Rapid Prototyping einer Web-Anwendung mit Ruby on Rails

Westfälische Wilhelms-Universität Münster
Ausarbeitung
Rapid Prototyping einer Web-Anwendung
mit Ruby on Rails
im Rahmen des Seminars „Software Engineering“ im Wintersemester 2008/2009
Thomas Jansing
Themensteller: Prof. Dr. Herbert Kuchen
Betreuer: Dipl.-Wirt. Inform. Christian Hermanns
Institut für Wirtschaftsinformatik
Praktische Informatik in der Wirtschaft
Inhaltsverzeichnis
1 Einleitung ................................................................................................................... 1 2 Grundlagen von Ruby on Rails.................................................................................. 2 2.1 Allgemeine Konzepte und Ziele......................................................................... 2 2.2 Die Skriptsprache Ruby ..................................................................................... 3 2.3 Das Web-Framework Rails ................................................................................ 3 2.3.1 2.3.2 2.3.3 3 4 5 Eigenschaften und Besonderheiten ............................................................. 3 Aufbau des Frameworks ............................................................................. 5 RESTful Web-Services ............................................................................... 6 2.4 Eingesetzte Entwicklungsumgebung ................................................................. 6 2.5 Entwurf der Anforderungen ............................................................................... 7 Rapid Prototyping mit Ruby on Rails ........................................................................ 8 3.1 Vorstellung der Web-Anwendung ..................................................................... 8 3.2 Erstellung des Rails Projekts .............................................................................. 8 3.3 Testen der Funktionalität.................................................................................. 11 3.4 Web-Services und Routing .............................................................................. 12 Erweiterung des Projektes ....................................................................................... 14 4.1 Session-Handling und Benutzerverwaltung ..................................................... 14 4.2 Validierung in Modellen .................................................................................. 16 4.3 Templates und Layout ...................................................................................... 17 4.4 AJAX und Web 2.0 .......................................................................................... 18 4.5 E-Mail Versand durch ActionMailer ............................................................... 19 4.6 Sicherheitsaspekte ............................................................................................ 20 Zusammenfassende Betrachtung ............................................................................. 22 A Quelltexte ................................................................................................................. 23 Literaturverzeichnis ........................................................................................................ 38 II
Kapitel 1: Einleitung
1 Einleitung
Die vorliegende Ausarbeitung soll eine Einführung in das Web-Framework Rails geben,
welches auch synonym als Ruby on Rails bezeichnet wird, da es auf der Skriptsprache
Ruby aufbaut. Anhand der Entwicklung einer Beispiel-Web-Anwendung sollen die wesentlichen Elemente, sowie deren Vor- und Nachteile vorgestellt werden. Als Beispiel
hierfür wurde ein Pizza-Bestell-Service ausgewählt. Die Fokussierung auf Ruby on
Rails wurde gewählt, da es sich um ein relativ neues Framework handelt, welches durch
die Kombination verschiedener Ansätze versucht das „Agile Web Development“ und
speziell das „Rapid Prototyping“ zu unterstützen. Obwohl Ruby on Rails erst 2005 veröffentlicht wurde, wird es bereits in vielen produktiven Umgebungen (z. B. XING.com,
Qype.com und Eins.de) eingesetzt und erfreut sich nicht nur aufgrund seiner intuitiven
Syntax großen Interesses. Dank der Datenbank- und Plattform-Unabhängigkeit und der
Kompatibilität zum Apache- und lighttpd Webserver gewährleistet Ruby on Rails Interoperabilität für alle relevanten Web-Umgebungen. Die zugrunde liegende Sprache Ruby
ist sowohl Programmier- wie auch Skriptsprache und kann daher die Vorteile von eher
prozeduralen/imperativen Skriptsprachen wie dem weit verbreiteten PHP nutzen und
dabei trotzdem die Vorteile der Objektorientierung nutzen, da jedes Element in Ruby
ein Objekt ist. Ruby positioniert sich technologisch zwischen PHP/Perl auf der einen
Seite und Java und C# auf der anderen. Demnach ist Ruby ist vergleichbar mit Python.
Das folgende Kapitel 2 erläutert die Grundlagen von Ruby on Rails, wie die allgemeinen Konzepte und Ziele (Kap. 2.1), die Sprache Ruby (Kap. 2.2) und das Framework
Rails (Kap. 2.3) genauer. Kapitel 2.4 beschreibt die eingesetzte Entwicklungsumgebung, woraufhin in Kapitel 2.5 schließlich die Anforderungen an die Beispiel-WebAnwendung kurz erläutert werden. Kapitel 3 beschäftigt sich mit dem Thema „Rapid
Prototyping“ und beginnt nach einer kurzen Beschreibung der Anwendung (Kap. 3.1)
mit der Erstellung des Beispiel-Projektes (Kap. 3.2). Nachdem die Funktionalität in
Kapitel 3.3 gezeigt wurde, wird direkt die einfache Bereitstellung als Web-Service demonstriert (Kap. 3.4). Der erstellte Prototyp wird in Kapitel 4 um Funktionen erweitert,
wie ein Login-System (Kap. 4.1), Validierung (Kap. 4.2), angepasste Layouts und
Templates (Kap. 4.3), sowie eine AJAX-Live-Suche (Kap. 4.4). Das Kapitel schließt
mit der Betrachtung einiger Sicherheitsaspekte in Kapitel 4.6. Die Ausarbeitung endet
mit einer kritischen Zusammenfassung in Kapitel 5.
