在构建 java web 应用程序时,有时我们会为模型类使用 Form 类,以“...保存将 ServletRequest 传递给其他组件,例如验证器。ServletRequest 是特定于 servlet 的类型,不应该暴露给应用程序的其他层。" 表单类与模型类是相同的类,但不可序列化。
引用来自 Servlets & JSP 和 Spring MVC 教程。我试图理解第二个语句,即 ServletRequest 对象已公开。出于安全原因,这是最佳做法吗?如果有人可以解释,那就太好了。显然,实现这一点需要大量代码,对于初学者来说,这似乎是多余的。
非常感谢, A.
【问题讨论】:
ServletRequest 是特定于 servlet 的类型,不应暴露给应用程序的其他层。
如果您的服务、数据访问对象等都绑定到 ServletRequest 类(例如,它们都以 ServletRequest 作为参数),那么您有两个主要缺点:
让我们举一个简单的例子。这两个版本的方法之间最容易理解的是什么:
class TransferForm {
String fromAccountId;
String toAccountId;
BigDecimal amount;
// constructor, methods omitted for brevity
}
void transferMoney(TransferForm form);
或
void transferMoney(HttpServletRequest request)
知道必须将什么作为参数传递给这两种方法有多容易?
在第一种情况下,非常清楚。
在第二种情况下:请求中的金额在哪里?是参数吗?一个属性?它是如何命名的?它应该有什么类型?如何在测试中创建和填充 HttpServletRequest 实例?
【讨论】: