请问struts 2的工作原理是怎样的？_百度知道
请问struts 2的工作原理是怎样的？
我有更好的答案
按默认排序
<img class="ikqb_img" src="示的过程中可以使用Struts2&nbsp,或者说它控制的Action的执行步骤、ActionMapper和ObjectFactory。过滤器会通过询问ActionMapper类来查找请求中&ActionInvocation初始化时。7;框架中继承的标签。ConfigurationManager&nbsp.如果找到需要调用的Action.过滤器FilterDispatcher是struts2框架的心脏。2，最后会到达FilterDispatcher过滤器。ActionInvocation在ActionProxy层之下;调用Action的过程前后;些基本信息;struts2&nbsp.ActionProxy创建一个ActionInvocation的实例。在请求过程中所有的对象（Action.baidu.这个请求会经过图中的几个过滤器.&通常是（但不总是。4;&存有配置文件的一&/zhidao/pic/item/1e30e924b899ae1d950a7b0208f51b.baidu，等）都是通过ObjectFactory来创建的;&&需要用到的Action.&nbsp，过滤器会把请求的处理交给ActionProxy，ActionInvocation负责根据struts，ActionMapper存有action的配置信息。ActionProxy通过ConfigurationManager询问框架的配置文件，/zhidao/wh%3D600%2C800/sign=da87eae30e924b899ae1d950a7b0208f51b。在表&nbsp，吸收struts1的优点，涉及到相关拦截器(intercepetor)的调用;Action的执行状态。它持有Action实例和所有的IInterceptors。&nbsp。5：1;关的所有Interceptor。在web容器启动时。在&&nbsp。返回结果&一旦Action执行完毕.客户端发出一个指向servlet容器的请求(tomcat)。3.ActionInvocation实例使用命名模式来调用://g.hiphotos，可以说struts2是struts1和Webwork结合的产物.hiphotos.xml中的配置找到对应的返回结果;&nbsp它是以Webwork的设计思想为核心.&nbsp：一个请求在Struts2框架中的处理分为以下几个步骤，在处理用户请求时;&nbsp://g。ActionProxy为Action的代理对象&nbsp，它表示了&nbsp，加载Action相&6://g;通过/zhidao/wh%3D450%2C600/sign=a80abfb05343fbf2c579ae2/1e30e924b899ae1d950a7b0208f51b；2
其他类似问题
struts的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁液压油缸的工作原理图是怎样的？工作原理_百度知道
液压油缸的工作原理图是怎样的？工作原理
我有更好的答案
按默认排序
就是一个进油口，一个出油口，相互运动，不懂得可以问我
就是个活塞啊
去问帕斯卡
其他类似问题
您可能关注的推广回答者：
液压油缸的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁螺旋榨油机的工作原
&螺旋榨油机的工作原理和特点是怎样的？ & （1）螺旋榨油机的工作原理 取油的一般过程概括的说，是由于旋转着的螺旋轴在榨膛内的推进作用，使榨膛空间体积不断缩小而对榨料产生连续的压榨作用。 压榨取油的基本过程一般分为三个
您可能感兴趣的产品
勤友热搜词已有天涯账号？
这里是所提的问题，您需要登录才能参与回答。
"天涯问答"是天涯社区旗下的问题分享平台。在这里您可以提问，回答感兴趣的问题，分享知识和经历，无论您在何时何地上线都可以访问，此平台完全免费，而且注册非常简单。
无线上网的工作原理是怎样的？
无线上网的工作原理是怎样的？
09-07-08 & 发布
你去看一下那个无线网络工作手册吧！
请登录后再发表评论!OAuth 授权的工作原理是怎样的？足够安全吗？
按投票排序
新浪微博就是你的家。偶尔你会想让一些人（第三方应用）去你的家里帮你做一些事，或取点东西。你可以复制一把钥匙（用户名和密码）给他们，但这里有三个问题：
1）别人拿了钥匙后可以去所有的房间
2）别人拿到你的钥匙后也许会不小心丢到，甚至故意送到它人手里。这样你都不知到谁有你家钥匙。
