JForum登录用例

1，键入用户名、密码，单击“登入”按钮，登录请求发送到/JForum/jforum.page。请求类型为POST。

    1.1由于采用了URL重写，因此有时后面会跟有jsessionid。即，/JForum/jforum.page;jsessionid=7222129E440E2DBEF098A2D26D9994E6

    1.2该请求提交时，会发送5个参数，其中有两个是隐藏域。

        （1）<input type="hidden" name="module" value="user" />
        （2）<input type="hidden" name="action" value="validateLogin" />
        （3）<input class="post" size="10" name="username" type="text"/>
        （4）<input class="post" type="password" size="10" name="password" />
        （5）<input class="text" type="checkbox" name="autologin" id="autologin"/>

2，服务器截获JForum/jforum.page请求；交给一个名为net.jforum.JForum的Servlet处理

3，名叫net.jforum.JForum的Servlet执行service()方法

    3.1取得JForumExecutionContext对象

    3.2创建WebRequestContext对象

        (1)获取请求的方法类型并转换成大写(GET/POST)，登录用例的请求类型是POST。

        (2)获取请求的上下文路径，即/JForum。

        (3)借助WebRequestContext类的extractRequestUri()方法，提取uri。在该方法中：

            a.剔除原始uri中含有的上下文部分，即将/JForum/jforum.page;jsessionid=7222129E440E2DBEF098A2D26D9994E6中的/JForum剔除，余下/jforum.page;jsessionid=7222129E440E2DBEF098A2D26D9994E6

            b.如果uri中含有jsessionid，则将其剔除。剔除后即是/jforum.page

        (4)获取编码方式，即UTF-8。

        (5)获取servlet截获的后缀名，即.page。

        (6)判断是否是POST请求，isMultipart判断HTTP MIME类型是否以multipart/开头。登录用例是POST请求，而且HTTP MIME类型不是以multipart/开头。

        注意：isMultipart变量的值用于保存原始请求的Content-Type的类型。JForum论坛在发一个帖子时，即使没有上传附件，提交的仅仅是普通文本字符，表单的 enctype属性值也被设置成MULTIPART/FORM-DATA，我们平时用表单提交数据时经常不设置enctype属性，那么它的默认值是application/x-www-form-urlencoded。只有当enctype属性值是application/x-www-form-urlencoded时，我们才能够在原始请求中通过request.getParameter("parameterName")的形式获取参数值，而当属性值是MULTIPART/FORM-DATA时，必须亲自获取输入流，从输入流中解析参数值，或者借助第三方的组件，JForum中使用的是apache的commons file upload组件。

        (7)通过HTTP请求头"X-Requested-With"，判断是否是AJAX请求，即异步请求。登录用例不是AJAX请求。
        (8)设置HTTPRequest请求的字符编码为UTF-8。

        (9)设置容器编码。

        (10)收集请求中的参数，借助WebRequestContext类的addParameter()方法，将请求中的参数名与值存储到WebRequestContext类的query属性中。该属性是一个HashMap类型，键的类型是一个String，值的类型或者是一个ArrayList或者是一个String。

        (11)判断参数列表中是否含有"module"参数与"action"参数。如果没有，则从uri中解析出这两个参数。
        注意：有的请求中含有参数存储了"module"与"action"的值。比如，登录请求。有的请求中没有这样的参数，但是在uri中含有了"module"与"action"。比如，启动请求。
        注意："module"参数代表特定的Action类，"action"参数代表该Action类中某个特定的方法。

    3.3创建WebResponseContext对象

    3.4检查数据库状态。借助JForum类的checkDatabaseStatus()方法，检测isDatabaseUp标记观察数据库是否启动。在登录用例运行时，数据库已经启动。

    3.5创建JForumContext类对象forumContext，该对象持有/JForum上下文路径、servlet截获的后缀名、WebRequestContext类的request对象、WebResponseContext类的response对象。

    3.6将上述JForumContext类对象存储到JForumExecutionContext中，并更新到ThreadLocal。

    3.7借助JForumExecutionContext类的getTemplateContext()方法获取FreeMarker的SimpleHash类对象context。

    3.8借助ControllerUtils的refreshSession()方法刷新用户UserSession
        注意：据推测，UserSession类起到将User类与HttpSession类建立联系的作用。

