<allow>

     <create creator="new" javascript="service">
       <param name="class" value="helloWorld.Service"/>
     </create>

   </allow>

3.2 <init>標簽
這個初始化部分申明被用來創建遠程beans而且這個類能被用來以某種過程轉換。大多數例子你將不需要用它，如果你想去定義一個新的Creator或者Converter，就要在此被申明。 在init部分里有了定義只是告訴DWR這些擴展類的存在，給出了如何使用的信息。這時他們還沒有被使用。這種方式很像Java中的import語句。多數類需要在使用前先import一下，但是只有import語句并不表明這個類已經被使用了。每一個creator和converter都用id屬性，以便后面使用。

3.3 <allow>標簽
allow部分定義了DWR能夠創建和轉換的類。
3.3.1 Creator
每一個在類中被調用的方法需要一個<create …>有若干類型的creator，使用“new”關鍵字或者Spring 框架等。

create元素是如下的結構：

<allow>
<create creator="..." javascript="..." scope="...">
   <param name="..." value="..." />
   <auth method="..." role="..." />
   <exclude method="..." />
   <include method="..." />
</create>
...
</allow>

1)．new：Java用“new”關鍵字創造對象 是DWR默認的creator，如下所示 <create id="new" class="org.directwebremoting.create.NewCreator"/>
沒有必要把它加入dwr.xml，它已經在DWR內部文件了。 這個creator將使用默認構造器創建類的實例，以下是用new創建器的好處
? 安全:DWR創造的對象生存的時間越短，多次調用中間的值不一致的錯誤機會越少。
? 內存消耗低： 如果你的站點用戶量非常大，這個創造器可以減少VM的內存溢出。
2)．none: 它不創建對象，看下面的原因。

(v1.1+) none創建器不創建任何對象，它會假設你不須要創建對象。有2個使用的原因：
? 你可能在使用的scope不是"page"(看上面)，并在在前面已經把這個對象創建到這個scope中了，這時你就不需要再創建對象了。
? 還有一種情況是要調用的方法是靜態的，這時也不需要創建對象。DWR會在調用創建器之前先檢查一下這個方法是不是靜態的。

2. javascript屬性
在瀏覽器里給你創建的對象命名。避免使用JavaScript保留字。這個名字將在頁面里作為js被導入，就像第2章節的那個jsp： dwr.xml

<create creator="new" javascript="service">

   <param name="class" value="helloWorld.Service" />

</create>
html / jsp：

<html> <head>

…

<script type='text/javascript' src='dwr/interface/service.js'>

…

3. scope屬性
和定義在servlet的scope一樣大的范圍，它允許你指定哪個bean是可以獲得的。選項可以是：application, session, request和page。這些值應該已經被開發者們熟悉了。

4. param元素
被用來指定創造器的其他參數，每種構造器各有不同。例如，"new"創造器需要知道要創建的對象類型是什么。每一個創造器的參數在各自的文檔中能找到。
5. include和exclude元素
允許一個創造器去限制進入類的方法。一個創造器必須指定include列表或exclude列表之一。如果是include列表則暗示默認的訪問策略是"拒絕"，include中的每個方法就是允許訪問的方法；如果是exclude列表則暗示默認的訪問策略是"允許"，exclude中的每個方法就是拒絕訪問的方法。 比如：

<create creator="new" javascript="Fred">
   <param name="class" value="com.example.Fred" />
   <include method="setWibble" />
</create>

3.3.2 Converter
我們需要確認所有的參數能被轉換。許多JDK提供的類型使你能夠使用，但是你如果要轉換你自己的代碼，就必須告訴DWR。一般是指JavaBean的參數需要一個<convert…>標簽作為入口。

你不需要在dwr.xml中<allow>部分的<convert>中定義。它們默認支持。
? 所有主要的類型，boolean, int , double等等。
? 包裝類，Boolean, Integer等等。
? java.lang.String
? java.util.Date 和 java.sql.Times，java.sql.Timestamp。
? 數組(存放以上類型的)
? 集合類型 (List, Set, Map, Iterator等等) (存放以上類型的)
? DOM對象(來自于DOM, XOM, JDOM和DOM4J)