3）过一段时间你也许会想要回自己的钥匙，但别人不还怎么办？
OAuth 是高级钥匙: 1）你可以配置不同权限的钥匙。有些只能进大厅（读取你的微博流）。有些钥匙可以进储藏柜（读取你的相片) 2）钥匙上带着指纹验证的（指纹 = appkey)。 收到钥匙的人只能自己用，不能转让 3）你可以远程废除之前发出的钥匙相对来说, OAuth比给出用户名密码安全
OAuth的出现是为了解决这样一个问题：场景：1，你有一个Flickr帐号，在上面有很多照片；2，你需要使用某照片打印网站打印Flickr上面的照片，你可以：2.1，从Flickr下载照片到本地，然后从电脑里上传照片到打印网站；2.2，在照片打印网站输入Flickr的帐号密码，直接让网站去Flickr读照片；问题：把Flickr帐号密码透露给了第三方。解决方案：OAuth是让第三方应用不需要用户名密码读取用户数据的一个认证过程。上面的场景中，Flickr有API支持OAuth，那么打印网站需要根据API注册应用，打印网站可以要求用户授权访问Flickr照片，而不是提供Flickr的帐号密码。这个授权过程就是OAuth的作用。更详细的请参考官方文档，目前用得多的是1.0a，2.0也开始广泛使用了，不过我还没开始研究：）
2年前我写的一篇博文《
》，现在仍然收到很多网友的正反馈，希望能有帮助。
先提供一个我曾经的PPT，里面详细分析了OAuth1和2的安全问题及防御措施。OAuth1.0中因为没有对redirect_uri回调地址进行校验，存在一个会话固话攻击的漏洞。这个漏洞在1.0a版本中被修复了。OAuth2.0则基本上可以说是一个全新的协议，摒弃掉了1.0中一些复杂的签名计算过程，提供了更多的授权流程来适用不同的环境，但是这也造成了更多的安全问题的产生。比如CSRF，账户劫持，code重放攻击等等，详细都可以看上面的paper。综合来讲，如果你1.0协议研究明白了，能用好就不要换到2.0。因为2.0目前还不是很成熟。如果你的服务环境需要必须使用2.0的话，可以参考PPT最后的防御措施。希望对你有帮助:)
oauth的原理可以查看，包含1、2版本的协议文档简要理解可以看看，sina:renren:均有图示流程对于安全性，就协议本身，oauth2的用户名秘密方式，很不安全，所以平台方经常会有说明只提供给可信赖的第三方。其他方式，很安全，用户名秘密不会交给第三方，但这种方式流程繁琐，对客户端、手机端，这种无跳转机制的应用很不友好。oauth的使用也关联着安全性，平台应对各个应用根据需求，进行审核，并授予适当的权限
如果单从密码保护上来讲， oauth是安全的。第三方应用是不会得到用户的密码的。
同时，用户也学要了解到：
通过oauth方式授权，用户授予了第三方应用一定的权限。如果这个权限控制不好的话，第三方应用可以凭借他手中的授权"凭证" (access token) 做一些他想做的事情。比如，微薄第三方应用可以直接帮你关注莫个账号，发出微薄。
就目前来看，OAuth是不安全的，倒不是说协议本身，而是实现者的问题。最近一段日子，互联网就在大规模爆OAuth漏洞，腾讯，百度，新浪，纷纷落马。大家实现得都不是很好，这个你可以去乌云搜搜就知道了。但是这不是协议本身的错误。
我觉得你先去读wikipedia更合适
Oauth 1.0是一个用户/网站/第三方 三方协议的一个过程.
网站会给第三方两个东西.consumer_key和comsumer_secret
consumer_key相当于第三方的标识符.
comsumer_secret则是第三方的密钥. 1. 用户使用第三方客户端的时候,会通过客户端发起一个经过comsumer_secret签名的请求,获取一个临时token.这个token其实是代表了(user,app)这个唯一关系.2.用户利用这个token在网站上输入用户名密码授权第三方,得到一个所谓的authorized token.表示网站确认了这个用户确实是该网站的用户.
3.用户把这个authorized token交给客户端,客户端加上comsumer_secret做个签名之后,向网站发起另一个授权请求.因为第三方需要确认这个用户确实是某网站的用户.
4.网站对该请求响应一个所谓verify的标识,向第三方客户端保证这个确实是网站用户.
5.最后,客户端用这个verify,加上开始绑定了(user,app)这一唯一关系的token,经过comsumer_secret签名之后,向网站请求用户的access_token.
这个access_token的作用就相当于用户的用户名密码,客户端以此作为凭据告诉网站,自己要以用户的名义做哪些操作.
同时,网站根据这个access_token确认用户确实授权了第三方这么做.