        (1)借助SessionFacade的getUserSession()方法返回UserSession对象。这个方法的本质作用是通过当前HttpSession的id从缓存（即DefaultCacheEngine类的对象，该类中有一个Map属性cache，cache中又嵌套了若干个Map，其中一个Map里可以通过HttpSession的id取出UserSession类对象）中取出UserSession类对象。这个过程曲折得离奇：

            a.通过JForumExecutionContext类，获取在3.5步骤中创建的JForumContext类对象。

            b.通过JForumContext类对象获取存储其中的WebRequestContext类对象。

            c.通过WebRequestContext类对象获取一个WebSessionContext类对象。WebSessionContext类实质上是HttpSession类的一个自定义外覆类，对当前请求HttpRequest的HttpSession对象进行了封装，通过WebSessionContext类提供的接口访问HttpSession类一些属性。

            d.通过WebSessionContext类对象获取当前HttpSession的id。

            e.通过SessionFacade的getUserSession(String sessionId)方法，在缓存中获取UserSession对象。

        (2)通过JForumExecutionContext获取RequestContext对象

            a.通过JForumExecutionContext类，获取在3.5步骤中创建的JForumContext类对象。

            b.通过JForumContext类对象获取存储其中的WebRequestContext类对象。

        (3)如果获取UserSession对象为空

            a.创建UserSession对象

            b.注册UserSession基本信息，包括当前HttpRequest访问本站的开始时间，最后访问时间，设置UserId（此时登录过程还未完成，因此先设置成匿名用户id，该id值为1）。

            c.设置会话id

            d.设置用户IP

            e.借助SessionFacade类的makeUnlogged()方法清除登录StandardSessionContext中的logged属性

            f.判断是否是机器人发送的登录请求，如果不是

                f1.判断是否是单点登录，如果不是

                    f11.判断自动登录的验证标记是否为true。在登录用例中该标记是true，则调用ControllerUtils类的checkAutoLogin(UserSession userSession)方法对自动登录进行验证。在该方法中：

                        step1：通过调用三次ControllerUtils类的getCookieTemplate()方法获取名为jforumUserId、jforumUserHash、jforumAutoLogin的三个Cookie对象。在登录用例中，后两个Cookie对象为null。

                        step2：如果名为jforumUserHash的Cookie对象为null，则checkAutoLogin(UserSession userSession)方法直接返回false。

            g.调用SessionFacade类的add(UserSession us)方法添加用户userSession。在该方法中：

                g1.通过JForumExecutionContext类，获取在3.5步骤中创建的JForumContext类对象。

                g2.通过JForumContext类对象获取存储其中的WebRequestContext类对象。

                g3.通过WebRequestContext类对象获取一个WebSessionContext类对象。
                WebSessionContext类实质上是HttpSession类的一个自定义外覆类，对当前请求HttpRequest的HttpSession对象进行了封装，通过WebSessionContext类提供的接口访问HttpSession类一些属性。

                g4.通过WebSessionContext类对象获取当前HttpSession的id。

                g5.调用SessionFacade类的add(UserSession us, String sessionId)方法，在该方法中：

                    step1.调用DefaultCacheEngine类的add()方法，将sessionid与usersession之间的映射关系存储到缓存（即DefaultCacheEngine类的对象，该类中有一个Map属性）中。存储的机制是缓存里有一个Map，该Map与字符串"sessions"之间有一个映射关系。通过字符串"sessions"可以取得该Map。这个Map对象存储着sessionid与usersession之间的映射。"sessions"存储在SessionFacade.FQN中。

                    step2.如果不是登录机器人登录，如果是匿名用户登录（由于登录过程还未完成，因此用户还是匿名身份），调用SessionFacade类的changeUserCount方法，使匿名用户的数量加1，实现的具体细节是：

                        ——调用DefaultCacheEngine类的get方法取出当前匿名用户的登录数量。取出的机制是缓存里有一个Map,该Map与字符串"sessions/count"有一个映射关系。通过字符串"sessions/count"可以取得该Map。"sessions/count"存储在SessionFacade.FQN_COUNT中。这个Map里存储着一些数值，其中就有匿名用户登录的数量。该值与字符串" anonymousCount"之间有一个映射关系。" anonymousCount"存储在SessionFacade.ANONYMOUS_COUNT中。

                        ——数量加1。changeUserCount方法的第二个参数表示数量增减的标记，登录加1，登出减1。

                        ——数量改变后，重新存入缓存。

    3.9在FreeMarker的SimpleHash中设置登录标记"logged"。

    3.10借助SecurityRepository类的load方法加载用户权限，实际上创建了一个PermissionControl对象。在缓存（即DefaultCacheEngine类的对象，该类中有一个Map属性）中有一个"security"字符串与一个存储权限的Map映射。在该Map中，维护着userid与该用户对应的PermissionControl对象间的映射。在PermissionControl对象中，存储着该用户的角色列表。

    3.11借助ControllerUtils类的prepareTemplateContext()方法，将装载模板页面需要的数据存储到SimpleHash对象context中。

