struts的工作原理

Struts1的工作原理Struts1工作原理图：1、初始化：struts框架的总控制器ActionServlet是一个Servlet，它在web.xml中配置成自动启动的Servlet，在启动时总控制器会读取配置文件(struts-config.xml)的配置信息，为struts中不同的模块初始化相应的对象。

(面向对象思想)2、发送请求：用户提交表单或通过URL向WEB服务器提交请求，请求的数据用HTTP协议传给web服务器。

3、form填充：struts的总控制器ActionServlet在用户提交请求时将数据放到对应的form对象中的成员变量中。

4、派发请求：控制器根据配置信息对象ActionConfig将请求派发到具体的Action，对应的formBean一并传给这个Action中的excute()方法。

5、处理业务：Action一般只包含一个excute()方法，它负责执行相应的业务逻辑(调用其它的业务模块)完毕后返回一个ActionForward对象。

服务器通过ActionForward对象进行转发工作。

6、返回响应：Action将业务处理的不同结果返回一个目标响应对象给总控制器。

7、查找响应：总控制器根据Action处理业务返回的目标响应对象，找到对应的资源对象，一般情况下为jsp页面。

8、响应用户：目标响应对象将结果传递给资源对象，将结果展现给用户。

ssh框架启动流程系统从职责上分为四层：表示层、业务逻辑层、数据持久层和域模块层。

其中使用Struts作为系统的整体基础架构，负责MVC的分离，在Struts框架的模型部分，利用Hibernate 框架对持久层提供支持，业务层用Spring支持。

具体做法是：用面向对象的分析方法根据需求提出一些模型，将这些模型实现为基本的Java对象，然后编写基本的DAO接口，并给出Hibernate的DAO实现，采用Hibernate架构实现的DAO类来实现Java类与数据库之间的转换和访问，最后由Spring完成业务逻辑。

Struts开源架构很好的实现了MVC模式，MVC即Model-View-Controller的缩写，是一种常用的设计模式。

MVC 减弱了业务逻辑接口和数据接口之间的耦合，以及让视图层更富于变化。

MVC的工作原理,如下图1所示：Struts 是MVC的一种实现，它将Servlet和JSP 标记（属于J2EE 规范）用作实现的一部分。

Struts继承了MVC的各项特性，并根据J2EE的特点，做了相应的变化与扩展。

下面是Struts实现MVC的原理。

如下图2所示：控制：通过图2大家可以看到有一个XML文件Struts-config.xml，与之相关联的是Controller，，它可以称作为Struts神经中枢。

视图：主要由JSP生成页面完成视图，Struts提供丰富的JSP 标签库：Html，Bean，Logic，Template等，这有利于分开在Struts中，承担MVC中Controller角色的是一个Servlet，叫ActionServlet。

ActionServlet是一个通用的控制组件。

这个控制组件提供了处理所有发送到Struts的HTTP请求的入口点。

它截取和分发这些请求到相应的动作类（这些动作类都是Action类的子类）。

另外控制组件也负责用相应的请求参数填充Action From（通常称之为FromBean）,并传给动作类（通常称之为ActionBean）。

动作类实现核心商业逻辑，它可以访问java bean 或调用EJB。

最后动作类把控制权传给后续的JSP 文件，后者生成视图。

所有这些控制逻辑利用Struts-config.xml文件来配置。

表现逻辑和程序逻辑。

模型：模型以一个或多个java bean的形式存在。

这些bean分为三类：Action Form、Action、JavaBean or EJB。

Action Form通常称之为FormBean，封装了来自于Client的用户请求信息，如表单信息。

Hibernate1.Hibernate 的初始化.读取Hibernate 的配置信息-〉创建Session Factory1)创建Configeration类的实例。

它的构造方法：将配置信息(Hibernate config.xml)读入到内存。

一个Configeration 实例代表Hibernate 所有Java类到Sql数据库映射的集合。

2)创建SessionFactory实例把Configeration 对象中的所有配置信息拷贝到SessionFactory的缓存中。

SessionFactory的实例代表一个数据库存储员源，创建后不再与Configeration 对象关联。

缓存(cache):指Java对象的属性(通常是一些集合类型的属性－－占用内存空间。

SessionFactory的缓存中：Hibernate 配置信息。

OR映射元数据。

缓存－大：重量级对象小：轻量级对象3)调用SessionFactory创建Session的方法1】用户自行提供JDBC连接。

Connection con=dataSource.getConnection(); Session s=sessionFactory.openSession(con);2】让SessionFactory提供连接Session s=sessionFactory.openSession();4)通过Session 接口提供的各种方法来操纵数据库访问。

