关于Struts2的碎碎念

一：安全，还是安全

我入行比较晚，那会Spring MVC什么的都很流行了，一直觉得struts2作为一个Web MVC框架实在太笨重了点。所以虽然之前一直在用，但是其实没有真正研究过。

今天公司又遇到一个比较严重的struts的安全问题，最后检查了很久，换最新版也无效。但是因为公司一直在用strtus2，作为一个爱着自己工作的人(逃)，还是决定大致了解一下struts2的源码了。

直接读代码难免一头雾水，这里推荐一本书《Struts2技术内幕》，有书上的理论作指导就容易得多。这本书讲的挺详细，同时在设计思想上也有不少着力，非常值得一读。

看了一部分代码后，仔细调试了一下，确认了这个是一个比较严重的安全问题，不知道是否已被官方发现，但是确实在最新版2.3.15.3中仍存在。已经发了邮件给官方，希望能得到一个好的解决方案。

但是本文的主要的目的不在这里。本文就是理一下struts2的里里外外，不至于遇到问题一头雾水，就足够了。

二：struts2概览

struts2结构图如下(自己画的，可能不严谨)：

OGNL是底层的表达式引擎，也是安全方面广为诟病的地方。

XWork是个什么东西呢？它可以理解为一个请求-响应模式的通用框架(不仅仅局限于Web)，这个Action就是一个命令。而struts2可以说是XWork在web领域的一个特定实现。

XWork是包括Action/Interceptor/Result几个大部分，还有用于执行流程的ActionProxy和ActionInvoker，以及处理数据的ActionContext和ValueStack。XWork的执行流程如下(这里引用了《Struts2技术内幕》的图)：

三：关于框架的设计思想

今天说到在读struts代码，jFinal的作者@jFinal 说struts代码很烂。

可能我功力不够，倒是没觉得代码很烂，struts2的代码层次化、结构化、扩展性其实都做得不错，比如动态插件机制，比如Result是一个接口，里面包含了一个excute()方法用于决定渲染方式等。但是设计思想上，可能与当前的趋势不符了。

struts2有个很重要的设计思想：解耦。它希望框架不要侵入业务，包括servlet API里的request/response，尽量让大家写一个POJO就好了。这个POJO脱离了框架，甚至是在其他领域都是可用的。其实在如今web大行其道的时代，其实也没有人会需要无侵入的框架进行迁移，这种设计也不知该说超前还是过时了，但是反而会带来一些不便。

相反，我觉得框架就该限定领域，好的框架应该提供必要的约束，清晰勾勒出这个领域开发的一种方式，而不是一味追求通用性。这一点我觉得Spring MVC就做的好一些，大家的接受程度也会比较高。场景越确定，框架能做的事越多，开发就越方便，比如jFinal这种框架。

对于struts，我只能说可能当年的web还未一统天下，大家仍有不同场景的需求吧。

PS:Web框架是个很大很热的话题，博主一家之言，大家听听就好。

参考资料：

1. 《Struts2技术内幕》http://book.douban.com/subject/7154446/