欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  网络运营

[Ruby On Rails] Action Controller - 控制HTTP 流程

程序员文章站 2022-06-27 22:50:40
HTTP通讯协定是一种Request-Response(请求-回应)的流程,客户端(通常是浏览器)向伺服器送出一个HTTP request封包,然后伺服器就回应一个response封包。...

HTTP通讯协定是一种Request-Response(请求-回应)的流程,客户端(通常是浏览器)向伺服器送出一个HTTP request封包,然后伺服器就回应一个response封包。在上一章中,我们介绍了Rails如何使用路由来分派request到Controller的其中一个Action。而每个Action的任务就是根据客户端传来的资料与Model互动,然后回应结果给客户端。这一章中我们将仔细介绍负责回应请求的Controller。

ApplicationController

透过rails g controller指令产生出来的controller都会继承自ApplicationController。因此定义在这里的方法可以被所有Controller取用,你可以在这边定义一些共用的方法。预设的application_controller.rb长的如下:

class ApplicationController < ActionController::Base
  protect_from_forgery
end

其中的protect_from_forgery方法启动了CSRF安全性功能,所有非GET的HTTP request都必须带有一个Token参数才能存取,Rails会自动在所有表单中帮你插入Token参数,预设的Layout中也有一行<% = csrf_meta_tag %>标签可以让JavaScript读取到这个Token。

但是当需要开放API给非浏览器客户端时,例如手机端或第三方应用的回呼(webhook),这时候我们会需要关闭这个功能,例如:

class ApisController < ApplicationController
  skip_before_action :verify_authenticity_token # 整个ApisController 关闭检查
end

CSRF 网路攻击http://en.wikipedia.org/wiki/Cross-site_request_forgery

注意,请将方法放在protected或private之下,如果是public方法,就会变成一个公开的Action可以给浏览器呼叫到。

产生Controller与Action

我们在Part1示范过,要产生一个Controller档案,请输入

rails g controller events

如此便会产生app/controllers/events_controller.rb,依照RESTful设计的惯例,所有的Controller命名都是复数,而档案名称依照惯例都是{name}_controller.rb。

一个Action就是Controller里的一个Public方法:

class EventsController < ApplicationController
  def show
    # ...
  end
end

 

在Action方法中我们要处理request,基本上会做三件事情: 1.收集request的资讯,例如使用者传进来的参数2.操作Model来做资料的处理3.回传response结果,这个动作称作render

Request资讯收集

在Controller的Action之中,Rails提供了一些方法可以让你得知此request各种资讯,包括:

  • action_name目前的Action名称
  • cookiesCookie下述
  • headersHTTP标头
  • params包含用户所有传进来的参数Hash,这是最常使用的资讯
  • request各种关于此request的详细资讯,较常用的例如:
    • xml_http_request? 或xhr?,这个方法可以知道是不是Ajax 请求
    • host_with_port
    • remote_ip
    • headers
    • response代表要回传的内容,会由Rails设定好。通常你会用到的时机是你想加特别的Response Header。
    • sessionSession下述

正确的说,params这个Hash是ActiveSupport::HashWithIndifferentAccess物件,而不是普通的Hash而已。Ruby内建的Hash,用Symbol的hash[:foo]和用字串的hash["foo"]是不一样的,这在混用的时候常常搞错而取不到值,算是常见的臭虫来源。Rails在这里使用的ActiveSupport::HashWithIndifferentAccess物件,无论键是Symbol或字串,都指涉相同的值,减少麻烦。

Render结果

在根据request资讯做好资料处理之后,我们接下来就要回传结果给用户。事实上,就算你什么都不处理,Action方法里面空空如也,甚至不定义Action,Rails预设也还是会执行render方法。这个render方法会回传预设的Template,依照Rails惯例就是app/views/{controller_name}/{action_name}。如果找不到样板档案的话,会出现Template is missing的错误。

当然,有时候我们会需要自定render,也许是指定不同的Template,也许是不需要Template。这时候有以下参数可以使用:

直接回传结果

  • render :text => "Hello"直接回传字串内容,不使用任何样板。
  • render :xml => @event.to_xml回传XML格式
  • render :json => @event.to_json回传JSON格式(再加上:callback就会是JSONP)
  • render :nothing => true空空如也

指定Template

  • :template指定Template,例如render :template => "index"或可以省略成render "index",如果是不同Controller的Template再加上Controller名称,例如render "events/index"
  • :action指定同一个Controller中另一个Action的Template(注意到只是使用它的Template,而不会执行该Action内的程式)

其他参数

  • :status设定HTTP status,预设是200,也就是正常。其他常用代码包括401权限不足、404找不到页面、500伺服器错误等。
  • :layout可以指定这个Action的Layout,设成false即关掉Layout