Hibernate 的缓存体系一级缓存：Session 有一个内置的缓存，其中存放了被当前工作单元加载的对象。

每个Session 都有自己独立的缓存，且只能被当前工作单元访问。

二级缓存：SessionFactory的外置的可插拔的缓存插件。

其中的数据可被多个Session共享访问。

SessionFactory的内置缓存：存放了映射元数据，预定义的Sql语句。

Hibernate 中Java对象的状态1.临时状态(transient)特征：1】不处于Session 缓存中2】数据库中没有对象记录Java如何进入临时状态1】通过new语句刚创建一个对象时2】当调用Session 的delete()方法，从Session 缓存中删除一个对象时。

1. Struts2简介1.1. 什么是Struts21.1.1. Struts2的概念Struts2是轻量级的MVC框架，它主要解决了请求分发的问题，重心在于控制层和表现层。

轻量级，指的是Struts2具有较低的侵入性，就是它对我们业务代码的依赖程度很低，简单来说，在使用Struts2框架时，我们的业务代码中基本上不需要import它的包。

Struts2实现了MVC，满足了MVC设计思想。

在我们使用Struts2做开发的时候，就相当于使用了MVC，这是Struts2自动帮助我们实现的，是默认的、隐含的，我们不需要再写特别的代码来实现MVC了。

作为一个框架，Struts2提供了一系列的API，我们可以使用它们来简化代码的编写，从而提升开发效率。

这些API复用程度很高，对业务代码的依赖性也很小，甚至很多是Struts2自动调用的，因此在很大程度上，我们的开发变得可以复用。

Struts2解决请求分发的问题，我们会在后面为什么使用Struts2中讲解。

重心在控制层和表现层，是纵观整个Struts2理论课程来看的，从中我们会体会到这一点，随着大家对Struts2的逐步了解，届时我们再回顾这一点。

1.1.2. 什么是MVCMVC是代码的分层思想，是软件设计领域经典的设计模式。

它根据代码功能的不同，将一个软件的代码分为3部分，即模型、视图、控制器，这3部分代码的含义和功能如下。

1、M-Model 模型模型（Model）的职责是负责业务逻辑。

包含两层：业务数据和业务处理逻辑。

比如实体类、DAO、Service都属于模型层。

2、V-View 视图视图（View）的职责是负责显示界面和用户交互（收集用户信息）。

属于视图的组件是不包含业务逻辑和控制逻辑的JSP。

3、C-Controller 控制器控制器是模型层M和视图层V之间的桥梁，用于控制流程。

比如：在Servlet项目中的单一控制器ActionServlet。

struts的工作原理Struts是一个基于Java的开源Web应用程序框架，它遵循了MVC（Model-View-Controller）设计模式，用于简化Web应用程序的开辟过程。

Struts的工作原理涉及到请求的处理、控制流程以及数据流动等方面。

下面将详细介绍Struts的工作原理。

1. 请求处理：当用户在浏览器中输入URL并发送请求时，请求首先到达Web服务器。

Web服务器根据URL的映射规则将请求转发给Struts框架。

2. 控制流程：Struts框架通过一个核心控制器（Controller）来管理请求的处理流程。

核心控制器是一个Servlet，它负责接收请求并将其分发给相应的Action处理。

3. Action处理：Action是Struts框架的核心组件之一，负责处理具体的业务逻辑。

每一个Action对应一个特定的请求，它接收请求参数、执行相应的业务逻辑，并返回结果。

4. 数据流动：在Struts框架中，数据的流动遵循MVC设计模式。

当请求到达Action时，Action会根据请求参数获取所需的数据，并将其存储在一个称为ActionForm的JavaBean中。

5. 视图呈现：视图（View）负责将处理结果展示给用户。

在Struts框架中，通常使用JSP （JavaServer Pages）作为视图技术。

Action会将处理结果传递给JSP，然后JSP负责将结果呈现给用户。

6. 结果返回：在Action处理完成后，它会返回一个结果对象给核心控制器。

结果对象包含了下一步要执行的操作，比如跳转到另一个页面或者返回错误信息。

7. 响应生成：核心控制器根据结果对象中的指示，生成相应的响应并返回给Web服务器。

Web服务器将响应发送给浏览器，最终用户可以看到处理结果。

总结：Struts框架的工作原理可以概括为：用户发送请求到Web服务器，Web服务器将请求转发给Struts框架的核心控制器，核心控制器将请求分发给相应的Action进行处理，Action处理完成后将结果返回给核心控制器，核心控制器根据结果生成响应并返回给Web服务器，最终用户可以看到处理结果。

