在Struts 2.0中实现表单数据校验(Validation)
AllInputIsEvil!
-Writing secure code在写前几篇文章的时候,有些朋友建议我的写一篇关于表单数据校验的文章。 正如文章的开头所引用的《Writing Secure Code》的名言:“所有的输入都是罪恶的”,所以我们应该对所有的外部输入进行校验。而表单是应用程序最简单的入口,对其传进来的数据,我们必须进行校 验。
转换与校验(Conversion & Validation)
其实上篇文章,我本来是打算写表单数据校验的内容,但是经过再三思考后,还是决定先写Struts 2.0转换器的内容。原因是我认为转换是校验的基础,只有在数据被正确地转换成其对应的类型后,我们才可以对其取值范围进行校验。看个例子相信大家可以更 清楚。现在我们就来改造一下《转换器(Converter)——Struts 2.0中的魔术师》的第一个例子。
首先,从Action开始,修改后的代码如下:
package tutorial;importjava.util.Locale;
importcom.opensymphony.xwork2.ActionSupport;
importcom.opensymphony.xwork2.util.LocalizedTextUtil;
publicclassHelloWorldextendsActionSupport{
privateStringmsg;
privateLocaleloc=Locale.US;
publicStringgetMsg(){
returnmsg;
}
publicLocalegetLoc(){
returnloc;
}
publicvoidsetLoc(Localeloc){
this.loc=loc;
}
@Override
publicvoidvalidate(){
System.out.println("Callingvalidate()");
if(!(loc.equals(Locale.US)||loc.equals(Locale.CHINA))){
addFieldError("loc",getText("validation.loc"));
}
}
publicvoidvalidateExecute(){
System.out.println("CallingvalidateExecute()byreflection");
}
@Override
publicStringexecute(){
System.out.println("Callingexecute()");
//LocalizedTextUtil是Struts2.0中国际化的工具类,<s:text>标志就是通过调用它实现国际化的
msg=LocalizedTextUtil.findDefaultText("HelloWorld",loc);
returnSUCCESS;
}
} 然后,修改Struts.xml中Action的定义指明输入地址:
<result>/HelloWorld.jsp</result>
<resultname="input">/HelloWorld.jsp</result>
</ action >接着,在HelloWorld.jsp中加入错误提示:
<%@taglibprefix="s"uri="/struts-tags"%>
<html>
<head>
<title>HelloWorld</title>
</head>
<body>
<divstyle="color:red;">
<s:fielderror/>
</div>
<s:formaction="HelloWorld"theme="simple">
Locale:<s:textfieldname="loc"/> <s:submit/>
</s:form>
<h2><s:propertyvalue="msg"/></h2>
</body>
</ html >再修改LocaleConverter.java文件,将内容改为:
package tutorial;importjava.util.Locale;
importjava.util.Map;
importjava.util.regex.Pattern;
publicclassLocaleConverterextendsognl.DefaultTypeConverter{
@Override
publicObjectconvertValue(Mapcontext,Objectvalue,ClasstoType){
if(toType==Locale.class){
System.out.println("ConvertingStringtoLocale");
Stringlocale=((String[])value)[0];
returnnewLocale(locale.substring(0,2),locale.substring(3));
}elseif(toType==String.class){
System.out.println("ConvertingLocaletoString");
Localelocale=(Locale)value;
returnlocale.toString();
}
returnnull;
}
} 之后,修改国际化资源文件,内容为:
invalid.fieldvalue.loc=Locale必须为\"xx_XX\"的格式
validation.loc=区域必须为中国或美国
invalid.fieldvalue.loc=Localemustlike\"xx_XX\"
validation.loc = Locale must be China or USA发布运行应用程序,在浏览器中键入http://localhost:8080/Struts2_Validation/HelloWorld.action,在Locale中输入zh_CN,按“Submit”提交,效果如上篇文章所示。而在服务器控制台有如下输出:
CallingvalidateExecute()byreflection...
Callingvalidate()...
Callingexecute()...
Converting Locale to String...上述的输出说明了Struts 2.0的数据校验工作方式,它需要经过下面几个步骤:
- 通过转换器将请求参数转换成相应的Bean属性;
- 判断转换过程是否出现异常。如果有,则将其保存到ActionContext中,conversionError拦截器再封装为fieldError;如果没有,进行下一步;
- 通过反射(Reflection)来调用validateXxx()方法(其中,Xxx表示Action的方法名);
- 调用validate()方法;
- 如果经过上述步骤没有出现fieldError,则调用Action方法;如果有,则会跳过Action方法,通过国际化将fieldError输出到页面。
不喜欢看文字的朋友,可以参考下面的图1。
图1 校验顺序图
看到这里可能大家会疑问:“这么多地方可以校验表单数据,到底我应该在那里做呢?”有选择是好事,但抉择的过程往往是痛苦的,往往让人不知所措。如果大家参照以下几点建议,相信会比较容易地做出正确的抉择。
- 如 果需要转换的数据,通常做法在转换的时候做格式的校验,在Action中的校验方法中校验取值。假如用户填错了格式,我们可以通过在资源文件配置 invalid.fieldvalue.xxx(xxx为属性名)来提示用户正确的格式,不同的阶段出错显示不同的信息。具体做法请参考上面的例子;
- 至于用validate()还是validateXxx(),我推荐使用validate()。原因是validateXxx()使用了反射,相对来说性能稍差,而validate()则是通过接口com.opensymphony.xwork2.Validateable调用。当然如果你的表单数据取值是取决于特定Action方法,则应该使用validateXxx()。
在运行上面的例子时,在Locale中输入zh并提交时出现图2所示页面。
图2 错误格式
在Locale中输入de_DE时,出现如图3所示页面。
图3 取值错误
使用Struts 2.0的校验框架
上一节的内容都是关于如何编程实现校验,这部分工作大都是单调的重复。更多情况下,我们使用Struts 2.0的校验框架,通过配置实现一些常见的校验。
我学习编程有个习惯——喜欢先看输出结果,再看代码实现。这样学的好处是先看结果可以刺激学习的激情,也可以在看代码前自已思考一下如何实现,然后带着问题去看代码,那就清晰多了。因此下面我们先来做演示。
首先,在tutorial包下新建ValidationAction.java,代码如下:
package tutorial;importcom.opensymphony.xwork2.ActionSupport;
publicclassValidationActionextendsActionSupport{
privateStringreqiuredString;
publicStringgetReqiuredString(){
returnreqiuredString;
}
publicvoidsetReqiuredString(StringreqiuredString){
this.reqiuredString=reqiuredString;
}
@Override
publicStringexecute(){
returnSUCCESS;
}
} 然后,配置上述所建的Ation,代码片段如下:
<result>/Output.jsp</result>
<resultname="input">/Input.jsp</result>
</ action >接着,创建Input.jsp和Output.jsp,内容分别如下:
<%@taglibprefix="s"uri="/struts-tags"%>
<html