跳到主要內容

Struts2 - 攔截HTML或JSP

Problem

許多人都會有在Struts中如何攔截過濾HTML或JSP的需求。使用者想連結至某一個網頁,並不一定會登入才連結。他可能會將有興趣的網頁直接存到我的最愛,下次就直接連過去了。假如他是處於session過期或沒登入的情況呢?也許這個網頁就無法正常顯示了。在Struts中該如何在存取某些網頁前,先做狀態的檢查呢?

How to?

透過Filter

web.xml

如果使用Struts範例中的設定,通常會將所有的URL請求讓struts2處理。在這我們可以增加一個DelegatingFilterProxy,當使用者請求*.html的頁面時,會經過我所實作的DelegatingFilterProxy去確認session狀態。

	<filter>
		<filter-name>struts2</filter-name>
		<filter-class>org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter</filter-class>
	</filter>
	<filter>
		<filter-name>DelegatingFilterProxy</filter-name>
		<filter-class>org.tonylin.funny.web.DelegatingFilterProxy</filter-class>
	</filter>	
	<filter-mapping>
		<filter-name>struts2</filter-name>
		<url-pattern>*</url-pattern>
	</filter-mapping>
	<filter-mapping>
		<filter-name>DelegatingFilterProxy</filter-name>
		<url-pattern>*.html</url-pattern>
	</filter-mapping>	

DelegatingFilterProxy

DelegatingFilterProxy繼承struts的StrutsPrepareAndExecuteFilter。根據我的範例,除了login.html的頁面外,其它的html都必須檢查session中是否有User登入的資料,如果沒有就會將頁面導向login.html。

public class DelegatingFilterProxy extends StrutsPrepareAndExecuteFilter {
	private Logger logger = LoggerFactory.getLogger(DelegatingFilterProxy.class);
	final static private List<String> IGNORE_SESSION_CHECKING_LIST = Arrays.asList("/login.html");
 
	@Override
	public void doFilter(ServletRequest req, ServletResponse res,
			FilterChain chain) throws IOException, ServletException {
		HttpServletRequest request = (HttpServletRequest)req;
		HttpServletResponse response = (HttpServletResponse)res;
 
		String servletPath = request.getServletPath();
		logger.debug("doFilter: {},{}", servletPath,
				IGNORE_SESSION_CHECKING_LIST.indexOf(servletPath));
 
 
		if( SessionUtil.getAttribute(request, SessionKeys.ACCOUNT) == null && IGNORE_SESSION_CHECKING_LIST.indexOf(servletPath) == -1 ){
			response.sendRedirect("login.html");
		} else {
			super.doFilter(req, res, chain);	
		}
	}
 
 
}

透過Interceptor

web.xml

將所有URL請求都交給struts的StrutsPrepareAndExecuteFilter。

	<filter>
		<filter-name>struts2</filter-name>
		<filter-class>org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter</filter-class>
	</filter>
	<filter-mapping>
		<filter-name>struts2</filter-name>
		<url-pattern>*</url-pattern>
	</filter-mapping>

strus.xml

最重要的兩點:

  1. 定義struts.action.extension的constant包含html,讓struts知道html也是屬於Action的一種。
  2. 假設必須登入才能使用的頁面為clientInfo.html,我必須定義一個名為clientInfo的action。它的interceptor為basic-stack,其中包含我所實作的AuthorizationInterceptor。

<struts>
	<constant name="struts.action.extension" value="action,do,html" />
	<package name="default" extends="struts-default">
		<interceptors>
			<interceptor name="loginValidator"
				class="org.tonylin.funny.web.AuthorizationInterceptor" />
			<interceptor-stack name="basic-stack">
				<interceptor-ref name="loginValidator" />
				<interceptor-ref name="defaultStack" />
			</interceptor-stack>
		</interceptors>
 
		<global-results>
			<result name="login">/login.html</result>
		</global-results>
		<action name="clientInfo">
			<interceptor-ref name="basic-stack" />
		</action>
	</package>
</struts>

