Struts2源码分析之ParametersInterceptor拦截器

网友投稿 681 2023-08-04

Struts2源码分析之ParametersInterceptor-

Struts2源码分析之ParametersInterceptor-

前言

ParametersInterceptor-其主要功能是把ActionContext中的请求参数设置到ValueStack中,如果栈顶是当前Action则把请求参数设置到了Action中,如果栈顶是一个model(Action实现了ModelDriven接口)则把参数设置到了model中。

下面是该-的doIntercept方法源码:

@Override

public String doIntercept(ActionInvocation invocation) throws Exception {

Object action = invocation.getAction();//获取当前执行的Action对象

if (!(action instanceof NoParameters)) {//判断Action是否实现了NoParameters接口,实现该接口表示该Action没有任何请求参数

ActionContext ac = invocation.getInvocationContext();//获取ActionContext对象

final Map parameters = retrieveParameters(ac);//获取请求参数Map

//省略...

if (parameters != null) {//如果请求参数不为null

Map contextMap = ac.getContextMap();//获取ActionContext内部的context Map,即OgnlContext对象

try {

//省略...

ValueStack stack = ac.getValueStack();//获取值栈

setParameters(action, stack, parameters);//为值栈设置参数

} finally {

//省略...

}

}

}

return invocation.invoke();//调用下一个-

}

setParameters方法才是该-的主要逻辑,现在进入该方法:

protected void setParameters(Object action, ValueStack stack, final Map

ParameterNameAware parameterNameAware = (action instanceof ParameterNameAware)

? (ParameterNameAware) action : null;//判断Action有无实现ParameterNameAware接口

Map params;

Map acceptableParameters;//合法参数集合

//判断参数设置是否有序,ordered默认为false,即无序

if (ordered)cEpNwTOG {

params = new TreeMap(getOrderedComparator());//如果有序则要获取比较器

acceptableParameters = new TreeMap(getOrderedComparator());

params.putAll(parameters);

} else {

params = new TreeMap(parameters);

acceptableParameters = new TreeMap();

}

//迭代请求参数

for (Map.Entry entry : params.entrySet()) {

String name = entry.getKey();

//判断参数是否合法,如果Action实现了ParameterNameAware则acceptableName(name)返回true且parameterNameAware.acceptableParameterName(name)

//也返回true该参数才是合法的;如果Action没有实现ParameterNameAware则参数是否合法由acceptableName(name)方法决定

boolean acceptableName = acceptableName(name) && (parameterNameAware == null || parameterNameAware.acceptableParameterName(name));

//如果参数合法

if (acceptableName) {

acceptableParameters.put(name, entry.getValue());//把合法参数添加到合法参数集合中

}

}

ValueStack newStack = valueStackFactory.createValueStack(stack);

//省略...

for (Map.Entry entry : acceptableParameters.entrySet()) {//迭代合法参数

String name = entry.getKey();//参数名

Object value = entry.getValue();//参数值

try {

newStack.setValue(name, value);//将该参数设置到ValueStack中

} catch (RuntimeException e) {

//省略...

}

}

//省略...

//看该方法的名称是将合法参数添加到ActionContext中,但在该-中,该方法为空实现,无任何代码

//该方法被声明为protected,即子类可以覆盖该方法以改变行为

addParametersToContext(ActionContext.getContext(), acceptableParameters);

}

根据上面的注释大家应该可以发现该setParameters方法逻辑还是很明确的,就是先判断提交过来的参数是否合法,因为提交过来的参数会影响到值栈所以struts2要对提交过来的参数进行合法性检查,以防止恶意用户的攻击,凡是请求参数中表达式中含有等号(=),逗号(,),#号(#)的都是非法表达式,现在就去看一下具体是如何判断一个参数是否合法的。

上面注释也讲到了,如果Action实现了ParameterNameAware,即要判断ParameterNameAware接口中声明的acceptableParameterName(name)方法(逻辑由自己实现)也要判断该-的acceptableName(name)方法,我们这里假设Action没有实现ParameterNameAware接口,参数是否合法由acceptableName(name)方法决定,下面是该方法源码:

protected boolean acceptableName(String name) {

//调用isAccepted与isExcluded方法判断

if (isAccepted(name) && !isExcluded(name)) {

return true;

}

return false;

}

isAccepted与isExcluded方法源码:

protected boolean isAccepted(String paramName) {

if (!this.acceptParams.isEmpty()) {

for (Pattern pattern : acceptParams) {

Matcher matcher = pattern.matcher(paramName);

if (matcher.matches()) {

return true;

}

}

return false;

} else

return acceptedPattern.matcher(paramName).matches();

}

protected boolean isExcluded(String paramName) {

if (!this.excludeParams.isEmpty()) {

for (Pattern pattern : excludeParams) {

Matcher matcher = pattern.matcher(paramName);

if (matcher.matches()) {

return true;

}

}

}

return false;

}

上面说到了该-配置了参数过滤,配置了一个名为excludeParams的参数,用于指定哪些参数要排除,即不合法,我们传递的时候是字符串在设置该字符串的时候该-会对该字符串进行解析转化成相应的Pattern对象以用于正则表达式校验,而isAccepted与isExcluded方法中就是在用这些正则表达式进行检验,逻辑很简单,就说这么多。

最终进行参数赋值是调用的ValueStack的setValue方法,该方法内部使用是OGNL表达式引擎进行赋值的,虽然内部非常复杂,但我们只需要知道OGNL表达式引擎在把请求参数设置到ValueStack中时,是从栈顶往栈底寻找有相应setter方法的对象,如果正在赋值的参数在ValueStack找到了一个对象有setter方法则把该参数的值赋给该对象,如果没有找到则继承往栈底寻找,直到找到为止,如果找到栈底还是没有找到也就没有赋值成功。

到此该-就讲解完毕了,最后调用invocation.invoke();调用下一个-......