补充一提,在特定情况你想把render的结果存成一个字串,例如拿到局部样板Partials成为一个字串,这时候可以改使用render_to_string :partial => "foobar"

Redirect

如果Action不要render任何结果,而是要使用者转向到别页,可以使用redirect_to

  • redirect_to events_url
  • redirect_to :back回到上一页。

注意,一个Action中只能有一个render或一个redirect_to。不然你会得到一个DoubleRenderError例外错误。

串流Sending data

如果需要回传二进位Binary资料,有两个方法可以使用:

send_data(data, options={})回传二进位字串,接受以下参数:

  • 其中data参数是二进位的字串:
  • :filename使用者储存下来的档案名称
  • :type预设是application/octet-stream
  • :dispositioninline或attachment
  • :status预设是200

send_file(file_location, options={})回传一个档案,接受以下参数:

  • 其中file_location是档案路径和档名:
  • :filename使用者储存下来的档案名称
  • :type预设是application/octet-stream
  • :dispositioninline或attachment
  • :status预设是200

不过实务上我们很少在上线环境上直接用Rails来推送静态档案,因为大档的传输时间会浪费宝贵的Rails运算资源。我们会改用X-Sendfile Header将传档的任务委派给网页伺服器(例如Apache或Nginx)处理,来降低Rails伺服器的负担。或是搭配第三方云储存服务例如AWS S3将传档的任务外包出去。

respond_to

我们在第六章RESTful应用程式中曾经示范过用法,respond_to可以用来回应不同的资料格式。Rails内建支援格式包括有:html, :text, :js, :css, :ics, :csv, :xml, :rss, :atom, :yaml, :json等。如果需要扩充,可以编辑config/initializers/mime_types.rb这个档案。

如果你想要设定一个else的情况,你可以用:any

respond_to do |format|
  format.html
  format.xml { render :xml => @event.to_xml }
  format.any { render :text => "WTF" }
end

另外,Rails也支援单行的简单写法:

respond_to :html, :json, :js

这样其实就是:

respond_to do |format|
  format.html
  format.json
  format.js
end	

Sessions

HTTP是一种无状态的通讯协定,为了能够让浏览器能够在跨request之间记住资讯,Rails提供了Session功能,像是记住登入的状态、记住使用者购物车的内容等等,都是用Session实作出来的。

要操作Session,直接操作session这个Hash变数即可。例如:

session[:cart_id] = @cart.id

Session原理可以参考Session_ID,基本上也是利用浏览器的cookie来追踪requests请求。

Session storage

Rails预设采用Cookies session storage来储存Session资料,它是将Session资料透过config/secrets.yml的secret_key_base编码后放到浏览器的Cookie之中,最大的好处是对伺服器的效能负担很低,缺点是大小最多4Kb,以及资料还是可以透过反编码后看出来,只是无法进行修改。因此安全性较低,不适合存放机密资料。

除了??Cookies session storage,Rails也支援其他方式,你可以修改config/initializers/session_store.rb:

  • :active_record_store使用资料库来储存
  • :mem_cache_store使用Memcached快取系统来储存,适合高流量的网站

一般来说使用预设的Cookies session storage即可,如果对安全性较高要求,可以使用资料库。如果希望兼顾效能,可以考虑使用Memcached。

采用:active_record_store的话,必须安装activerecord-session_store gem,然后产生sessions资料表:

$ rails g active_record:session_migration
$ rake db:migrate

Cookies

除了??Session,我们也可以直接操作底层的Cookie,以下是一些使用范例:

# Sets a simple session cookie.
cookies[:user_name] = "david"

# Sets a cookie that expires in 1 hour.
cookies[:login] = { :value => "XJ-122", :expires => 1.hour.from_now }

# Example for deleting:
cookies.delete :user_name

cookies[:key] = {
   :value => 'a yummy cookie',
   :expires => 1.year.from_now,
   :domain => 'domain.com'
}

cookies.delete(:key, :domain => 'domain.com')

因为资料是存放在使用者浏览器,所以如果需要保护不能让使用者乱改,Rails也提供了Signed方法:

cookies.signed[:user_preference] = @current_user.preferences

另外,如果是尽可能永远留在使用者浏览器的资料,可以使用Permanent方法:

cookies.permanent[:remember_me] = [current_user.id, current_user.salt]

两者也可以加在一起用:

cookies.permanent.signed[:remember_me] = [current_user.id, current_user.salt]

Flash讯息

我们在Part1示范过用Flash来传递讯息。它的用处在于redirect时,能够从这一个request传递文字讯息到下一个request,例如从create Action传递「成功建立」的讯息到show Action。

flash是一个Hash,其中的键你可以自定,常用:notice:warning:error等。例如我们在第一个Action中设定它:

def create
  @event = Event.create(params[:event])
  flash[:notice] = "成功建立"
  redirect_to event_url(@event)
end