1. 日期轉換器
如果你有一個String(例如：“2001－02－11”)在Javascript，你想把它轉換成Java日期。那么你有2種選擇，一是使用Date.parse()然后使用DataConverter傳入服務器端，還有一種選擇是把該String傳入，然后用java的SimpleDateFormat(或者其他的)來轉換。 同樣，如果你有個Java的Date類型并且希望在HTML使用它。你可以先用SimpleDateFormat把它轉換成字符串再使用。也可以直接傳Date給Javascript，然后用Javascript格式化。第一種方式簡單一些，盡管浪費了你的轉換器，而且這樣做也會是瀏覽器上的顯示邏輯受到限制。其實后面的方法更好，也有一些工具可以幫你

2. 數組轉換器
數組實體不太容易理解。默認情況下DWR能轉換所有原生類型的數組，還有所有marshallable對象的數組。這些marshallable對象包括前面介紹的String和Date類型。match屬性看上去很怪。
3. bean和對象轉換器
兩個沒有默認打開的轉換器是Bean 和 Object 轉換器。Bean轉換器可以把POJO轉換成Javascript的接合數組(類似與Java中的Map)，或者反向轉換。這個轉換器默認情況下是沒打開的，因為DWR要獲得你的允許才能動你的代碼。 Object轉換器很相似，不同的是它直接應用于對象的成員，而不是通過getter和setter方法。下面的例子都是可以用object來替換bean的來直接訪問對象成員。 如果你有一個在 <create ...> 中聲明的遠程調用Bean。它有個一參數也是一個bean，并且這個bean有一個setter存在一些安全隱患，那么攻擊者就可能利用這一點。 你可以為某一個單獨的類打開轉換器：

<convert converter="bean" match="your.full.package.BeanName"/>
如果要允許轉換一個包或者子包下面的所有類，可以這樣寫： <convert converter="bean" match="your.full.package.*"/>
顯而易見，這樣寫是允許轉換所有的JavaBean： <convert converter="bean" match="*"/>
? BeanConverter 和 JavaBeans 規范 用于被BeanConverter轉換的Bean必須符合JavaBeans的規范，因為轉換器用的是Introspection，而不是Reflection。

這就是說屬性要符合一下條件：有getter和setter，setter有一個參數，并且這個參數的類型是getter的返回類型。setter應該返回void，getter應該沒有任何參數。setter沒有重載。以上這些屬于常識。就在eclipse里自動為每個屬性添加setter，getter那種類型，如果你用的不是JavaBean，那么你應該用ObjectConverter.
? 設置Javascript變量 DWR可以把Javascript對象(又名maps，或聯合數組)轉換成JavaBean或者Java對象。例子：
public class Remoted {

public void setPerson(Person p) { // ... } }

public class Person {

    public void setName(String name) { ... }

public void setAge(int age) { ... } // ... }

如果這個Remoted已經被配置成Creator了，Persion類也定義了BeanConverter，那么你可以通過下面的方式調用Java代碼：

var p = { name:"Fred", age:21 }; Remoted.setPerson(p);

4. 集合類型轉換器
有個兩個默認的轉換器，針對Map和Collection：

<convert converter="collection" match="java.util.Collection"/>

<convert converter="map" match="java.util.Map"/>

4.7 DWR與WebWork
WebWork支持在DWR2.0m3以后才有。 要可以通過DWR調用WW的Action，要做兩件事。
4.7.1 配置dwr.xml
你必須在dwr的配置文件中加入這樣的配置：

<create creator="none" javascript="DWRAction">
<param name="class" value="org.directwebremoting.webwork.DWRAction" />
<include method="execute" />
</create>
<convert converter="bean"
match="org.directwebremoting.webwork.ActionDefinition">
<param name="include" value="namespace,action,method,executeResult" />
</convert>
<convert converter="bean"
match="org.directwebremoting.webwork.AjaxResult" />
<convert converter="bean" match="your_action_package.*"/>

這樣你AjaxWebWork Action調用返回一個action實例(而不是文字)。然后你必須包括action對象的轉換
器定義(package級別或單獨action)。

------------------------------------------DWR中的JavaScript簡介---------------------------------------------