AuthorizationInterceptor

檢查session是否包含使用者登入的資訊,如果沒有就導入登入頁面,如果有就照原本的流程繼續做下去。

public class AuthorizationInterceptor extends AbstractInterceptor {
	private static final long serialVersionUID = -8706948299919053366L;
	private Logger logger = LoggerFactory.getLogger(AuthorizationInterceptor.class);
 
	@Override
	public String intercept(ActionInvocation arg0) throws Exception {
		logger.debug("Check app session.");
 
		Map<String, Object> session = arg0.getInvocationContext().getSession();
		if( session.get(SessionKeys.ACCOUNT) == null ){
			return Action.LOGIN;
		}
		return arg0.invoke();
	}
}

Summary

兩種方法哪一個好呢? 我個人使用了第一種Filter的方式。因為使用Interceptor的方式,我必須將所有必須要登入才能使用的頁面,都宣告在struts設定檔中。我很懶所以使用了第一種方法。如果使用了第二種方法,為了避免讓html宣告與原本身為Controller的Action宣告容易造成閱讀上的不便,建議可以透過struts2的功能,將html部分的宣告另外拉出成一個設定檔,這部分可以參考Reference 3的做法。

留言

這個網誌中的熱門文章

PostgreSQL - Unattended installation on windows

Introduction 要將別人軟體包裝到自己軟體中,不可或缺的東西就是Unattended installation。以Unattended installation來說,我們可以選擇透過Installer的silent mode安裝,也可以透過把目標軟體做成portable的版本。本篇文章分享這兩種方法,教導大家如何將PostgreSQL透過Unattended installation方式安裝到目標系統成為service。 Note. 本篇以PostgreSQL 10.7為例。 Install with installer Tips 安裝程式或反安裝程式的參數,除了可以直接上官網搜尋Installation User Guide以外,也可以直接使用help參數查詢: postgresql- 10.7 - 2 -windows-x64.exe --help Windows安裝程式主要有EnterpriseDB與BigSQL兩種。BigSQL版本安裝元件是透過網路下載且支援參數不如EnterpriseDB版本多,以我們需求來說,我們傾向於使用EnterpriseDB版本。接下來分享給大家安裝與反安裝方法。 Installation @ echo off set INSTALL_DIR =C:\postgres10 set INSTALLER =postgresql- 10.7 - 2 -windows-x64.exe   rem options for installation set SSMDB_SERVICE =postgresql- 10 set MODE =--unattendedmodeui none --mode unattended   set DB_PASSWD =--superpassword postgres set DB_PORT =--serverport 5432   set SERVICE_NAME =--servicename % SSMDB_SERVICE %   set PREFIX =--prefix "%INSTALL_DIR%" set DATA_DIR =--datadir "%INSTALL_DIR%\data"   set OPTIONS =

How to install RIDE on Windows?

Introduction 多年沒在Windows上開發RobotFramework,趁著這次整理一下RIDE安裝方法。 目前RIDE最新版本與Python對應版本如下: (3.6 < python <= 3.11) Install current released version (2.0.8.1) with: pip install -U robotframework-ride 安裝Python 直接到Python官網找尋最新的3.11版本,我使用3.11.9: link 。安裝就是一直下一步而已。 安裝wxPython 每次安裝RIDE最困難的都是wxPython。看了一下 官網 描述,我就姑且相信一下: 接著進入下 載頁面 就有安裝教學。基本上就是到Python目錄下的Scripts直接執行以下command: pip install -U wxPython 安裝RIDE 接著就如RIDE官網所說,執行以下command: pip install -U robotframework-ride 啟動RIDE 直接在相同目錄下執行ride就可以啟動了,你也可以直接在桌面建ride連結,加快下次啟動時間。 沒想到這次這麼順利就安裝完成了。因為我是使用java去啟動robot framework,就不特別講要怎麼使用pip安裝robot framework了。

Hello World!

即將要搬家,因此舊網頁內容將慢慢轉移至Blogger。 如果要存取舊網頁,可以使用以下連結: https://wiki.tonylin.idv.tw/dokuwiki/doku.php