那么在下一个Action中,我们就可以在Template中读取到这个讯息,通常我们会放在Layout中:


<%= flash[:notice] %>

或是直接用notice这个Helper:


<%= notice %>

使用过一次之后,Rails就会自动清除flash。

另外,有时候你等不及到下一个Action,就想让Template在同一个Action中读取到flash值,这时候你可以写成:

flash.now[:notice] = "foobar"

最后,Rails预设针对noticealert这两个类型可以直接塞进redirect_to当作参数,例如:

redirect_to event_url(@event), :notice => "成功建立"

你也可以自行扩充,例如新增一个warning:

# app/controllers/application_controller.rb
class ApplicationController < ActionController::Base
  add_flash_types :warning
  #...
end
  
# in your controller
redirect_to user_path(@user), warning: "Incomplete profile"

# in your view
<%= warning %>

Filters

可将Controller中重复的程式抽出来,有三种方法可以定义在进入Action之前、之中或之后执行特定方法,分别是before_actionafter_actionaround_action,其中before_action最为常用。这三个方法可以接受Code block、一个Symbol方法名称或是一个物件(Rails会呼叫此物件的filter方法)。

before_action

before_action最常用于准备跨Action共用的资料,或是使用者权限验证等等:

class EventsControler < ApplicationController
  before_action :find_event, :only => :show

  def show
  end

  protected

  def find_event
    @event = Event.find(params[:id])
  end

end

每一个都可以搭配:only:except参数。

around_action

# app/controllers/benchmark_filter.rb
class BenchmarkFilter
    def self.filter(controller)
     timer = Time.now
     Rails.logger.debug "---#{controller.controller_name} #{controller.action_name}"
     yield # 这里让出来执行Action动作
     elapsed_time = Time.now - timer
     Rails.logger.debug "---#{controller.controller_name} #{controller.action_name} finished in %0.2f" % elapsed_time
    end
end

# app/controller/events_controller.rb
class EventsControler < ApplicationController
    around_action BenchmarkFilter
end

Filter的顺序

当有多个Filter时,Rails是由上往下依序执行的。如果需要加到第一个执行,可以使用prepend_before_action方法,同理也有prepend_after_actionprepend_around_action

如果需要取消从父类别继承过来的Filter,可以使用skip_before_action :filter_method_name方法,同理也有skip_after_actionskip_around_action

rescue_from

rescue_from可以在Controller中宣告救回特定的例外,改用你指定的方法处理,例如:

class ApplicationController < ActionController::Base

    rescue_from ActiveRecord::RecordInvalid, :with => :show_error

    protected

    def show_error
        # render something
    end

end    

那些没有被拦截到的错误例外,使用者会看到Rails预设的500错误画面。一般来说比较常会用到rescue_from的时机,可能会是使用某些第三方函式库,该函式库可能会丢出一些例外是你想要做额外的错误处理。例如在pundit这个检查权限的套件,如果发生权限不够的情况,会丢出Pundit::NotAuthorizedError的例外,这时候就可以捕捉这个例外,改成回到首页:

rescue_from Pundit::NotAuthorizedError, with: :user_not_authorized

protected

def user_not_authorized
 flash[:alert] = I18n.t(:user_not_authorized)
 redirect_to(request.referrer || root_path)
end

顺道一提,关于如何设计好例外处理,可以参考笔者的一份投影片:Exception Handling: Designing Robust Software in Ruby

HTTP Basic Authenticate

Rails内建支援HTTP Basic Authenticate,可以很简单实作出认证功能:

class PostsController < ApplicationController
    before_action :authenticate

    protected

    def authenticate
     authenticate_or_request_with_http_basic do |username, password|
       username == "foo" && password == "bar"
     end
    end
end

或是这样写:

class PostsController < ApplicationController
    http_basic_authenticate_with :name => "foo", :password => "bar"
end

侦测客户端装置提供不同内容

透过设定request.variant我们可以提供不同的Template内容,这可以拿来针对不同的客户端装置,提供不同的内容,例如利用request.user_agent来自动侦测电脑、手机和平板装置:

class ApplicationController < ActionController::Base

before_action :detect_browser

private
   
def detect_browser
  case request.user_agent
    when /iPad/i
      request.variant = :tablet
    when /iPhone/i
      request.variant = :phone
    when /Android/i && /mobile/i
      request.variant = :phone
    when /Android/i
      request.variant = :tablet
    when /Windows Phone/i
      request.variant = :phone
    else
      request.variant = :desktop
   end
end

接着在需要支援的action中,加上

def index
  # ...
  respond_to do |format|
    format.html
    format.html.phone
    format.html.tablet
  end
end

Template的命名则是index.html+phone.erb和index.html+tablet.erb。