1
Kapitel 2: Grundlagen von Ruby on Rails
2 Grundlagen von Ruby on Rails
2.1 Allgemeine Konzepte und Ziele
Das Web-Framework Ruby on Rails wurde speziell darauf ausgerichtet, den Programmierer beim Rapid Development und im speziellen beim Rapid Prototyping zu unterstützen. Kapitel 3 wird dies exemplarisch zeigen. Ziele des Rapid Development sind u. a.
die Entwicklungsdauer und die dabei entstehenden Kosten zu senken. Die Programmierer können sich auf die Implementierung der Geschäftslogik konzentrieren und den
Nutzern schneller ein lauffähiges System demonstrieren. Dieses soll durch kürzere Entwicklungs-Zyklen erreicht werden und dafür sorgen, dass das Feedback der Nutzer
schneller in die Entwicklung einfließt. Dieser Ansatz verspricht mehr Agilität und Flexibilität bei der Entwicklung von Web-Anwendungen. Ruby on Rails unterstützt somit
das Extreme Programming (XP), indem es erlaubt die gesamte Web-Anwendung in
kleinen, iterativen Schritten zu entwickeln. So sind jederzeit Änderungen am Datenmodell möglich, ohne die Lauffähigkeit der Anwendung zu gefährden [WK07, S. 29].
Weiterhin unterstützt Ruby on Rails Test-driven development (TDD), indem es neben
dem lauffähigen Prototyp auch Tests für Modellklassen, Kontroller und Views, sowie
eine Fixture-Datei mit Testdaten generiert. In [WB06, Kap. 14] wird dieses ausführlicher besprochen. Beim Anlegen neuer Kontroller werden z. B. automatisch funktionale
Tests generiert, so dass bereits vor der ersten Anpassung des Codes die Funktionalität
getestet werden kann [WK07, S. 30]. Hierdurch kann mit dem Testen begonnen werden,
bevor der erste eigene Code implementiert wird. Ein wichtiger Vorteil der hieraus erwächst ist die Möglichkeit durch das Testen ganz genau das gewünschte Verhalten der
Anwendung zu spezifizieren und zu verifizieren [WK07, Kap. 4.3.1].
Ruby on Rails folgt strikt dem Model-View-Controller (MVC) Architekturmuster, welches 1979 von Trygve Reenskaug vorgestellt wurde. Dieses Muster hat sich seit langem
bewährt und verlangt eine strikte Trennung des Datenmodels (Model), der Präsentationsschicht (View) und der Steuerungsschicht (Controller) voneinander. Die Ziele hierbei sind die Web-Anwendung flexibel zu gestalten, um Wiederverwendung zur ermöglichen und einen möglichst geringen Pflegeaufwand zu haben, was zu einer geprüften
und stabilen Software beitragen soll [Wa08, Kap. 4.3]. Die genaue Umsetzung des
MVC-Musters in Rails wird in Kapitel 2.3.2 näher vorgestellt.
2
Kapitel 2: Grundlagen von Ruby on Rails
2.2 Die Skriptsprache Ruby
Die Open-Source Programmiersprache „Ruby“ wurde 1995 von dem Japaner Yukihiro
Matsumoto entwickelt und wird bis heute von ihm betreut. Ruby ist eine moderne Objekt-orientierte Skriptsprache und bietet daher Vorteile wie z. B. Modularisierung/Kapselung von Objekten, Vererbung/Spezialisierung und Polymorphismus. Im
Gegensatz zu anderen rein Objekt-orientierten Programmiersprachen wie z. B. Smaltalk
bietet Ruby darüber hinaus auch Unterstützung für Prozedurale und Funktionale Programmierung. So ist es bspw. nicht notwendig seine Programme explizit in einer Klasse
zu definieren. Ein Ruby-Programm kann auch lediglich aus Prozeduren oder Funktionen
bestehen. Sie unterstützt die dynamische Typisierung während der Laufzeit (DuckTyping) und folgt dem sogenannten Principle of least surprise, d. h. dass die Programmiersprache den Programmierer möglichst wenig überraschen sollte und sie intuitiv
verstanden werden sollte. Maßstäbe hierfür waren Matsumoto´s eigene Erwartungen
und Bedürfnisse. Ein positiver Aspekt von Ruby ist daher die gute Lesbarkeit des Codes. Ruby-Syntax ist gut verständlich, da die Programmiersprache sehr an die natürliche
menschliche Sprache angelehnt ist. Beispiele hierfür werden in Kap. 3 gegeben. Als
ausführliches Nachschlagewerk und Referenz für Ruby sei auf [CR2006] verwiesen.