DWR根據dwr.xml生成和Java代碼類似的Javascript代碼。 相對而言Java同步調用，創建與Java代碼匹配的Ajax遠程調用接口的最大挑戰來至與實現Ajax的異步調用特性。

5.1 簡單的回調函數

假設你有一個這樣的Java方法：
public class Remote {
        public String getData(int index)
         { ... }
}

<script type='text/javascript' src='[WEBAPP]/dwr/engine.js'></script>
<script type='text/javascript' src='[WEBAPP]/dwr/interface/Remote.js'></script>
……
<script type="text/javascript">
function handleGetData(str) { alert(str); } Remote.getData(42,
handleGetData);
</script>

42是Java方法getData()的一個參數。

此外你也可以使用這種減縮格式： Remote.getData(42, function(str) { alert(str); });

5.2 調用元數據對象
另外一種語法時使用"調用元數據對象"來指定回調函數和其他的選項。上面的例子可以寫成這樣：

Remote.getData(42, {

   callback:function(str) { alert(str);

} });

---------------------------------------------------- util.js 功能-----------------------------------------------------
util.js包含了一些工具函數來幫助你用javascript數據(例如從服務器返回的數據)來更新你的web頁面。 你可以在DWR以外使用它，因為它不依賴于DWR的其他部分。你可以下載整個DWR或者單獨下載. 4個基本的操作頁面的函數：getValue[s]()和setValue[s]()可以操作大部分HTML元素除了table，list和image。getText()可以操作select list。 要修改table可以用addRows()和removeAllRows()。要修改列表(select列表和ul,ol列表)可以用addOptions()和removeAllOptions()。 還有一些其他功能不是DWRUtil的一部分。但它們也很有用，它們可以用來解決一些小問題，但是它們不是對于所有任都通用的。
7.1 $()
$() 函數(它是合法的Javascript名字) 是從Protoype偷來的主意。 大略上的講： $ = document.getElementById。 因為在Ajax程序中，你會需要寫很多這樣的語句，所以使用 $() 會更簡潔。 通過指定的id來查找當前HTML文檔中的元素，如果傳遞給它多個參數，它會返回找到的元素的數組。所有非String類型的參數會被原封不動的返回。這個函數的靈感來至于prototype庫，但是它可以在更多的瀏覽器上運行。 可以看看DWRUtil.toDescriptiveString的演示。 從技術角度來講他在IE5.0中是不能使用的，因為它使用了Array.push，盡管如此通常它只是用來同engine.js一起工作。如果你不想要engine.js并且在IE5.0中使用，那么你最好為Array.push找個替代品。
7.2 addOptions and removeAllOptions
DWR的一個常遇到的任務就是根據選項填充選擇列表。下面的例子就是根據輸入填充列表。 下面將介紹 DWRUtil.addOptions() 的幾種是用方法。 如果你希望在你更新了select以后，它仍然保持運來的選擇，你要像下面這樣做： var sel = DWRUtil.getValue(id); DWRUtil.removeAllOptions(id); DWRUtil.addOptions(id, ...); DWRUtil.setValue(id, sel);
55 / 92
如果你想加入一個初始的"Please select..." 選項那么你可以直接加入下面的語句： DWRUtil.addOptions(id, \["Please select ..."]);
DWRUtil.addOptions有5種模式
? 數組: DWRUtil.addOptions(selectid, array) 會創建一堆option，每個option的文字和值都是數組元素中的值。
? 對象數組 (指定text): DWRUtil.addOptions(selectid, data, prop) 用每個數組元素創造一個option，option的值和文字都是在prop中指定的對象的屬性。
? 對象數組 (指定text和value值): DWRUtil.addOptions(selectid, array, valueprop, textprop) 用每個數組元素創造一個option，option的值是對象的valueprop屬性，option的文字是對象的textprop屬性。
? 對象: DWRUtil.addOptions(selectid, map, reverse)用每個屬性創建一個option。對象屬性名用來作為option的值，對象屬性值用來作為屬性的文字，這聽上去有些不對。但是事實上卻是正確的方式。如果reverse參數被設置為true，那么對象屬性值用來作為選項的值。
? 對象的Map: DWRUtil.addOptions(selectid, map, valueprop, textprop) 用map中的每一個對象創建一個option。用對象的valueprop屬性做為option的value，用對象的textprop屬性做為option的文字。
? ol 或 ul 列表: DWRUtil.addOptions(ulid, array) 用數組中的元素創建一堆li元素，他們的innerHTML是數組元素中的值。這種模式可以用來創建ul和ol列表。
這是網上的例子