更清晰一点的,可以参考这张图
哈哈 不请自来。因为工作原因，花了一个月的时间在RFC上，天天看，我都翻译完了，对此还是比较了解的。首先给答案，OAuth本身是安全的，但国内的厂商用得很不安全，完全无视用户的隐私有木有，点名下，某鹅，某博...OAuth干什么用？就是把本来只有你才能看的东西，分享给其他人看(可限定时间)。可以把这里的“看”字换成“操作”等行为。譬如，看你个人的信息，发微博。即把你的权限分享给别人一点点OAuth有什么好处？共享。复用是写程序的人追求的方便，很多信息都是一样的，譬如你的名字，然而每个网站想知道用户更多的信息，老是让用户自己输入，肯定不方便吧！所以有些用户大户的网站就充当了这个角色，通过XX登录。而你登录后，还有个授权，记得不！不记得自己看看，你点确定了 就是允许这个网站拥有你才能有的一点权限了。OAuth出身大体就这样了，OAuth的创建团队最初也用了很多方法来保证它不被非法窃取，但是这也架不住某些厂商无视用户信息的行为。通过某鹅OAuth开放平台，可以看到很多很多的用户个人信息，而且时间是可以无限制的。最后一感慨，原则上，你通过XX登录后是分享给网站的信息已经足够了，但是网站还是让你绑定一个账号，有的甚至让你注册，这个让我感觉OAuth很鸡肋，哎，感觉不会再爱了。求个赞吧！
OAuth目前有三个版本，OAuth1.0，OAuth1.0A，OAuth2.0；1.0系列的认证原理相同，2.0使得客户端操作更简易，但不见得更不安全，2.0通用HTTPS协议。用一副图来解释OAuth1.0的整个运行流程如图1所示：
图1：OAuth1.0流程图
图1：OAuth1.0流程图 这是相关“雅虎”站点进行OAuth认证的整个运行流程：参与者：Application，YAHOO!，User（1）客户端在自己站点实现YAHOO!的第三方认证之前，需要到YAHOO!服务提供商申请帐号Consumer Key，YAHOO!通过申请之后，并发放Consumer Key已经对应的Consumer Secret的一套认证帐号，这时候说明该客户端已经加入了YAHOO服务提供商的认证服务。（2）获取Request Token，需要传递参数：
oauth_consumer_key：应用ID
oauth_nonce：客户端生成的随机数
oauth_signature_method：签名方式（目前有：HMAC-SHA1、RSA-SHA1与PLAINTEXT等三种）
oauth_timestamp：时间戳
oauth_version：OAuth版本号
xoauth_lang_pref(optional)：
oauth_callback：
YAHOO!验证用户参数合法，通过验证，同意发放Request_Token，返回客户端参数：
oauth_token：请求令牌
oauth_token_secret：令牌对应的密钥
oauth_expires_in：令牌过期时间
xoauth_request_auth_url：
oauth_callback_confirmed=true（3）客户端接收到Request_Token，此时将用户导向YAHOO!认证页面，并传递参数：Request_Token
oauth_token：请求令牌
此时服务提供商接下来“询问用户是否给予授权”，用户同意授权，服务提供商将用户重定向客户端事先传递的oauth_callback（重定向URI）地址，并以GET方式传递授权码（oauth_verifier）（4）客户端使用Request_Token以及OAuth_Verifier向服务提供商交换Access_Token：传递参数：
oauth_consumer_key：应用ID
oauth_signature_method：签名方式（目前有：HMAC-SHA1、RSA-SHA1与PLAINTEXT等三种）
oauth_signature：签名（注意，这一步骤用到了签名，OAuth签名的生成，详看服务提供商OAuth签名生成文档，此处提供）
oauth_timestamp：时间戳
oauth_version：OAuth版本号
oauth_token：Request_Token请求令牌
oauth_nonce：客户端生成的随机数
oauth_verifier：授权码
服务提供商确认签名匹配，参数准确无误，授予Access_Token以及Access_Secret，返回客户端参数：
oauth_token：Access_Token访问令牌
oauth_token_secret：令牌对应密钥
oauth_session_handle：用于刷新过期访问令牌
oauth_expires_in：令牌过期时间（5）令牌过期，重新刷新令牌
与(4)区别唯一参数：oauth_session_handle，不需要传递授权码：oauth_verifier，YAHOO!重新返回Access_Token以及密钥Access_Token_Secret
注意：这里的oauth_timestamp和oauth_nonce是为防止重放攻击而设置的。具体的来讲：请求者不能在一段时间（服务器允许的客户端和服务端的时间差）内发送同样的请求两次或以上，如果在这个时间段之后再次发生这个请求，则会因为超出服务端允许的时间差而被拒绝详情请看:
OAuth1.0安全性还好，除了用户通过AccessToken验证后 做部分刷操作。OAuth2.0目前不建议使用；详细参考：
Oauth 2.0协议仍然有一个小漏洞，可以被scope attack攻击（参见）。比如，您的网站用oauth请求在老王的facebook上发布状态的授权。当您的网站成功从facebook收到access token时，不能盲目相信授权成功。如果老王使用了scope attack，即使您的网站成功从Facebook得到access token，也不能在老王的Facebook页面发布任何状态。
你的钥匙并没有给他，只是给了他一个权限受限的临时令牌，想收回就轻易收回
这方面的技术我不懂，但是我想说一下我的亲身经历。今年早些时候，我在一号店想买点东西，没有账号，于是我选择用支付宝登陆，结果授权登陆以后，发现竟然有个2012年已经完成的订单。收件人完全不认识，就买了两瓶食用油。吓尿了好吗！跟一号店打电话反映这事，来来回回查不出原因，最后打了个电话跟我说建议我以后不要再用支付宝快捷登陆了，让我另外注册账号，也好我反正以后再也不敢用一号店了