2.3 Das Web-Framework Rails
2.3.1 Eigenschaften und Besonderheiten
Rails ist ein Open-Source Projekt und steht unter der MIT-Lizenz [Op08] zur Verfügung. Sie erlaubt eine absolut freie Verwendung von Rails. Das Framework wurde von
David Heinemeier Hansson entwickelt und, nachdem es 2004 bereits vorgestellt wurde,
Ende 2005 in der Version 1.0 freigegeben. Auffällig hierbei ist die Praxisnähe von
Rails, da es nicht als theoretisches Framework von Grund auf neu konzipiert wurde,
sondern aus den Erfahrungen, Mustern und Teilen der Implementierung der Projektmanagement-Software Basecamp zusammengestellt wurde. Daher berücksichtigt es konkrete Lösungen und erfolgreiche Muster aus einem Praxisprojekt, was wohl auch zu der
schnellen Verbreitung von Rails beiträgt [WK07, S. 21].
Eine Besonderheit von Rails ist sicherlich das Paradigma Konvention über Konfiguration, welches immer wieder am laufenden Fall-Beispiel verdeutlicht wird. Rails erwartet
3
Kapitel 2: Grundlagen von Ruby on Rails
vom Entwickler, dass er sich an Namenskonventionen hält, die eine spätere Konfiguration überflüssig machen. Beispielhaft sei aufgeführt, dass Klassennamen immer im Singular erwartet werden, während die Tabellennamen den Pluralnamen tragen. Sämtliche
generierten Dateien folgen diesem Schema. Rails bietet aber auch die Möglichkeit von
den Default-Einstellungen abzuweichen [WB06, S. 7 f.; WK07, S.28 f.].
Ein zweites Paradigma von Rails ist das DRY-Prinzip, welches von [TH04] geprägt
wurde. DRY steht für Don´t repeat yourself und baut auf dem Grundsatz auf, dass Wissen jeweils nur eine einzige und eindeutige Repräsentation in einem Informationssystem
haben sollte. Daher sollen weder Daten noch Funktionen redundant gespeichert werden,
um den Pflegeaufwand zu reduzieren und mögliche Probleme zu vermeiden. Ein Beispiel hierfür sind die Getter- und Setter-Methoden, welche nicht implementiert werden
müssen, da sie gleichartig sind und daher generiert werden können [Vgl. WB06, S. 8].
Besonders erwähnenswert ist die eigentliche Stärke von Rails, die Meta Programmierung. Die automatische Generierung von Programmcode wird bei Ruby on Rails Scaffolding genannt. Mit Hilfe von Scaffold-Generatoren wird direkt zu Beginn ein lauffähiges Gerüst erzeugt, welches bereits grundlegende Funktionen zum Erstellen, Anzeigen, Updaten und Löschen von Modellen (CRUD-Funktionen) implementiert. Zusätzlich werden auch die Views erzeugt, die eine Webbrowser-basierte Umsetzung der
CRUD-Funktionen ermöglichen. Somit kann sofort ein lauffähiger Prototyp erzeugt
werden, welcher als Grundlage für die weitere Entwicklung dient (Rapid Prototyping).
Ein Vorteil von Rails ist die Integration und besonders einfache Nutzung des Objektrelationen Mappings (ORM). Im Gegensatz zu anderen Frameworks wie z. B. MyFaces
ist bei Rails nur sehr wenig Aufwand hierfür nötig, da durch die Namenskonventionen
eine Konfiguration überflüssig ist. Nur Assoziationen zwischen Objekten müssen
(noch) manuell implementiert werden. Im Zusammenhang mit dem ORM sind die Datenbank-Migrationsskripte zu nennen. Diese automatisch generierten Skripte gewährleisten eine Kompatibilität zu allen verbreiteten Datenbanken und gestatten somit den
Betrieb von Rails mit einer Vielzahl an Datenbanken. Die Migrationen bieten darüber
hinaus den Vorteil, dass eine Versionierung von Datenbank-Schemata möglich ist. Es
können neue Schemata migriert oder auch auf ältere zurückgekehrt werden.
Rails bietet drei verschiedene Umgebungen mit jeweils eigenen Datenbanken. Standard
ist die Development-Umgebung, wohingegen die Production-Umgebung für den Produktiv-Einsatz vorgesehen ist. Alle Tests werden in der Test-Umgebung mit Test-Daten
4
Kapitel 2: Grundlagen von Ruby on Rails
ausgeführt. Diese Trennung der Daten erlaubt bspw. das Testen von Änderungen am
Datenbank-Schema, ohne auf Daten der Produktiv-Umgebung zuzugreifen und diese
möglicherweise zu verändern oder zu löschen.
2.3.2 Aufbau des Frameworks
Abbildung 1 zeigt die Komponenten von Rails und deren Interaktion sowie die konkrete
Umsetzung des MVC-Musters. Der Ruby-Dispatcher im Zentrum erhält vom WebServer die Anfrage des Clients. Der Dispatcher lädt daraufhin anhand des Routings
(config\routes.rb) den entsprechenden Controller des ActionController Moduls.