7.3 addRows and removeAllRows
DWR通過這兩個函數來幫你操作table： DWRUtil.addRows() 和 DWRUtil.removeAllRows() 。這個函數的第一個參數都是table、tbody、thead、tfoot的id。一般來說最好使用tbody，因為這樣可以保持你的header和footer行不變，并且可以防止Internet Explorer的bug。
? DWRUtil.removeAllRows()
DWRUtil.removeAllRows(id);
描述: 通過id刪除table中所有行。 參數: id： table元素的id(最好是tbody元素的id)

? DWRUtil.addRows()
DWRUtil.addRows(id, array, cellfuncs, [options]);
描述: 向指定id的table元素添加行。它使用數組中的每一個元素在table中創建一行。然后用cellfuncs數組中的沒有函數創建一個列。單元格是依次用cellfunc根據沒有數組中的元素創建出來的。 DWR1.1開始，addRows()也可以用對象做為數據。如果你用一個對象代替一個數組來創建單元格，這個對象會被傳遞給cell函數。 參數: id: table元素的id(最好是tbody元素的id) array: 數組(DWR1.1以后可以是對象)，做為更新表格數據。 cellfuncs: 函數數組，從傳遞過來的行數據中提取單元格數據。 options: 一個包含選項的對象(見下面) 選項包括: rowCreator: 一個用來創建行的函數(例如，你希望個tr加個css). 默認是返回一個document.createElement("tr") cellCreator: 一個用來創建單元格的函數(例如，用th代替td). 默認返回一個document.createElement("td")
這是網上的例子
7.4 getText
getText(id)和getValue(id)很相似。出了它是為select列表設計的。你可能需要取得顯示的文字，而不是當前選項的值。
這是網上的例子
7.5 getValue
DWRUtil.getValue(id)是 setValue()對應的"讀版本"。它可以從HTML元素中取出其中的值，而你不用管這個元素是select列表還是一個div。 這個函數能操作大多數HTML元素包括select(去處當前選項的值而不是文字)、input元素(包括textarea)、div和span。
這是網上的例子

7.6 getValues
getValues()和getValue()非常相似，除了輸入的是包含name/value對的javascript對象。name是HTML元素的ID，value會被更改為這些ID對象元素的內容。這個函數不會返回對象，它只更改傳遞給它的值。 從DWR1.1開始getValues()可以傳入一個HTML元素(一個DOM對象或者id字符串)，然后從它生成一個reply對象。

7.7 onReturn
當按下return鍵時，得到通知。 當表單中有input元素，觸發return鍵會導致表單被提交。當使用Ajax時，這往往不是你想要的。而通常你需要的觸發一些Javscript。 不幸的是不同的瀏覽器處理這個事件的方式不一樣。所以DWRUtil.onReturn修復了這個差異。如果你需要一個同表單元素中按回車相同的特性，你可以用這樣代碼實現： <input type="text" onkeypress="DWRUtil.onReturn(event,submitFunction)"/> <input type="button" onclick="submitFunction()"/>
你也可以使用onkeypress事件或者onkeydown事件，他們做同樣的事情。 一般來說DWR不是一個Javascript類庫，所以它應該試圖滿足這個需求。不管怎樣，這是在使用Ajax過程中一個很有用函數。 這個函數的工作原理是onSubmit()事件只存在于<FORM ...>元素上
這是網上的例子
7.8 selectRange
選擇一個輸入框中的一定范圍的文字。 你可能為了實現類似"Google suggest"類型的功能而需要選擇輸入框中的一定范圍的文字，但是不同瀏覽器間選擇的模型不一樣。這DWRUtil函數可以幫你實現。 DWRUtil.selectRange(ele, start, end)
這是網上的例子

