BlogJava-Steady's Java Zone-随笔分类-Java

禁用JavaWeb应用中URL上包含的jsessionid

steady — Sat, 08 Sep 2007 12:13:00 GMT

Java Web 应用似乎总有这样的情况，有事没事总是要在 URL 后面加上个 jsessionid，而且似乎不能使用配置的方式直接禁用 URL 传递 sessionid，这样，就比较容易造成安全性的问题，或者在浏览器地址栏里留下一堆很不好看的地址，在 Struts2 中，使用了 url 标签的所有链接，甚至 CSS, JS 这样的东西，都会加上 jsessionid，如何去禁用呢，搜索国内的相关文章，无功而返，询问我们过去的架构师，也没有做过，只好想办法去找国外的网站，找到了这样的一篇文章。

http://randomcoder.com/articles/jsessionid-considered-harmful

通过加入 Filter 的方式过滤掉 URL 中包含的 jsessionid，再重新包装 Response 返回给浏览器。

因为没有太多东西，就不多解释了，大家拿了用就可以了。

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpServletResponseWrapper;
import javax.servlet.http.HttpSession;
import java.io.IOException;

/**
* Servlet filter which disables URL-encoded session identifiers.
*

* Copyright (c) 2006, Craig Condit. All rights reserved.
*

* Redistribution and use in source and binary forms, with or without
* modification, are permitted provided that the following conditions are met:
*

*   * Redistributions of source code must retain the above copyright notice,
*     this list of conditions and the following disclaimer.
*   * Redistributions in binary form must reproduce the above copyright notice,
*     this list of conditions and the following disclaimer in the documentation
*     and/or other materials provided with the distribution.
*

* THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS"
* AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
* IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
* ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT OWNER OR CONTRIBUTORS BE
* LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR
* CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF
* SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS
* INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN
* CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)
* ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE
* POSSIBILITY OF SUCH DAMAGE.
*

*/
@SuppressWarnings("deprecation")
public class DisableUrlSessionFilter implements Filter {

    /**
     * Filters requests to disable URL-based session identifiers.
     */
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        // skip non-http requests
        if (!(request instanceof HttpServletRequest)) {
            chain.doFilter(request, response);
            return;
        }

        HttpServletRequest httpRequest = (HttpServletRequest) request;
        HttpServletResponse httpResponse = (HttpServletResponse) response;

        // clear session if session id in URL
        if (httpRequest.isRequestedSessionIdFromURL()) {
            HttpSession session = httpRequest.getSession();
            if (session != null) session.invalidate();
        }

        // wrap response to remove URL encoding
        HttpServletResponseWrapper wrappedResponse = new HttpServletResponseWrapper(httpResponse) {
            @Override
            public String encodeRedirectUrl(String url) {
                return url;
            }

            @Override
            public String encodeRedirectURL(String url) {
                return url;
            }

            @Override
            public String encodeUrl(String url) {
                return url;
            }

            @Override
            public String encodeURL(String url) {
                return url;
            }
        };

        // process next request in chain
        chain.doFilter(request, wrappedResponse);
    }

    /**
     * Unused.
     */
    public void init(FilterConfig config) throws ServletException {
    }

    /**
     * Unused.
     */
    public void destroy() {
    }

-------------------------------------------------------------------------------------------------
顺便做个小广告链客中国 www.linkedcast.cn 上线运行，欢迎广大 Blogger 使用

steady 2007-09-08 20:13 发表评论

Struts2 整合 Discuz 论坛 (1)

steady — Sat, 11 Aug 2007 09:30:00 GMT

因为有一个 Struts2 网站发布，需要整合一个论坛来使用，公司的一个项目过去曾经整合过一个英文论坛，但似乎不能满足我们的需求，需要找一个成熟稳定的中文论坛，与我们的系统结合。

最终选择了 Discuz 作为我们的论坛系统，主要是因为它提供了一套可用的 Passport API，来直接与我们现有系统进行整合。

下面摘录 Discuz 文档中的内容来说明整合原理，随后的几篇中，将详细描述具体的整合过程。

假设已设置如下变量或参数

挂接 Discuz! Passport 的应用程序假设为一套 PHP 语言编写的 CMS 系统
Discuz! 的 URL 为 http://www.myforums.com
应用程序的 URL 为 http://www.mywebsite.com
应用程序的注册页面为 http://www.mywebsite.com/register.php
应用程序的登录页面为 http://www.mywebsite.com/login.php?action=login
应用程序的退出页面为 http://www.mywebsite.com/login.php?action=logout