Der Controller verwaltet die Anfrage und ruft die entsprechenden Methoden des ActiveRecord oder ActiveRessource Moduls auf. ActiveRecord interagiert mit der Datenbank als OR-Mapper und enthält die Logik zur Verwaltung der Daten. ActiveRessource
(ab Rails Version 2.0) hingegen ist für RESTful Web-Service-Anfragen und nutzt ActiveRecord als ORM. Die Ergebnisse der Aufrufe werden an den Controller zurückgeschickt und dann vom Controller an das ActionView Modul gesendet. Das ActionView
Modul rendert die Ergebnisse und liefert sie an den Client zurück.
Abbildung 1: Komponenten von Rails (ab Version 2.x)
Zusätzlich können ActionController, ActiveRecord und -Ressource auf ActiveSupport
zugreifen, welches Erweiterungen und Hilfsmethoden für Rails implementiert. Daneben
5
Kapitel 2: Grundlagen von Ruby on Rails
gibt es das ActionMailer Modul, welches den E-Mail-Versand übernimmt. Alle Action
Module werden auch unter dem Begriff ActionPack zusammengefasst.
2.3.3 RESTful Web-Services
Das Representational State Transfer (REST) Architektur-Muster wurde von [Fi00] für
verteilte Hypermedia-Systeme, wie z. B. das World Wide Web, beschrieben und wird
ausführlich in [Fi00, Kap. 5] behandelt. In den Versionen 1.x von Rails wurde das Modul Action Web Service als Standard für die Bereitstellung von Web-Services vorgesehen. Das Modul bietet Unterstützung für SOAP- und XML-RPC-Zugriffe. Mit der Rails
Version 2.0 wurde das Modul durch ActiveRessource ersetzt, welches Web-Services
über REST unterstützt. Eine ausführliche Behandlung des Themas ist in [RR07] nachzulesen. Action Web Service kann über RubyGems nachinstalliert werden, aber die
Rails Entwickler empfehlen SOAP nicht mehr einzusetzen und REST zu nutzen. Rails
2.0 ist bereits RESTful konzipiert, was bereits beim Prototyping deutlich wird.
2.4 Eingesetzte Entwicklungsumgebung
Für die Entwicklung der Beispiel-Web-Anwendung wurde als Betriebssystem Windows
XP benutzt, so dass bei allen folgenden Befehlen in der Eingabeaufforderung ein „\“
anstelle eines „/“ als Pfadtrenner benutzt wurde. Entsprechend der Empfehlung der
rubyonrails.com Webseite wurde das Ruby-Paket in der Version 1.8.6-27 RC 1
[Ruby08a] verwendet. Nach erfolgter Installation von Ruby („RubyGems Support“ und
„European Keyboard“ müssen aktiviert werden) wurde mit Hilfe der mitgelieferten RubyGems Paket-Verwaltung das Rails-Paket (Ver. 2.1.1), der SQLite3 Adapter (Ver.
1.2.3) und der Mongrel Web-Server (Ver. 1.1.5) heruntergeladen:
“gem install rails --version 2.1.1”
“gem install sqlite3-ruby --version 1.2.3”
“gem install mongrel --version 1.1.5”
Die vorliegende Rails Version besitzt leider eine bekannte Inkompatibilität unter Windows XP mit allen MySQL-Servern, daher wurde SQLite3 als Datenbank benutzt. Um
SQLite3 zu installieren wurden die „Precompiled binaries“ für Windows heruntergeladen (sqlite-3_6_4.zip und sqlitedll-3_6_4.zip [Sqlite08]) und anschließend
in das \bin Verzeichnis der Ruby-Installation extrahiert, damit sie über die PATHVariable in allen Verzeichnissen ausführbar sind. Für die Integration anderer Datenban6
Kapitel 2: Grundlagen von Ruby on Rails
ken wird jeweils ein Adapter benötigt, welcher auch in der DB-Konfiguration des Projekts angegeben werden muss (config\database.yml). Ausführliche Hinweise zur
Installation und Konfiguration von Datenbanken bietet das offizielle Ruby on RailsWiki [Ruby08b].
2.5 Entwurf der Anforderungen
Mit Fokus auf das Extreme Programming wird hier auf eine Analyse- und Spezifikations-Phase sowie auf ein Pflichten- und Lastenheft im Sinne des klassischen Software
Engineering verzichtet. Es wird direkt mit einer textuellen Formulierung der Anforderungen begonnen, auf deren Basis ein UML-Diagramm (Vgl. Abbildung 2) erstellt wird.
Das Projekt pizza-service soll einen Pizza-Bestellservice implementieren. Es soll
eine Pizza-Verwaltung (Klasse: Pizza) für einen Admin (Klasse: User), sowie eine
grundlegende Bestell-Funktionalität (Klasse: Order) für alle Kunden (Klasse: User) erstellt werden. Kunden sollen sich nach einer Registrierung einloggen können, um nicht
zu jeder Bestellung nochmals ihre Adresse angeben zu müssen. Außerdem können sie
ihr Profil jederzeit ändern. Ein Admin soll sich über einen Login autorisieren und die
Pizzen verwalten können. Bestellungen von Kunden werden per E-Mail an den Lieferservice gesendet. Weiterhin soll eine Suchfunktion implementiert werden, um nach Pizzen mit bestimmten Zutaten zu suchen. Diese Suchfunktion wird einerseits als RESTful
WebService und zusätzlich als AJAX-Live-Suche implementiert.