7.9 setValue
DWRUtil.setValue(id, value)根據第一個參數中指定的id找到相應元素，并根據第二個參數改變其中的值。 這個函數能操作大多數HTML元素包括select(去處當前選項的值而不是文字)、input元素(包括textarea)、div和span。
這是網上的例子
7.10 setValues
setValues()和setValue()非常相似，除了輸入的是包含name/value對的javascript對象。name是HTML元素的ID，value是你想要設置給相應的元素的值。
這是網上的例子
7.11 toDescriptiveString
DWRUtil.toDescriptiveString()函數比默認的toString()更好。第一個參數是要調試的對象，第二個參數是可選的，用來指定內容深入的層次： 0: 單行調試 1: 多行調試，但不深入到子對象。 2: 多行調試，深入到第二層子對象 以此類推。一般調試到第二級是最佳的。 還有第三個參數，定義初始縮進。這個函數不應該被用于調式程序之外，因為以后可能會有變化。
這是網上的例子
7.12 useLoadingMessage
這個方法將來可能被廢棄，因為這個實現實在太專斷了。為什么是紅色，為什么在右上角，等等。唯一的真正答案就是：抄襲GMail。這里的建議是以本頁面中的代碼為模板，根據你的需求自定義。 你必須在頁面加載以后調用這個方法(例如，不要在onload()事件觸發之前調用)，因為它要創建一個隱藏的div來容納消息。

最簡單的做法時在onload事件中調用DWRUtil.useLoadingMessage，像這樣： <head> <script> function init() { DWRUtil.useLoadingMessage(); } </script> ... </head> <body onload="init();"> ...
可能有些情況下你是不能容易的編輯header和body標簽(如果你在使用CMS，這很正常)，在這樣的情況下你可以這樣做： <script> function init() { DWRUtil.useLoadingMessage(); } if (window.addEventListener) { window.addEventListener("load", init, false); } else if (window.attachEvent) { window.attachEvent("onload", init); } else { window.onload = init; } </script>
下面這些是這個函數的代碼，它對于你要實現自己的加載消息很有用。這個函數的主要內容是動態創建一個div(id是disabledZone)來容納消息。重要的代碼是當遠程調用時使它顯示和隱藏： DWREngine.setPreHook(function() { $('disabledZone').style.visibility = 'visible'; }); DWREngine.setPostHook(function() { $('disabledZone').style.visibility = 'hidden'; }); This is fairly simple and makes it quite easy to implement your own "loading" message.

function useLoadingImage(imageSrc) { var loadingImage; if (imageSrc) loadingImage = imageSrc; else loadingImage = "ajax-loader.gif"; DWREngine.setPreHook(function() { var disabledImageZone = $('disabledImageZone'); if (!disabledImageZone) { disabledImageZone = document.createElement('div'); disabledImageZone.setAttribute('id', 'disabledImageZone'); disabledImageZone.style.position = "absolute"; disabledImageZone.style.zIndex = "1000"; disabledImageZone.style.left = "0px"; disabledImageZone.style.top = "0px"; disabledImageZone.style.width = "100%"; disabledImageZone.style.height = "100%"; var imageZone = document.createElement('img'); imageZone.setAttribute('id','imageZone'); imageZone.setAttribute('src',imageSrc); imageZone.style.position = "absolute"; imageZone.style.top = "0px"; imageZone.style.right = "0px"; disabledImageZone.appendChild(imageZone); document.body.appendChild(disabledImageZone); } else { $('imageZone').src = imageSrc; disabledImageZone.style.visibility = 'visible'; } }); DWREngine.setPostHook(function() { $('disabledImageZone').style.visibility = 'hidden'; }); }
然后你就可以這樣使用:useLoadingImage("images/loader.gif");

7.13 Submission box
h1 非util.js中的功能 這里有一些功能不適合加入到DWRUtil中。它們在解決一下特殊問題是很有用，但是他們還不夠通用以適用任何場合。
62 / 92
修補瀏覽器事件 如果你創建了一個DOM元素，然后用addAttribute在這個元素上創建了一個事件，那么他們不能被正常的觸發。你可以使用下面的腳本來遍歷一個DOM樹，并重新為他們綁定事件，這樣他們就能正常的觸發了。 把'click'改成你希望的事件。 DWREngine._fixExplorerEvents = function(obj) { for (var i = 0; i < obj.childNodes.length; i++) { var childObj = obj.childNodes [i]; if (childObj.nodeValue == null) { var onclickHandler = childObj.getAttribute('onclick'); if (onclickHandler != null) { childObj.removeAttribute('onclick'); // If using prototype: // Event.observe(childObj, 'click', new Function(onclickHandler)); // Otherwise (but watch out for memory leaks): if (element.attachEvent) { element.attachEvent("onclick", onclickHandler); } else { element.addEventListener("click", onclickHandler, useCapture); } } DWREngine._fixExplorerEvents(childObj); } }