ParameterNameAware parameterNameAware = (action instanceof ParameterNameAware)

? (ParameterNameAware) action : null;//判断Action有无实现ParameterNameAware接口

Map params;

Map acceptableParameters;//合法参数集合

//判断参数设置是否有序,ordered默认为false,即无序

if (ordered)cEpNwTOG {

params = new TreeMap(getOrderedComparator());//如果有序则要获取比较器

acceptableParameters = new TreeMap(getOrderedComparator());

params.putAll(parameters);

} else {

params = new TreeMap(parameters);

acceptableParameters = new TreeMap();

}

//迭代请求参数

for (Map.Entry entry : params.entrySet()) {

String name = entry.getKey();

//判断参数是否合法,如果Action实现了ParameterNameAware则acceptableName(name)返回true且parameterNameAware.acceptableParameterName(name)

//也返回true该参数才是合法的;如果Action没有实现ParameterNameAware则参数是否合法由acceptableName(name)方法决定

boolean acceptableName = acceptableName(name) && (parameterNameAware == null || parameterNameAware.acceptableParameterName(name));

//如果参数合法

if (acceptableName) {

acceptableParameters.put(name, entry.getValue());//把合法参数添加到合法参数集合中

}

}

ValueStack newStack = valueStackFactory.createValueStack(stack);

//省略...

for (Map.Entry entry : acceptableParameters.entrySet()) {//迭代合法参数

String name = entry.getKey();//参数名

Object value = entry.getValue();//参数值

try {

newStack.setValue(name, value);//将该参数设置到ValueStack中

} catch (RuntimeException e) {

//省略...

}

}

//省略...

//看该方法的名称是将合法参数添加到ActionContext中,但在该-中,该方法为空实现,无任何代码

//该方法被声明为protected,即子类可以覆盖该方法以改变行为

addParametersToContext(ActionContext.getContext(), acceptableParameters);

}

根据上面的注释大家应该可以发现该setParameters方法逻辑还是很明确的,就是先判断提交过来的参数是否合法,因为提交过来的参数会影响到值栈所以struts2要对提交过来的参数进行合法性检查,以防止恶意用户的攻击,凡是请求参数中表达式中含有等号(=),逗号(,),#号(#)的都是非法表达式,现在就去看一下具体是如何判断一个参数是否合法的。

上面注释也讲到了,如果Action实现了ParameterNameAware,即要判断ParameterNameAware接口中声明的acceptableParameterName(name)方法(逻辑由自己实现)也要判断该-的acceptableName(name)方法,我们这里假设Action没有实现ParameterNameAware接口,参数是否合法由acceptableName(name)方法决定,下面是该方法源码:

protected boolean acceptableName(String name) {

//调用isAccepted与isExcluded方法判断

if (isAccepted(name) && !isExcluded(name)) {

return true;

}

return false;

}

isAccepted与isExcluded方法源码:

protected boolean isAccepted(String paramName) {

if (!this.acceptParams.isEmpty()) {

for (Pattern pattern : acceptParams) {

Matcher matcher = pattern.matcher(paramName);

if (matcher.matches()) {

return true;

}

}

return false;

} else

return acceptedPattern.matcher(paramName).matches();

}

protected boolean isExcluded(String paramName) {

if (!this.excludeParams.isEmpty()) {

for (Pattern pattern : excludeParams) {

Matcher matcher = pattern.matcher(paramName);

if (matcher.matches()) {

return true;

}

}

}

return false;

}

上面说到了该-配置了参数过滤,配置了一个名为excludeParams的参数,用于指定哪些参数要排除,即不合法,我们传递的时候是字符串在设置该字符串的时候该-会对该字符串进行解析转化成相应的Pattern对象以用于正则表达式校验,而isAccepted与isExcluded方法中就是在用这些正则表达式进行检验,逻辑很简单,就说这么多。

最终进行参数赋值是调用的ValueStack的setValue方法,该方法内部使用是OGNL表达式引擎进行赋值的,虽然内部非常复杂,但我们只需要知道OGNL表达式引擎在把请求参数设置到ValueStack中时,是从栈顶往栈底寻找有相应setter方法的对象,如果正在赋值的参数在ValueStack找到了一个对象有setter方法则把该参数的值赋给该对象,如果没有找到则继承往栈底寻找,直到找到为止,如果找到栈底还是没有找到也就没有赋值成功。

到此该-就讲解完毕了,最后调用invocation.invoke();调用下一个-......

版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。

上一篇:SpringBoot中使用Filter和Interceptor的示例代码
下一篇:浅析scala中map与flatMap的区别
相关文章

 发表评论

暂时没有评论,来抢沙发吧~