Abbildung 2: Vereinfachtes UML-Diagramm der Beispiel-Web-Anwendung
Einem User können mehrere Bestellungen zugeordnet werden. Eine Bestellung ihrerseits wird genau einem User zugeordnet und kann aus mehreren Pizzen bestehen. Pizzen
können in mehreren Bestellungen enthalten sein. Diese n:m Beziehung wird hierbei
durch die Assoziationsklasse Orders_Pizzas abgebildet. Get- und Set-Methoden,
sowie IDs und Timestamps sind nicht angegeben, da sie automatisch generiert werden.
Die Attribute werden als SQLTypes definiert.
7
Kapitel 3: Rapid Prototyping mit Ruby on Rails
3 Rapid Prototyping mit Ruby on Rails
3.1 Vorstellung der Web-Anwendung
Im Rahmen dieses Kapitels wird das Rapid Prototyping mit Rails verdeutlicht. In diesem Kontext werden Klassen synonym als Modelle und Methoden als Aktionen bezeichnet. In einem ersten Schritt sollen die Modelle erstellt und deren Verwaltung
(CRUD-Operationen) in Views ermöglicht werden. Außerdem sollen die Assoziationen
der Modelle berücksichtigt werden. Die Funktionalität wird anhand der Ruby-Konsole
überprüft. Anschließend wird eine einfache Suchfunktion als WebService implementiert
(Kapitel 3). Als zweiter Schritt soll der Prototyp um eine Benutzerverwaltung erweitert
werden, um die Bestellung für registrierte Kunden zu vereinfachen und nur einem Admin die Verwaltung von Pizzen zu gestatten. Nachdem die Validierung und das Arbeiten mit Templates gezeigt werden, werden die AJAX-Live-Suche und ein automatischer
E-Mail-Versand implementiert und Sicherheitsaspekte besprochen (Kapitel. 4). Da sich
die Ausarbeitung auf die Umsetzung der Anwendung konzentriert, wird hier teilweise
auf eine komplette Auflistung der Änderungen an den View-Templates verzichtet und
auf den Anhang verwiesen.
3.2 Erstellung des Rails Projekts
Nachdem die Entwicklungsumgebung in Kapitel 2.4 eingerichtet wurde, wird als erster
Schritt das neue Rails Projekt pizza-service erstellt. Dieses geschieht über folgenden Befehl in der Eingabeaufforderung in einem beliebigen Verzeichnis:
“rails pizza-service”
“cd pizza-service”
Rails erstellt automatisch im Verzeichnis pizza-service eine festgelegte Verzeichnisstruktur (Vgl. Tabelle 1) und erzeugt alle benötigten Dateien, wodurch der grundsätzliche Aufbau der Web-Anwendung bereits vorgegeben ist. Dieses reduziert den Einarbeitungsaufwand bei zukünftigen Projekten. Jede Rails-Anwendung verwendet die gleiche Struktur, wodurch eine spätere Konfiguration, wie im J2EE-Bereich üblich, vermieden wird. Hierbei wird nochmal das Prinzip „Konvention statt Konfiguration“ deutlich.
Verzeichnis
app
Inhalt
Alle wichtigen Bestandteile des MVC-Musters: Hilfs-, Kontroller8
Kapitel 3: Rapid Prototyping mit Ruby on Rails
config
db
doc
lib
log
public
script
test
tmp
vendor
und Modell-Klassen, sowie sämtliche Views (*.html.erb)
Konfigurationsdateien (z. B. database.yml)
DB-Migrationsskripte, SQLite3 Datenbank-Datei (nach Anlegen)
Dokumente, die mit rdocs erstellt wurden
Zusätzliche Ruby-Bibliotheken/Erweiterungen
Logfiles des WEBrick/Mongrel-Servers
Öffentliches Wurzel-Verzeichnis des Web-Servers mit statischen Dateien (z. B. Bilder, JavaScript, CSS, ...)