    3.12依据"module"值，获取对应的Action的全限定类名称，即net.jforum.view.forum.UserAction

    3.13通过远程访问的IP地址，借助JForum类的shouldBan()方法判定是否为不受欢迎的用户。

    3.14如果不在阻止的用户列表中，就把模块名（模块名实质是指net.jforum.view.forum.UserAction的名字）即module的值"user"与模块的方法名即action的值"validateLogin"存储到SimpleHash类的对象context中。
   
    3.15在SimpleHash中添加语言类型、用户Session、Http请求Request对象req、外覆类ResponseContext对象response。

    3.16调用JForum类的processCommand()方法。在该方法中：

        (1)借助JForum类的retrieveCommand()方法，创建module对应的Action的实例，即net.jforum.view.forum.UserAction类的对象。

        (2)调用父类Command的process()方法处理特定的业务逻辑。在该方法中：

            a.获取处理特定业务逻辑的方法名，即"action"的值"validateLogin"。

            b.借助反射机制调用net.jforum.view.forum.UserAction类的validateLogin()方法。在该方法中：

                b0.首先取出用户名、密码。用户名、密码既有可能包含HTTP请求头，也可能直接包装在HTTP请求中，需要借助parseBasicAuthentication()方法进行甄别。然后用不同的方式取出用户名、密码。

                b1.调用net.jforum.view.forum.UserAction类的validateLogin(String name, String password)方法进行验证。在该方法中：

                    b11.获取一个GenericUserDAO类对象。

                    b12.调用GenericUserDAO类的validateLogin(String username, String password)方法进行验证。在该方法中：

                        b121.调用DefaultLoginAuthenticator类型的validateLogin(String username, String password, Map extraParams)方法进行验证。在该方法中：

                            step1.通过查询语句SELECT user_id FROM jforum_users WHERE LOWER(username) = LOWER(?) AND user_password = ?查询是否具有满足条件的记录

                            step2.如果查询结果集为空，不创建User对象。

                            step3.返回null

                b2.判断返回的User对象是否为null，如果不为空

                    b21.调用UserAction类的buildSucessfulLoginRedirect()方法，设定登录成功后，页面跳转到位置。/Forum/forums/list.page。

                    b22.借助SessionFacade类的makeLogged()方法将HttpSession中设置属性logged值为1。实质上是由WebSessionContext类对象完成的工作。WebSessionContext类是HttpSession类的一个自定义外覆类，对当前请求HttpRequest的HttpSession对象进行了封装，通过WebSessionContext类提供的接口访问HttpSession类一些属性。

                    b23.借助SessionFacade类的isUserInSession(int userId)方法，判断是否存在一个Seesion对象和User对象存在映射关系（即DefaultCacheEngine类的对象，该类中有一个Map属性）。存储的机制是缓存里有一个Map，该Map与字符串"sessions/userId"之间有一个映射关系。通过字符串"sessions/userId"可以取得该Map。这个Map对象存储着sessionid与usersession之间的映射。sessions/userId"存储在SessionFacade.FQN中。

                    b24.以"sessions"Map中的Session为蓝本，克隆一个新的UserSession对象。
                    注意：为什么要克隆？因为如果仅仅是引用的话，删除一个Map中的UserSession，其他的Map也会受影响。为了保证数据的独立性，所以采用了克隆。

                    b25.借助SessionFacade类的remove(String sessionId)方法在"sessions/userId"Map、"sessions/logged"Map、"sessions"Map中删除当前的UserSession对象。同时，匿名用户数量减1。

                    b26.把用户数据（即验证后返回的User对象）添加到当前的UserSession中。

                    b27.从数据库中取出上次登录的开始时间和停留时间，并相加，计算出上次退出系统的时间

                    b28.将UserSession对象存储到缓存中。

                    b29.在HttpRequest中添加"topics.tracking"属性，类型是HashMap。（用处暂时未知）。
                   
                    b30.添加"cookie.name.data"cookie。

                    b31.载入用户权限。生成权限对象。

                b3.判断合法登录的标记是否为真，如果不为真

                    b31.在SimpleHash类对象context中，置invalidLogin属性值为1

                    b32.设置模版为forum_login.htm

            c.借助JForumExecutionContext.templateConfig().getTemplate(
                new StringBuffer(SystemGlobals.getValue(ConfigKeys.TEMPLATE_DIR)).
                append('/').append(this.templateName).toString(),"UTF-8");装载模板Template对象。注意："UTF-8"否则中文无法正常显示。

        (3)Template对象输出。
   
    5.16调用JForum类的handleFinally方法，如果检测到重定向URL不为空，就执行重定向操作。