当前用Lsession id和当前时间的long值来计算的。第二:在客L提交后,我们要根据判断在h中包含的值是否和服务器的令牌一_因ؓ服务器每ơ提交都会生成新的TokenQ所以,如果是重复提交,客户端的Token值和服务器端的Token值就会不一致。下面就以在数据库中插入一条数据来说明如何防止重复提交?/P>
在Action中的addҎ中,我们需要将Token值明的要求保存在页面中Q只需增加一条语句:saveToken(request);Q如下所C:
public ActionForward add(ActionMapping mapping, ActionForm form,
HttpServletRequest request, HttpServletResponse response)
//前面的处理省?BR>saveToken(request);
return mapping.findForward("add");
}在Action的insertҎ中,我们Ҏ表单中的Tokeng服务器端的Token值比较,如下所C:
public ActionForward insert(ActionMapping mapping, ActionForm form,
HttpServletRequest request, HttpServletResponse response)
if (isTokenValid(request, true)) {
// 表单不是重复提交
//q里是保存数据的代码
} else {
//表单重复提交
saveToken(request);
//其它的处理代?BR>}
}
其实使用h很简单,举个最单、最需要用这个的例子Q?BR>一般控刉复提交主要是用在Ҏ据库操作的控制上Q比如插入、更新、删除等Q由于更新、删除一般都是通过id来操作(例如QupdateXXXById, removeXXXByIdQ,所以这cL作控制的意义不是很大Q不排除个别现象Q,重复提交的控制也׃要是在插入时的控制了?BR>
先说一下,我们目前所做项目的情况Q?BR>目前的项目是用StrutsQSpringQIbatisQ页面用jstlQStruts复杂View层,Spring在Service层提供事务控ӞIbatis是用来代替JDBCQ所有页面的讉K都不是直接访问jspQ而是讉KStructs的ActionQ再由Action来ForwardC个JspQ所有针Ҏ据库的操作,比如取数据或修改数据Q都是在Action里面完成Q所有的Action一般都l承BaseDispatchActionQ这个是自己建立的类Q目的是为所有的Action做一些统一的控Ӟ在Struts层,对于一个功能,我们一般分Z个ActionQ一个Action里的功能是不需要调用Struts的验证功能的Q常见的Ҏ名称有add,edit,remove,view,listQ,另一个是需要调用Struts的验证功能的Q常见的Ҏ名称有insert,updateQ?BR>
拿论坛发脓来说吧,论坛发脓首先需要蟩转到一个页面,你可以填写帖子的主题和内容,填写完后Q单几Z提交”,贴子发表了Q所以这里经q两个步骤:
1、{C个新增的面Q在Action里我们一般称为addQ例如:
public ActionForward add(ActionMapping mapping, ActionForm form,
HttpServletRequest request, HttpServletResponse response)
throws Exception {
//q一句是输出调试信息Q表CZ码执行到q一D了
log.debug(":: action - subject add");
//your code here
//q里保存Token?BR> saveToken(request);
//跌{到add面Q在Structs-config.xml里面定义Q例如,跌{到subjectAdd.jsp
return mapping.findForward("add");
}
2、在填写标题和内容后Q选择 提交 Q会提交到insertҎQ在insertҎ里判断,是否重复提交了?BR>public ActionForward insert(ActionMapping mapping, ActionForm form,
HttpServletRequest request, HttpServletResponse response){
if (isTokenValid(request, true)) {
// 表单不是重复提交
//q里是保存数据的代码
} else {
//表单重复提交
saveToken(request);
//其它的处理代?BR>}
}
下面更详l一点(注意Q下面所有的代码使用全角括号Q:
1、你惛_贴时Q点几Z我要发贴”链接的代码可以里这LQ?BR>〈html:link action="subject.do?method=add"〉我要发贴?html:link?BR>subject.do ?method q些在struct-config.xml如何定义我就不说了,点击链接后,会执行subject.do的addҎQ代码如上面说的Q蟩转到subjectAdd.jsp面。页面的代码大概如下Q?BR>〈html:form action="subjectForm.do?method=insert"?BR> 〈html:text property="title" /?BR> 〈html:textarea property="content" /?BR> 〈html:submit property="发表" /?BR> 〈html:reset property="重填" /?BR>〈html:form?BR>如果你在addҎ里加了“saveToken(request);”这一句,那在subjectAdd.jsp生成的页面上Q会多一个隐藏字D,cM于这栗input type="hidden" name="org.apache.struts.taglib.html.TOKEN" value="6aa35341f25184fd996c4c918255c3ae"〉,
2、点d表后Q表单提交到subjectForm.do里的insertҎ后,你在insertҎ里要表单的数据插入到数据库中,如果没有q行重复提交的控Ӟ那么每点Mơ浏览器的刷新按钮,都会在数据库中插入一条相同的记录Q增加下面的代码Q你可以控制用L重复提交了?BR>if (isTokenValid(request, true)) {
// 表单不是重复提交
//q里是保存数据的代码
} else {
//表单重复提交
saveToken(request);
//其它的处理代?BR>}
注意Q你必须在addҎ里用了saveToken(request)Q你才能在insert里判断,否则Q你每次保存操作都是重复提交?BR>C一点,Struts在你每次讉KAction的时候,都会产生一个o牌,保存在你的Session里面Q如果你在Action里的函数里面Q用了saveToken(request);Q那么这个o牌也会保存在q个Action所Forward到的jsp所生成的静态页面里?BR>如果你在你Action的方法里使用了isTokenValidQ那么Struts会将你从你的request里面去获取这个o牌|然后和Session里的令牌值做比较Q如果两者相{,׃是重复提交,如果不相{,是重复提交了?BR>
׃我们目的所有Action都是l承自BaseDispatchActionq个c,所以我们基本上都是在这个类里面做了表单重复提交的控Ӟ默认是控制addҎ和insertҎQ如果需要控制其它的ҎQ就自己手动写上面这些代码,否则是不需要手写的Q控制的代码如下Q?BR>public abstract class BaseDispatchAction extends BaseAction {
protected ActionForward perform(ActionMapping mapping, ActionForm form,
HttpServletRequest request, HttpServletResponse response)
throws Exception {
String parameter = mapping.getParameter();
String name = request.getParameter(parameter);
if (null == name) { //如果没有指定 method Q则默认?list
name = "list";
}
if ("add".equals(name)) {
if ("add".equals(name)) {
saveToken(request);
}
} else if ("insert".equals(name)) {
if (!isTokenValid(request, true)) {
resetToken(request);
saveError(request, new ActionMessage("error.repeatSubmit"));
log.error("重复提交Q?);
return mapping.findForward("error");
}
}
return dispatchMethod2(mapping, form, request, response, name);
}
}
]]>
1首先定义一个beanQ最有两个属性,每个属性都有set和get的方?BR>2定义一个业务逻辑c,重复从数据库中读取纪录ؓBean赋|这些beand入一个Collection
3collection攑օ到Request中?BR>4在JSP中用
Q首先实C个user的beanQ该bean有两个属?name,id,每个属性都有对应set和get的方?BR>比如name有Qsetname()和getname()的方?BR>2定义一个逻辑c,GetUserList
select * from User;
Collection listuser;
while(rs.next()){
user.setname(rs.getString(username));
....