Start-Skripte (z. B. Server-Start, DB-Konsole, Generatoren)
Test-Skripte, Unit-Tests, Funktionale Tests sowie Integrationstests
Temporäre Dateien (z. B. Session-Dateien, Cache-Dateien)
Plug-Ins und andere Erweiterungen
Tabelle 1: Verzeichnisstruktur einer Rails-Anwendung
Nun wird das UML-Diagramm (Vgl. Abbildung 2) mit Hilfe des Scaffold-Generators
umgesetzt. Die drei Modelle Pizza, Order und User werden erstellt, wobei Rails automatisch sämtliche Controller, Views, Tests und DB-Migrationsskripte erzeugt. Die
Assoziationsklasse Orders_Pizzas wird nicht als Modell umgesetzt, sondern später
nur als SQL-Tabelle. Die Attribute werden aus dem UML-Diagramm übernommen:
“ruby script\generate scaffold pizza name:string price:decimal
ingredients:string”
“ruby script\generate scaffold order delivery_wish:text”
“ruby script\generate scaffold user name:string address:string
zip_code:integer city:string login:string password:string”
In der eingesetzten Rails-Version ist es (noch) nicht möglich, Assoziationen automatisch zu berücksichtigen. Dazu werden die leeren generierten Klassen wie folgt ergänzt:
class Pizza < ActiveRecord::Base
# Einer Pizza werden 0..* Bestellungen zugeordnet
has_and_belongs_to_many :order
end
Listing 1: app\models\pizza.rb
class Order < ActiveRecord::Base
# Einer Bestellung werden 0..* Pizzen zugeordnet
has_and_belongs_to_many :pizza
# Eine Bestellung wird genau einer Person zugeordnet
belongs_to :user
end
Listing 2: app\models\order.rb
class User < ActiveRecord::Base
# Einem User werden 0..* Bestellungen zugeordnet
has_many :order
end
Listing 3: app\models\user.rb
9
Kapitel 3: Rapid Prototyping mit Ruby on Rails
Als nächster Schritt muss das OR-Mapping konfiguriert werden. Durch den ScaffoldGenerator sind bereits die DB-Migrationsskripte (db\migrate\*.rb) erstellt worden
und beinhalten bereits alle oben angegeben Attribute. Daher müssen sie nur noch an die
Assoziationen angepasst werden. Um die Zuordnung der Bestellung zu genau einem
User zu ermöglichen, wird deren Primärschlüssel als Fremdschlüssel in der ordersTabelle gespeichert. Um die many-to-many-Beziehung zwischen Bestellung und Pizza
abbilden zu können, muss eine neue Tabelle orders_pizzas angelegt werden. Diese
Tabelle braucht keinen eigenen Primärschlüssel und beinhaltet nur die beiden Fremdschlüssel, um die Relation abzubilden. Als Konvention für den Namen einer zusätzlichen Tabelle einer many-to-many-Beziehung gilt, dass beide pluralisierten Tabellennamen alphabetisch angeordnet und durch einen Unterstrich verbunden werden.
class CreateOrders < ActiveRecord::Migration
def self.up # Neues Schemata wird migriert
create_table :orders do |t|
t.text :delivery_wish
t.integer :user_id # Fremdschlüssel wird ergänzt
t.timestamps
end
# Hilfstabelle wird angelegt. Keine eigene id.
create_table :orders_pizzas, :id => false do |t|
t.integer :order_id # Fremdschlüssel der Bestellungen
t.integer :pizza_id # Fremdschlüssel der Pizzen
end
end
def self.down # Alte Tabellen/Schemata werden gelöscht
drop_table :orders
drop_table :orders_pizzas # Hilfstabelle entfernen
end
end
Listing 4: db\migrate\timestamp_create_orders.rb
Da die anderen Migrationen nicht geändert werden, kann jetzt die Datenbank aktualisiert werden. Weil SQLite 3 als Datenbank benutzt wird, muss keine Änderung an der
Datei config\database.yml vorgenommen werden. Mit dem Rake-Tool können
vordefinierte Aufgaben, wie z. B. die Datenbank-Migration ausgeführt werden. Eine
komplette Übersicht ist unter [MO08, Kap. 7.11] zu finden. Rake ist daher mit den
Tools ant bzw. make zu vergleichen [St08, S. 138]. Folgender Befehl migriert das
Schemata in die Datenbank:
“rake db:migrate”
Die Development-Datenbank-Datei db\development.sqlite3 wird erstellt und vier
neue Tabellen werden angelegt.
