Struts-2.5 Action動(dòng)態(tài)調(diào)用與通配調(diào)用無效解決辦法
標(biāo)簽(空格分隔): 后端技術(shù)學(xué)習(xí)
一、問題引入
1. 動(dòng)態(tài)方法調(diào)用的使用
在實(shí)際開發(fā)中,隨著應(yīng)用程序的不斷擴(kuò)大,不得不管理數(shù)量龐大的Action江醇,為了減少Action空幻,通常在一個(gè)Action中編寫不同方法(必須遵從execute()方法相同的格式)出來不同的請求,如編寫LoginAction悲伶,其中l(wèi)ogin()方法處理登錄,register()方法處理注冊請求住涉,此時(shí)可以采用動(dòng)態(tài)方法調(diào)用來處理
如:
class LoginAction{
public String login(){}
public String register(){}
}
調(diào)用方式則可以<form action="LoginAction!login">
或通過<form action="LoginAction!register">
2. 通配符的使用
在Strust2 的使用中麸锉,可能同一類型的多個(gè)Action類有各自的處理邏輯,如UserAction中有l(wèi)ogin()舆声、registe()方法花沉,RecordAction中有create()、querry()媳握、delete()方法碱屁。為了不使Strust.xml配置文件看起來肥胖,所以經(jīng)常需要使用到通配符
<action name="*_*Action" class="example.{1}Action" method="{2}">
<result>/{2}.jsp</result>
</action>
其中{1}蛾找、{2}分別對應(yīng)的是*_*action
中的第一個(gè)'*'和第二個(gè)'*',如調(diào)用user_loginAction則<Action>
元素中的class就被設(shè)置成了example.userAction娩脾。
二、出現(xiàn)在Strust2-2.3的限制
以上內(nèi)容在Strust2-2.3以下的版本都能夠很好的使用打毛,但是由于安全性的原因Strust2-2.3以上對此功能進(jìn)行了如下限制
- 在Strust2-2.3版本中添加了嚴(yán)格限制動(dòng)態(tài)方法調(diào)用DMI的選項(xiàng)柿赊。設(shè)置
strict-method-invocation="true"
這個(gè)屬性在你的<package>
元素上面俩功,這將告訴Strust2 拒絕所有沒有被預(yù)期允許的方法調(diào)用,也就是不再允許調(diào)用沒有寫在<action>
中method
和<allowed-methods>
中的方法碰声,否則調(diào)用瀏覽器會(huì)提示你
HTTP Status 404 - There is no Action mapped for namespace [/] and action name [regist_Action] associated with context path [/wildcard1]
啟用SMI嚴(yán)格方法調(diào)用模式诡蜓,所以你配置需要寫成這樣:
<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE struts PUBLIC
"-//Apache Software Foundation//DTD Struts Configuration 2.3//EN"
"http://struts.apache.org/dtds/struts-2.3.dtd">
<struts>
<constant name="struts.enable.DynamicMethodInvocation" value="true"/>
<package name="default" extends="struts-default" strict-method-invocation="true">
<action name="userAction" class="examples.actions.UserAction">
<result name="success">/WEB-INF/content/index.jsp</result>
<allowed-methods>login,registe</allowed-methods>
</action>
</package>
</struts>
取消SMI嚴(yán)格方法調(diào)用模式,所以你配置需要寫成這樣:
<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE struts PUBLIC
"-//Apache Software Foundation//DTD Struts Configuration 2.3//EN"
"http://struts.apache.org/dtds/struts-2.3.dtd">
<struts>
<constant name="struts.enable.DynamicMethodInvocation" value="false"/>
<package name="default" extends="struts-default" strict-method-invocation="false">
<action name="userAction" class="examples.actions.UserAction">
<result name="success">/WEB-INF/content/index.jsp</result>
</action>
</package>
</struts>
然后通過
<form action="LoginAction!login">
的方式去調(diào)用
三奥邮、出現(xiàn)在Strust2-2.5 的限制
在Strust2-2.5版本中嚴(yán)格的DMI被SMI( Strict Method Invocation)所繼承万牺,同時(shí)SMI被默認(rèn)啟用(所有繼承 struts-default 的包,strict-method-invocation 的屬性被默認(rèn)設(shè)置為了true )洽腺。同時(shí)你可以對單個(gè)包禁用SMI脚粟,但是沒有一種全局的方式去禁用整個(gè)Strust項(xiàng)目的SMI限制
如果使用的是Strust2-2.5版本你的DTD的正確的格式應(yīng)該是這樣,否則會(huì)提示一些屬性找不到的錯(cuò)誤蘸朋,以及未知的錯(cuò)誤核无。
<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE struts PUBLIC
"-//Apache Software Foundation//DTD Struts Configuration 2.5//EN"
"http://struts.apache.org/dtds/struts-2.5.dtd">
<struts>
...