8.5 安全
我們很謹慎的對待DWR的安全問題，并且認為有必要解釋一下避免錯誤要做的事情。 首先DWR讓你明確哪些是被遠程調用的，是如何被遠程調用。原則就是DWR必須調用那些你明確允許的代碼。 dwr.xml要求你為每一個遠程類定義一個'create'項。你還可以通過指定include和exclude元素來更精確的控制遠程調用Bean中可以被調用的方法。 除此之外如果你希望允許DWR在轉換你的JavaBean到Javascript或者從Javascript轉換到JavaBean時有一定的許可限制，同樣可以精確控制哪些Bean的屬性可以被轉換。 一個很明顯但又必須指出的 – 不要在生產環境中打開test/debug模式控制臺。如何打開或關閉debug控制臺在配置web.xml部分可以找到詳細描述。
? 審查 - DWR帶來的最大好處
很值得對比一下DWR和Servlet、JSP或周圍的其他web框架。 如果你要審查基于DWR的功能，那是非常簡單的。看看dwr.xml你就能得到一個哪些方法被暴露到外面的描述了。你也可以俯視全局用DWR可以訪問哪些資源。 但是要在其他系統里做這件事可不是這么容易。如果是Servlet你需要檢查WEB-INF/web.xml文件，然后檢查寫在Servlet中的request.getParameter(...)。如果是Struts和其他Framework你需要檢查配置文件，然后順著流程檢查代碼，看請求信息出了什么問題。
? 訪問控制
DWR允許你通過兩種基于J2EE的機制來進行訪問控制。首先你可以基于J2EE角色定義DWR的訪問。其次你可以在DWR里面定義訪問方法的角色。
? 其他方面
DWR不允許你定義任何內部類的create和convert。這樣設計是為了不出現意外的攻擊來操作DWR的核心文件以提升訪問權限。
? 風險
有什么機會可以讓攻擊者窺視你的系統呢？使用DWR你攻擊者可以使服務器創建任何你在dwr.xml中指定的Java對象的實例。并且(如果你用BeanConverter)Java類的任何方法、以及方法任何參數都是可見的。這些類的任何一個屬性都有可能是攻擊者需要的。 如果你知道DWR是怎么工作的，這些都是很顯而易見的結論，但是往往粗心會造成問題。如果你創建了一個有appendStringToFile()方法的FileBean的類，而且用DWR把它暴露出去，那么你就給了攻擊者一個機會來填滿你的文件系統。
69 / 92
你必須時刻注意用了DWR以后，有沒有給攻擊者什么機會。 一般來說這樣的情景讓人感覺使用DWR是有風險的，但是這樣的問題在所有的傳統web架構中都存在，只是在那些架構中這些不明顯，所以就很難被修復。
? 保證更加安全
這已經很安全了，那么你還能做什么來保證更加安全了？首先記住上面這些關于審查的內容，當web應用的其他地方不安全時，即使它看上去很安全，過多的關注DWR是很愚蠢的。如果DWR讓人感覺恐懼，那是因為它的問題都在明處。所以第一步是多檢查幾遍傳統架構的問題。 你可以通過把可遠程訪問的類放到不同的包里，并且使用代理來防止DWR訪問機制出問題。如果你愿意還可以再次檢查基于角色的安全控制。這些內容只是在檢查DWR已經為你做的事情。 比多檢查幾次更好的方法是檢查DWR的源碼，保證它是在正確的工作。這些代碼已經被很多人檢查過了，但多雙眼睛總是有好處的。
? 整合Acegi
DWR可以整合Acegi security framework。更多的信息見整合DWR和Acegi.
         

完結。。