10
Kapitel 3: Rapid Prototyping mit Ruby on Rails
3.3 Testen der Funktionalität
Für einen direkten Test der Funktionalität werden die Ruby-Konsole und die Views
benutzt. Für das Testen mit Hilfe von Testfällen und Testskripten sei hier auf [WB06,
Kap. 14] verwiesen. Als Webserver für die Entwicklung kann der integrierte WEBrickServer verwendet werden. Eine bessere Performance bietet Mongrel, welcher in Produktiv-Umgebungen eingesetzt wird. Das Server-Start-Skript überprüft ob Mongrel
installiert ist und startet standardmäßig diesen (andernfalls wird WEBrick gestartet):
“ruby script\server”
Unter der URL http://localhost:3000 kann die Startseite des Web-Servers erreicht werden. Da Ruby on Rails als CRUD-Framework ausgelegt ist, sind durch das
Scaffolding bereits alle nötigen Views und die gesamte Logik vorhanden, um die drei
Modelle zu verwalten. Die Index-Seite für deren Verwaltung ist nach folgendem Schema aufgebaut: http://localhost:3000/modelname_im_plural. Als hilfreich
zum Testen der der generierten Namen hat sich der Pluralizer [Nu08] erwiesen. Es ist
jeweils möglich Instanzen der Modelle anzulegen, anzuzeigen, zu editieren und zu löschen. Über die Ruby-Konsole werden Instanzen von Modellen angelegt, die durch Zuweisungen miteinander assoziiert werden, um die Funktionalität der Assoziationen zu
demonstrieren. Zuerst werden über die Konsole drei Pizzen und zwei Kunden angelegt:
“ruby script\console”
pizza1 = Pizza.new(:name => "Pizza Margherita", :price => 4.95,
:ingredients => "Tomaten, Kaese")
pizza2 = Pizza.new(:name => "Pizza Salami", :price => 5.45,
:ingredients => "Tomaten, Kaese, Salami")
pizza3 = Pizza.new(:name => "Pizza Tono", :price => 5.95,
:ingredients => "Tomaten, Kaese, Thunfisch")
user1 = User.new(:name => "Max Mustermann", :address => "Hansaring 55", :zip_code => 48143, :city => "Muenster")
user2 = User.new(:name => "Peter Muster", :address => "Wolbecker Str. 55", :zip_code => 48143, :city => "Muenster")
pizza1.save
pizza2.save
pizza3.save
user1.save
user2.save
Listing 5: Eingaben in der Ruby-Konsole (1/3)
Eine Kontrolle im Webbrowser zeigt, dass alle Instanzen angelegt wurden. Nun wird
eine Bestellung erzeugt, die Kunde 1 zugeordnet wird und Pizza 2 & 3 enthält:
11
Kapitel 3: Rapid Prototyping mit Ruby on Rails
order1 = Order.new(:delivery_wish => "Bitte noch 1 Liter Cola")
user1.order << order1 # Bestellung wird User zugeordnet (1:m).
order1.pizza << pizza2 #.pizza ist ein Array, wg. n:m Beziehung
order1.pizza << pizza3
order1.save
Listing 6: Eingaben in der Ruby-Konsole (2/3)
Eine Kontrolle der DB-Datei bspw. durch den SQLite3 Manager zeigt, dass die Tabelle
oders_pizzas korrekt beide Pizzen der Bestellung zuordnet. Auch der Fremdschlüs-
sel user_id in der Tabelle orders zeigt korrekt die Assoziation mit dem Kunden. Ein
letzter Beweis geben folgende Ruby-Konsolen-Befehle:
bestellung = Order.find(:first)
bestellung.user.name
# Alle Pizzen werden ausgelesen
bestellung.pizza.each { |pizza|
# Suche nach der 1. Bestellung
# Gibt den Namen des Kunden aus
und deren Namen angezeigt
puts pizza.name }
Listing 7: Eingaben in der Ruby-Konsole (3/3)
Das Anlegen der Pizzen und Kunden ist vollständig im Webbrowser möglich, lediglich
bei der Bestellung kann nur der delivery_wish angegeben werden. Damit eine Zuweisung einer Bestellung zu einen Kunden und mehrerer Pizzen zu einer Bestellung
möglich wird, werden der OrdersController und die beiden Order-Views
new.html.erb und index.html.erb überarbeitet (Vgl. Anhang A).
3.4 Web-Services und Routing
Wie in Kapitel 2.3.3 bereits erläutert bietet Rails ab der Version 2.0 eine Unterstützung
für RESTful Web-Services. Für die Kommunikation zwischen Anwendungen wird
hierbei das XML-Format unterstützt. Bei dem REST-Architektur-Muster stehen anstelle
von Services Ressourcen im Vordergrund, welche durch URLs adressiert und durch
HTTP-Requests kontrolliert werden. Ein paar Beispiele zur Verdeutlichung:
GET http://localhost:3000/pizzas.xml #XML-Darstel. aller Pizzen
POST http://localhost:3000/pizzas.xml
#Erstellt neues Objekt
GET http://localhost:3000/pizzas/1.xml #Liefert XML-Objekt(id 1)
PUT http://localhost:3000/pizzas/1.xml
#Ändert Objekt (id 1)
DELETE http://localhost:3000/pizzas/1
#Löscht Objekt (id 1)
Mit Hilfe der vier HTTP-Requests (POST, GET, PUT, DELETE) können somit
CRUD-Operationen durchgeführt werden. Zum Testen der REST-Anfragen empfiehlt
sich das Firefox-Plugin „RESTTest“ [Xu08]. Dazu wird die protect_from_forgery
Methode im ApplicationController temporär auskommentiert, welche sonst nur
12
Kapitel 3: Rapid Prototyping mit Ruby on Rails
GET und POST-Anfragen zulässt und PUT und DELETE blockiert. Die durch den
Scaffold-Generator erzeugten Controller implementieren RESTful Web-Services bereits
über das Routing. Die Datei config\routes.rb ist dabei zentral für das Routing,
welches für einen HTTP-Request den verantwortlichen Controller und die auszuführende Aktion auswählt. Die Bereitstellung als Ressource ist bereits über den Eintrag
(map.resources
:pizzas)
implementiert.