</struts>
這種情況下如果你按照原先在Strust2-2.3以下的配置,那么之前的動(dòng)態(tài)調(diào)用以及通配調(diào)用將被默認(rèn)的禁用藕坯,action請求將提示如下錯(cuò)誤
HTTP Status 404 - There is no Action mapped for namespace [/] and action name [regist_Action] associated with context path [/wildcard1]
四团南、解決辦法
(一)、比較粗魯?shù)慕鉀Q方式
- 啟用DMI動(dòng)態(tài)方法調(diào)用
<constant name="struts.enable.DynamicMethodInvocation" value="true" />
- 添加SMI嚴(yán)格方法調(diào)用中的可用通配符
<constant name="struts.strictMethodInvocation.methodRegex" value="([A-Za-z0-9_$]*)" />
- 禁用SMI嚴(yán)格方法調(diào)用
<package name="default" namespace="/" extends="struts-default" strict-method-invocation="false">
然后你就可以開啟通配符匹配炼彪,和動(dòng)態(tài)調(diào)用吐根。如下:
<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE struts PUBLIC
"-//Apache Software Foundation//DTD Struts Configuration 2.5//EN"
"http://struts.apache.org/dtds/struts-2.5.dtd">
<struts>
<constant name="struts.enable.DynamicMethodInvocation" value="true" />
<constant name="struts.strictMethodInvocation.methodRegex"
value="([A-Za-z0-9_$]*)" />
<package name="default" namespace="/" extends="struts-default"
strict-method-invocation="false">
<action name="student*_*" class="com.hwl.action.Student{1}Action"
method="{2}">
<result name="success">jsp/index.jsp</result>
<result name="scan">jsp/edit.jsp</result>
<result name="full">jsp/add.jsp</result>
</action>
</package>
</struts>
(二)、安全的方式
直接讓全局禁止嚴(yán)格動(dòng)態(tài)調(diào)用辐马,會(huì)導(dǎo)致一些不安全的影響拷橘。可以采取如下方式進(jìn)行較對指定的action開放喜爷,從而實(shí)現(xiàn)較安全的配置
- 為每個(gè)
<action>
配置<allowed-methods/>
冗疮,使得可以動(dòng)態(tài)的訪問被allowed-methods下的方法
<package ...>
...
<global-allowed-methods>execute,input,back,cancel,browse</global-allowed-methods>
...
<action name="Bar">
<allowed-methods>foo,bar</allowed-methods>
</action>
...
</package>
- 為每個(gè)需要使用動(dòng)態(tài)調(diào)用的方法添加
@AllowedMethods
,被@AllowedMethods
包含的方法可以被動(dòng)態(tài)調(diào)用
@AllowedMethods("end")
public class ClassLevelAllowedMethodsAction {
public String execute() {
return ...
}
}
- 或者是向整個(gè)
<package>
添加<global-allowed-methods/>
<package ...>
...
<global-allowed-methods>execute,input,back,cancel,browse</global-allowed-methods>
...
<action name="Bar">
<allowed-methods>foo,bar</allowed-methods>
</action>
...
</package>
- 為package 添加注解
@org.apache.struts2.convention.annotation.AllowedMethods()
@org.apache.struts2.convention.annotation.AllowedMethods({"home", "start"})
package org.apache.struts2.convention.actions.allowedmethods;
總結(jié)
每一個(gè)版本都在不停地為安全檩帐、效率進(jìn)行升級术幔,每一個(gè)版本相對于以前的版本都有修改,很多書籍使用的是老版本的框架進(jìn)行知識(shí)點(diǎn)的講解湃密,所以會(huì)出現(xiàn)一些低版本在高版本下方法不可使用的情況诅挑。對此我們可以去官網(wǎng)上面查看相應(yīng)的修改