开启通行证后的用户登录流程

如果用户在论坛点击“登录”，则转向到事先设置好的应用程序登录页面（http://www.mywebsite.com/login.php?action=login），并在登录页面的 URL 中加入参数 forward（加入 forward 后的链接例如 http://www.mywebsite.com/login.php?action=login&forward=http://www.myforums.com/index.php），用于在登录后将用户导向到指定的 URL。
应用程序收到此请求后，按照惯例生成表单，并增加一个表单变量，将 GET 方式传递过来的 forward 参数通过表单进行传递。
用户在应用程序的表单中填写登录信息，并提交到应用程序的登录验证程序。应用程序验证用户提交的用户名和密码的合法性：
- 如果不通过：提示用户名密码错误，要求其返回上一页重新填写。
- 如果通过，需要进行如下操作：
  - 设置自身 Cookie 或 Session，使得应用程序自身处于登录状态。
  - 检查表单中是否提交了 forward 变量，如有，则意味着登录请求可能是由论坛而来，将此变量传递到后面的请求中。如没有，自行生成 forward 变量，使得论坛登录后能够跳转回到应用程序中。
  - 通过 header('Location: http://www.myforums.com/api/passport.php?action=login&auth=xxx&forward=http://yyy&verify=zzz') 的方式，将登录请求传递到论坛进行处理。其中 auth 用来将用户信息与资料以特定的格式，加密传递给论坛，forward 用于告知论坛 Passport API 完成自身操作后转向到的 URL 地址，verify 用于验证前面两个变量的有效性。auth、forward、verify 格式与结构将在后面进行说明。
Discuz! Passport API 在接收到由应用程序通过 header() 提交过来的请求后，进行如下操作：
- 根据 verify 判断 auth 和 forward 变量是否合法，如合法则继续，否则终止。
- 将 auth 根据既定算法解密，并还原成数组，数组的内容与格式将在后面进行说明。根据数组中的内容，检查此用户是否存在。如存在，则根据上述数组中的内容 UPDATE 论坛中相应的用户资料。如不存在，则使用数组中的信息 INSERT 到论坛用户资料表中。
- 论坛设置 Cookie 或 Session，使得论坛自身处于登录状态。
- 根据应用程序反馈的 forward 值，通过 header('Location: http://xxx') 的形式将页面跳转到 forward 变量指定的 URL。
至此，登录流程结束

开启通行证后的用户退出流程

如果用户在论坛点击“退出”，则转向到事先设置好的应用程序退出页面（http://www.mywebsite.com/login.php?action=logout），并在登录页面的 URL 中加入参数 forward（例如 http://www.mywebsite.com/login.php?action=login&forward=http://www.myforums.com/index.php），用于在退出后将用户导向到指定的 URL。
应用程序收到此请求后，清除自身 Cookie 或 Session，使得应用程序自身处于非登录状态。
检查是否提交了 forward 变量，如有，则意味着登录请求可能是由论坛而来，将此变量传递到后面的请求中。如没有，自行生成 forward 变量，使得论坛登录后能够跳转回到应用程序中。
通过 header('Location: http://www.myforums.com/api/passport.php?action=logout&forward=http://yyy&verify=zzz') 的方式，将退出请求传递到论坛进行处理。其中 forward 用于告知论坛 Passport API 完成自身操作后转向到的 URL 地址，verify 用于验证 forward 变量的有效性。forward、verify 格式与结构将在后面进行说明。
Discuz! Passport API 在接收到由应用程序通过 header() 提交过来的请求后，进行如下操作：
- 根据 verify 判断 forward 变量是否合法，如合法则继续，否则终止。
- 清楚论坛的 Cookie 或 Session，使得论坛自身处于非登录状态。
- 根据应用程序反馈的 forward 值，通过 header('Location: http://xxx') 的形式将页面跳转到 forward 变量指定的 URL。
至此，退出流程结束。