struts框架详细介绍Struts是一个开源的Java Web应用程序开发框架，可以帮助开发者构建可扩展的、高性能的Web应用程序。

它遵循了Model-View-Controller（MVC）设计模式，通过将业务逻辑、表示逻辑和用户交互进行分离，使得应用程序更易于开发、测试和维护。

下面是关于Struts框架的详细介绍。

1.MVC设计模式:Struts采用了MVC设计模式，将应用程序的不同组成部分进行分离。

- Model层负责处理数据和业务逻辑。

在Struts中，开发者可以使用JavaBean、EJB、Hibernate等技术作为Model层的实现。

- View层负责展示数据和用户界面。

Struts提供了JSP（JavaServer Pages）作为主要的View技术，也可以使用Velocity、Freemarker等模板引擎。

- Controller层负责接收用户请求、处理业务逻辑以及将结果返回给View层。

Struts的Controller层使用ActionServlet来处理请求，它根据配置文件中的映射规则将请求转发给合适的Action类进行处理。

2.核心组件:Struts由以下几个核心组件组成：- ActionServlet：负责接收和处理来自客户端的请求，并根据配置文件中的映射规则将请求转发给合适的Action类进行处理。

- Action类：实现了业务逻辑的处理，接收请求和返回结果。

开发者需要继承Action类，并覆写其中的execute(方法来实现自定义的业务逻辑。

- ActionForm：用于封装请求参数并传递给Action类进行处理。

ActionForm可以与表单元素进行绑定，从而方便地获取和验证用户输入。

- ActionMapping：配置文件中的一项规则，用于将请求URL映射到具体的Action类和方法。

- ActionForward：配置文件中的一项规则，用于指定请求处理完成后需要跳转到的页面。

struts2 漏洞原理Struts2 是一种开放源代码的 Java Web 应用框架，被广泛应用于构建 Web 应用程序。

然而，Struts2 框架的一个漏洞却给许多应用程序带来了安全隐患。

本文将解释Struts2 漏洞的原理，并提供对于修复漏洞的一些方法。

Struts2 框架漏洞的原理Struts2 框架漏洞源于框架自身的设计缺陷。

设计缺陷使得攻击者可以利用恶意的输入来欺骗 Struts2 框架，从而在应用程序中执行任意的代码。

这种攻击就被称为“远程代码执行攻击”（ Remote Code ExecutionAttack ）。

Struts2 框架的漏洞主要是由于以下两点原因所导致的：· Struts2 使用了 OGNL (Object-Graph Navigation Language) 来解析 EL (Expression Language) 表达式，但没有正确地对表达式进行过滤，这使得恶意行为成为可能。

· Struts2 框架中的相当一部分功能是通过拦截器来实现的。

攻击者可以利用 Struts2 框架中的拦截器漏洞，绕过应用程序的权限控制来访问关键数据或者执行任意代码。

这两点都是 Struts2 框架漏洞的主因。

攻击者可以利用这两个漏洞来构建恶意的请求，并欺骗 Struts2 框架来执行恶意代码。

导致 Struts2 漏洞的例子为了更好地理解 Struts2 漏洞，可以通过一些例子来说明。

以下是一些可能导致 Struts2 框架漏洞的例子：· 未正确过滤用户输入。

比如在 Struts2 编译以数据表格为基础的应用程序时，如果没有过滤 script 标记，那么攻击者就可以通过执行JavaScript来远程控制代码，这就是远程代码执行攻击。

· XML SSI 漏洞。

攻击者可以通过将恶意代码嵌入到XML 消息中来利用该漏洞。

此漏洞允许攻击者利用Struts2 使用 XML 包含的注入布局中的初始资源解析器来绕过安全检查并完成任意文件读取/写入操作。

s t r u t s核心工作流程与原理Lele was written in 2021这是Struts2官方站点提供的Struts 2 的整体结构。

一个请求在Struts2框架中的处理大概分为以下几个步骤1.客户端提起一个（HttpServletRequest）请求,如上文在浏览器中输入””就是提起一个（HttpServletRequest）请求。

2.请求被提交到一系列（主要是三层）的过滤器（Filter），如（ActionContextCleanUp、其他过滤器（SiteMesh等）、FilterDispatcher）。

注意这里是有顺序的，先ActionContextCleanUp，再其他过滤器（SiteMesh等）、最后到FilterDispatcher。

3.FilterDispatcher是控制器的核心，就是mvc中c控制层的核心。

下面粗略的分析下我理解的FilterDispatcher工作流程和原理：FilterDispatcher进行初始化并启用核心doFilter其代码如下：publicvoid doFilter(ServletRequestreq,ServletResponseres,FilterCha inchain)throws IOException,ServletException{HttpServletRequestrequest=(HttpServletRequest)req;HttpServletResponseresponse=(HttpServletResponse)res; ServletContextservletContext=();quals(resourcePath)&&null!=()){resourcePath=();}if("true".equals)&&("/webwork")){Stringname=("/webwork".length());findStaticResource(name,response);}else{reateActionProxy(namespace, actionName,extraContext);etStack());();FilterDispatcher询问ActionMapper是否需要调用某个Action来处理这个（request）请求，如果ActionMapper决定需要调用某个Action，FilterDispatcher把请求的处理交给ActionProxy。