JSP和Struts解决用户退出问题

问题仅仅出现在后退按钮对应的是一个处理POST请求的页面。

　　记录最后登陆时间

　　上述问题之所以出现是因为浏览器将其缓存中的数据重新提交了。这本文的例子中，数据包含了用户名和密码。无论是否给出安全警告信息，浏览器此时起到了负面作用。

　　为了解决logoutSampleJSP2中出现的问题，logoutSampleJSP3的login.jsp在包含username和password的基础上还包含了一个称作lastLogon的隐藏表单域，此表单域动态的用一个long型值初始化。这个long型值是调用System.currentTimeMillis()获取到的自1970年1月1日以来的毫秒数。当login.jsp中的form提交时，loginAction.jsp首先将隐藏域中的值与用户数据库中的值进行比较。只有当lastLogon表单域中的值大于数据库中的值时Web应用才认为这是个有效的登陆。

　　为了验证登陆，数据库中lastLogon字段必须以表单中的lastLogon值进行更新。上例中，当浏览器重复提交数据时，表单中的lastLogon值不比数据库中的lastLogon值大，因此，loginAction转到login.jsp页面，并提示Session has ended.Please log in.清单5是loginAction中节选的代码段：

　　清单5

　　//...
RequestDispatcher rd = request.getRequestDispatcher("home.jsp"); //Forward to homepage by default
//...
if (rs.getString("password").equals(password)) {
　//If valid password
　long lastLogonDB = rs.getLong("lastLogon");
　if (lastLogonForm ＞ lastLogonDB) {
　　session.setAttribute("User", userName); //Saves username string in the session object
　　stmt.executeUpdate("update USER set lastLogon= " + lastLogonForm + " where userName = '" + userName + "'");
　}
　else {
　　request.setAttribute("Error", "Session has ended. Please login.");
　　rd = request.getRequestDispatcher("login.jsp"); }
　}
　else { //Password does not match, i.e., invalid user password
　　request.setAttribute("Error", "Invalid password.");
　　rd = request.getRequestDispatcher("login.jsp");
　}
　//...
　rd.forward(request, response);
//...

　　为了实现上述方法，你必须记录每个用户的最后登陆时间。对于采用关系型数据库安全域来说，这点可以可以通过在某个表中加上lastLogin字段轻松实现。LDAP以及其他的安全域需要稍微动下脑筋，但很显然是可以实现的。

　　表示最后登陆时间的方法有很多。示例logoutSampleJSP3利用了自1970年1月1日以来的毫秒数。这个方法在许多人在不同浏览器中用一个用户账号登陆时也是可行的。

　　运行logoutSampleJSP3

　　运行示例logoutSampleJSP3将展示如何正确处理退出问题。一旦用户退出，点击浏览器上的后退按钮在任何情况下都不会是受保护的页面在浏览器上显示出来。这个示例展示了如何正确处理退出问题而不需要额外的培训。

　　为了使代码更简练有效，一些冗余的代码可以剔除掉。一种途径就是把清单4中的代码写到一个单独的JSP页中，通过标签＜jsp:include＞其他页面也可以引用。

　　Struts框架下的退出实现

　　与直接使用JSP或JSP/servlets相比，另一个可选的方案是使用Struts。为一个基于Struts的Web应用添加一个处理退出问题的框架可以优雅地不费气力的实现。这部分归功于Struts是采用MVC设计模式的因此将模型和视图清晰的分开。另外，Java是一个面向对象的语言，其支持继承，可以比JSP中的脚本更为容易地实现代码重用。在Struts中，清单4中的代码可以从JSP页面中移植到Action类的execute()方法中。

　　此外，我们还可以定义一个继承Struts Action类的基本类，其execute()方法中包含了清单4中的代码。通过使用类继承机制，其他类可以继承基本类中的通用逻辑来设置HTTP头信息以及检索HttpSession对象中的username字符串。这个基本类是一个抽象类并定义了一个抽象方法executeAction()。所有继承自基类的子类都应实现exectuteAction()方法而不是覆盖它。清单6是基类的部分代码：

　　清单6

　　public abstract class BaseAction extends Action {
　public ActionForward execute(ActionMapping mapping, ActionForm form,HttpServletRequest request, HttpServletResponse response)
　throws IOException, ServletException {
　　response.setHeader("Cache-Control","no-cache");
　　//Forces caches to obtain a new copy of the page from the origin server
　　response.setHeader("Cache-Control","no-store");
　　//Directs caches not to store the page under any circumstance
　　response.setDateHeader("Expires", 0); //Causes the proxy cache to see the page as "stale"
　　response.setHeader("Pragma","no-cache"); //HTTP 1.0 backward compatibility

　　if (!this.userIsLoggedIn(request)) {
　　　ActionErrors errors = new ActionErrors();
　　　errors.add("error", new ActionError("logon.sessionEnded"));
　　　this.saveErrors(request, errors);
　　　return mapping.findForward("sessionEnded");
　　}
　　return executeAction(mapping, form, request, response);
　}

　protected abstract ActionForward executeAction(ActionMapping mapping, ActionForm form, HttpServletRequest request, HttpServletResponse response)
　throws IOException, ServletException;

　private boolean userIsLoggedIn(HttpServletRequest request) {
　　if (request.getSession().getAttribute("User") == null) {
　　　return false;
　　}

　　return true;
　}
}

　　清单6中的代码与清单4中的很相像，仅仅只是用ActionMapping findForward替代了RequestDispatcher forward。清单6中，如果在HttpSession中未找到username字符串，ActionMapping对象将找到名为sessionEnded的forward元素并跳转到对应的path。如果找到了，子类将执行其实现了executeAction()方法的业务逻辑。因此，在配置文件struts-web.xml中为所有子类声明个一名为sessionEnded的forward元素是必须的。