开启通行证后的用户注册流程

如果用户在论坛点击“注册”，则转向到事先设置好的应用程序注册页面（http://www.mywebsite.com/register.php），并在注册页面的 URL 中加入参数 forward（例如 http://www.mywebsite.com/register.php?forward=http://www.myforums.com/index.php），用于在注册后将用户导向到指定的 URL
应用程序收到此请求后，按照惯例生成表单，并增加一个表单变量，将 GET 方式传递过来的 forward 参数通过表单进行传递
用户在应用程序的表单中填写注册信息，并提交到应用程序的注册验证程序。应用程序验证用户提交信息的完整性和合法性：
- 如果不通过：提示其问题所在，要求其返回上一页重新填写
- 如果通过，需要进行如下操作：
  - 将用户资料插入到应用程序自身用户数据库中
  - 设置自身 Cookie 或 Session，使得应用程序自身处于登录状态
  - 检查表单中是否提交了 forward 变量，如有，则意味着注册请求可能是由论坛而来，将此变量传递到后面的请求中。如没有，自行生成 forward 变量，使得论坛注册后能够跳转回到应用程序中
  - 通过 header('Location: http://www.myforums.com/api/passport.php?action=login&auth=xxx&forward=http://yyy&verify=zzz') 的方式，将注册请求传递到论坛进行处理。其中 auth 用来将用户信息与资料以特定的格式，加密传递给论坛，forward 用于告知论坛 Passport API 完成自身操作后转向到的 URL 地址，verify 用于验证前面两个变量的有效性。auth、forward、verify 格式与结构将在后面进行说明
Discuz! Passport API 在接收到由应用程序通过 header() 提交过来的请求后，进行如下操作：
- 根据 verify 判断 auth 和 forward 变量是否合法，如合法则继续，否则终止
- 将 auth 根据既定算法解密，并还原成数组，数组的内容与格式将在后面进行说明。根据数组中的内容，检查此用户是否存在。如存在，则根据上述数组中的内容 UPDATE 论坛中相应的用户资料。如不存在，则使用数组中的信息 INSERT 到论坛用户资料表中
- 论坛设置 Cookie 或 Session，使得论坛自身处于登录状态
- 根据应用程序反馈的 forward 值，通过 header('Location: http://xxx') 的形式将页面跳转到 forward 变量指定的 URL
至此，注册流程结束
本部分中，加下划线显示的部分，是需要对您的应用程序进行更改的部分，事实上，这部分更改会非常容易和方便。

steady 2007-08-11 17:30 发表评论

Quartz 项目应用笔记-补充

steady — Fri, 03 Aug 2007 01:00:00 GMT

Reschedule
rescheduleJob(String triggerName, String groupName, Trigger newTrigger)

在进行 reschedule 操作的时候，我们通常只需要修改 Trigger 的时间，这时候我们只需要重新 new 一个含有新的 Schedule 时间的 Trigger 对象，reschedule 一下就可以了。

Unschedule
unscheduleJob(String triggerName, String groupName)

进行 unschedule 的时候，我们只需要知道名字和 group 就可以了。

进行 Schedule 操作前后，Database 中的相关数据都会被更改，在执行 unschedule 或者该 schedule 已经执行过，数据库中的 trigger 信息都会被删除。

steady 2007-08-03 09:00 发表评论

Quartz 项目应用笔记

steady — Thu, 02 Aug 2007 08:28:00 GMT

Quartz 是一个强大的企业级 Schedule 工具，也是目前最好的开源 Schedule 工具，最近因为项目的需要，简单的用到了 Quartz 的一些功能，对项目中使用 Quartz 的一些问题做简单的记录。

在 Quartz 的应用中，我们用到了以下的一些东西，ScheduleFactory, Scheduler, Job, JobDetail, Trigger，简单说明一下他们的用途。

SchedulerFactory 是 Scheduler 的工厂，我们可以从中获得受工厂管理的 Scheduler 对象。

SchedulerFactory scheduleFactory = new StdSchedulerFactory();
Scheduler scheduler = scheduleFactory.getScheduler();

Scheduler 是一个计划集，其中可以包含多个 JobDetail 和 Trigger 组成的计划任务。
我们可以从 SchedulerFactory 中取得 Scheduler。

接口Job是每个业务上需要执行的任务需要实现的接口，该接口只有一个方法：

public interface Job {
public void execute(JobExecutionContext context)
throws JobExecutionException;
}

我们可以在里面定义我们的 Job 执行逻辑，比如清除过期数据，更新缓存等。

JobDetail描述了一个任务具体的信息，比如名称，组名等等。
JobDetail jobDetail = new JobDetail("SayHelloWorldJob", Scheduler.DEFAULT_GROUP, SayHelloWorldJob.class);
在上面的构造方法中，第一个是任务的名称，第二个是组名，第三个就是实际当任务需要执行的回调类。

Trigger顾名思义就是触发器，Quartz有个很好的想法就是分离了任务和任务执行的条件。Trigger就是控制任务执行条件的类，当Trigger认为执行条件满足的时刻，Trigger会通知相关的Job去执行。分离的好处是：
1.你可以为某个Job关联多个Trigger，其中任何一个条件满足都可以触发job执行，这样可以完成一些组合的高级触发条件
2.当Trigger失效后（比如：一个永远都不能满足的条件），你不必去声明一个新的job，代替的是你可以为job关联一个新的Trigger让job可以继续执行。

目前的Quartz实现中，存在两种Trigger,SimpleTrigger和CronTrigger,SimpleTrigger用来完成一些比如固定时间执行的任务，比如：从现在开始1分钟后等等；而CronTrigger(没错，和unix的cron进程的含意一样)用来执行calendar-like的任务，比如：每周五下午3：00，每月最后一天等等。