listuser.add(user);
}
3比如list.jsp做ؓ要显CZ拉菜单的面Q那么在/list 对应的action ListUser中应?BR>request.setAttribute("userlist",user);
4,在list.jsp中用
卛_
不过q样昄的只是简单的菜单Q要实现能动态得跌{得不知道用什么办?IMG height=19 src="http://m.tkk7.com/Emoticons/angry_smile.gif" width=19 border=0>
]]>
1、“No bean found under attribute key XXX?BR> 在struts-config.xml里定义了一个ActionFormQ但type属性指定的cM存在Qtype属性的值应该是Formcȝ全名。或者是Q在Action的定义中Qname或attribute属性指定的ActionForm不存在?BR>
2、“Cannot find bean XXX in any scope?BR> 在Action里一般会request.setAttribute()一些对象,然后在{向的jsp文g里(用tag或request.getAttribute()ҎQ得到这些对象ƈ昄出来。这个异常是说jsp要得C个对象,但前面的Action里ƈ没有对象设|到requestQ也可以是session、servletContextQ里?BR>可能是名字错了,h查jsp里的tag的一般是name属性,或getAttribute()Ҏ的参数|或者是Action逻辑有问题没有执行setAttribute()Ҏ先转向了?BR>q有另外一个可能,Ua是jsp文g的问题,例如<logic:iterate>会指定一个id|然后在@环里<bean:write>使用q个g为name的|如果q两个g同,也会出现此异常。(都是一个道理,request里没有对应的对象。)
3、“Missing message for key "XXX"?BR> ~少所需的资源,查ApplicationResources.properties文g里是否有jsp文g里需要的资源Q例如:
<bean:message key="msg.name.prompt"/>
q行代码会找msg.name.prompt资源Q如果AppliationResources.properties里没有这个资源就会出现本异常。在使用多模块时Q要注意在模块的struts-config-xxx.xml里指定要使用的资源文件名Uͼ否则当然什么资源也找不刎ͼq也是一个很Ҏ犯的错误?BR>
4、“No getter method for property XXX of bean teacher?BR> q条异常信息说得很明白,jsp里要取一个bean的属性出来,但这个beanq没有这个属性。你应该查jsp中某个标{property属性的倹{例如下面代码中的cade应该改ؓcode才对Q?BR> <bean:write name="teacher" property="cade" filter="true"/>
5、“Cannot find ActionMappings or ActionFormBeans collection?BR> 待解冟?BR>
6、“Cannot retrieve mapping for action XXX?BR> ?jsp?lt;form>标签里指定action='/XXX'Q但q个Actionq未在struts-config.xml里设|过?BR>
7、HTTP Status 404 - /xxx/xxx.jsp
Forward的path属性指向的jsp面不存在,h查\径和模块Q对于同一模块中的Action转向Qpath中不应包含模块名Q模块间转向Q记住用contextRelative="true"?BR>
8、没有Q何异怿息,昄I白面
可能是Action里用的forward与struts-config.xml里定义的forward名称不匹配?BR>
9、“The element type "XXX" must be terminated by the matching end-tag "XXX".?BR> q个是struts-config.xml文g的格式错误,仔细查它是否是良构的xml文gQ关于xml文g的格式这里就不赘qC?BR>
10、“Servlet.init() for servlet action threw exception?BR> 一般出现这U异常在后面会显CZ个关于ActionServlet的异常堆栈信息,其中指出了异常具体出现在代码的哪一行。我曄遇到的一ơ提C如下:
java.lang.NullPointerException
at org.apache.struts.action.ActionServlet.parseModuleConfigFile(ActionServlet.java:1003)
at org.apache.struts.action.ActionServlet.initModuleConfig(ActionServlet.java:955)
决问题,先下载struts的源码包Q然后在ActionServlet.java的第1003行插入断点,q对各变量进行监视。很丢hQ我竟然把struts-config.xml文g弄丢了,因此出现了上面的异常Q应该是和CVS同步时不心删除的?BR>
11、“Resources not defined for Validator?BR> q个是利用Validator插g做验证时可能出现的异常,q时你要查validation.xml文gQ看里面使用的资源是否确实有定义Qform的名U是否正,{等?/TD>
]]>