在我们项目中，都是一些固定时间的 Job，所以只用到了 SimpleTrigger。
Trigger trigger = new SimpleTrigger("SayHelloWorldJobTrigger",Scheduler.DEFAULT_GROUP,new Date(),null,0,0L);
这个构造方法中，第一个是Trigger的名称，第二个是Trigger的组名，第三个是任务开始时间，第四个是结束时间，第五个是重复次数（使用SimpleTrigger.REPEAT_INDEFINITELY常量表示无限次），最后一个是重复周期（单位是毫秒），那么这样就创建了一个立刻并只执行一次的任务。

但我们定义好了 JobDetail，Job，和 Trigger 后，就可以开始 Schedule 一个 Job 了。

scheduler.scheduleJob(jobDetail, trigger);

这条语句就是把job和Trigger关联，这样当Trigger认为应该触发的时候就会调用（实际上是Scheduler调用）job.execute方法了。

scheduler.start();
千万别忘了加上上面的语句，这条语句通知Quartz使安排的计划生效。

关于execute方法的参数JobExecutionContext
JobExecutionContext就和很多Context结尾的类功能一样，提供的运行时刻的上下文环境，JobExecutionContext中有Scheduler,JobDetail,Trigger等很多对象的引用，从而当你在execute方法内部须需要这些对象的时刻提供的便利。

在项目中，我们把需要执行的 Job 相对应的一些信息放在 JobExecutionContext 中，在 Job 执行的时候可以调用。

jobDetail.getJobDataMap().put(userid, id);

在 Job 中，我们可以拿到相关的 Context 信息：

jobExecutionContext.getJobDetail().getJobDataMap().getInt(userid);

JobDetail和Trigger的name和group
Scheduler实例对应了很多job和trigger的实例，为了方便的区分，Quartz使用name和group这两个特性，正如你想向的一样，同一个group下不能有两个相同name的JobDetail，Trigger同理，同一个Scheduler下不能有两个相同group的JobDetail,Trigger同理，JobDetail和Trigger的完全限定名为：group + name

为了让服务器重启以后，我们的 Scheduler 信息仍然不丢失，我们通常采用数据库持久化 Scheduler 的信息。
DBScript 在 Quartz 的下载包中的：quartz-1.6.0\docs\dbTables 下，选择自己使用的 DB 相应的 Script 导入数据库就可以了。
在应用中，我们需要配置一个 quartz.properties 才能正常使用 DB。我们可以在 quartz-1.6.0\examples\example10 中找到该文件的样例，稍作一些修改，就可以放到自己项目源码的根目录下使用了。

设置 org.quartz.jobStore.class = org.quartz.impl.jdbcjobstore.JobStoreTX 即可启用基于 JDBC 的 Quartz 信息持久化。

根据项目情况设置以下配置信息：
org.quartz.jobStore.class = org.quartz.impl.jdbcjobstore.JobStoreTX
org.quartz.jobStore.driverDelegateClass = org.quartz.impl.jdbcjobstore.StdJDBCDelegate
org.quartz.jobStore.useProperties = false
org.quartz.jobStore.dataSource = myDS
org.quartz.jobStore.tablePrefix = QRTZ_
org.quartz.jobStore.isClustered = false

org.quartz.dataSource.myDS.driver = com.mysql.jdbc.Driver
org.quartz.dataSource.myDS.URL = jdbc:mysql://localhost:3306/myapplication
org.quartz.dataSource.myDS.user = root
org.quartz.dataSource.myDS.password =
org.quartz.dataSource.myDS.maxConnections = 5

但是光设置了 Database 不够，我们还需要在 Application 启动的时候自动启动 Scheduler 才行，我们只需要简单的写一个 Servlet 的 Listener 并在 web.xml 中声明该 Listener ，在 Servlet 容易启动的时候，Scheduler 就开始自动执行。

public class ScheduleStartListener implements ServletContextListener {
    public void contextInitialized(ServletContextEvent servletContextEvent) {
        try {
           scheduleFactory.getScheduler().start();
        } catch (SchedulerException e) {
           // write log
        }
    }

    public void contextDestroyed(ServletContextEvent servletContextEvent) {
        try {
           scheduleFactory.getScheduler().shutdown();
        } catch (SchedulerException e) {
           // write log
        }
    }
}

在 web.xml 里面加入以下配置：

org.agilejava.scheduler.ScheduleStartListener

以上简单的记录了在项目中关于 Quartz 的一些应用，如果有什么新的使用心得，会在后面继续加入的。

steady 2007-08-02 16:28 发表评论