(http://localhost:3000/pizzas/edit/1)
Der
wird
wie
Aufruf
(PUT
http://localhost:3000/pizzas/1) an den PizzasController weitergeleitet
und ruft die Aktion edit für das Objekt mit der ID 1 auf. Bei der Erstellung komplexerer RESTful Web-Services sollte auf konsistente Adressierung geachtet werden. Das
Projekt wird nun um einen RESTful Web-Service search_all erweitert, der die Zutaten-Spalte der Pizza-Tabelle durchsucht und im PizzasController implementiert
wird. Gleichzeitig wird das Routing um den neuen Web-Service ergänzt:
# GET /pizzas/search_all
# GET /pizzas/search_all.xml
def search_all
#Suchbegriff wird für die SQL Abfrage mit % geklammert
@term = "%#{params[:term]}%"
#Suchanfrage wird ausgeführt. SQL-Injection wird vermieden.
@pizzas = Pizza.find(:all, :conditions =>
["ingredients like ?", @term ])
#Rendert das Ergebnis nur als XML, kein HTML, kein AJAX
respond_to do |format|
format.xml { render :xml => @pizzas }
end
end
Listing 8: Neue Methode in: app\controllers\pizzas_controller.rb
# “map.ressources :pizzas” wird geändert in:
map.resources :pizzas, :collection => {:search_all => :get}
Listing 9: Erweiterung von: config\routes.rb
Folgende GET-Anfrage eines Webbrowsers bspw. liefert eine XML-Liste aller Pizzen,
die „Salami“ als Zutat haben (Web-Server muss neu gestartet werden):
“http://localhost:3000/pizzas/search_all?term=salami”
SQL-Injection (Vgl. Kap. 4.6) ist hierbei nicht möglich, da die Binding-Funktionalität
benutzt wird. Da REST-Anfragen stark sicherheitsrelevant sind, ist eine ausführliche
Beschäftigung mit [Ruby08d] anzuraten.
13
Kapitel 4: Erweiterung des Projektes
4 Erweiterung des Projektes
4.1 Session-Handling und Benutzerverwaltung
Mit Hilfe der Attribute login und password des User-Modells wird nun eine einfache Benutzerverwaltung implementiert. Weiterhin wird dazu der Session-Hash und
Flash-Hash benutzt. Der Session-Hash speichert Objekte über mehrere Requests hinweg, und wird als Speicher für den angemeldeten User (bzw. User-Objekt) benutzt. Auf
die Objekte wird hierbei mit der session Variable zugegriffen. Der Flash-Hash hingegen speichert Objekte hingegen nur für zwei aufeinander folgende Requests und wird
für Fehlermeldungen sowie Hinweise und Warnungen verwendet. Die Informationen
werden hierbei in der flash Variable gespeichert [St08, S.180].
Für die Benutzerverwaltung (Vgl. [St08, Kap. 4.6.3]) wird ein neuer LoginController mit den Aktionen login und logout generiert und angepasst:
“ruby script\generate controller Login login logout”
class LoginController < ApplicationController
def login
session[:user] = nil # User-Objekt und Werte löschen
session[:user_id] = nil
session[:user_login] = nil
# Login-Button löst POST-Request aus
if request.post?
# Authentifiziere User -> app\models\user.rb
user = User.authenticate(params[:login],
params[:password])
# Konnte User-Objekt erfolgreich geladen werden?
if user != nil # Wenn ja setze neues Objekt und Werte
session[:user] = user
session[:user_id] = user.id
session[:user_login] = user.login
# Hinweis und Redirect
flash[:notice] = "Successfully logged in!"
redirect_to :controller => "pizzas", :action => "index"
else # Fehler bei der Authentifizierung
flash[:error] = "Login or passwort are incorrect!"
end
end
end
def logout
reset_session # Löscht alle Session Objekte des Users
end
end
Listing 10: app\controllers\login_controller.rb
14
Kapitel 4: Erweiterung des Projektes
Die eigentliche Authentifizierung soll im Modell geschehen. Daher wird das UserModell um die Methode authenticate erweitert, die das User-Objekt anhand des
login Parameters lädt und das übergebene Passwort mit dem gespeicherten vergleicht:
def self.authenticate(login, password)
user = self.find_by_login(login) # Lade User-Objekt
if user # User-Objekt erfolgreich geladen, prüfe Passwort
if user.password != password
user = nil
# Passwort falsch. Gib Fehler zurück (NIL)
end
end
user
# Passwort richtig. Gib User-Objekt zurück
end
Listing 11: Neue Methode in: app\models\user.rb
Nun kann der Zugriff auf die einzelnen Aktionen der Controller geschützt werden. Dazu
werden die Controller um Filter erweitert, die vor (before_filter) oder nach (after_filter) jeder Aktion ausgeführt werden:
# Delete ist admin-geschützt, Anzeigen und Anlegen nicht
before_filter :admin_logged_in, :only => [:delete, :destroy]
# User dürfen nur ihre eigenen Profile ändern
before_filter :logged_in, :own_profile,:only =>[:edit, :update]
Listing 12: Erweiterung von: app\controllers\users_controller.rb
# Delete/Edit sind admin-geschützt, Anzeigen nicht
before_filter :admin_logged_in, :only => [:delete, :destroy,
:edit, :update]
# Um Bestellungen anzulegen muss User eingeloggt sein
before_filter :logged_in, :only => [:create, :new]
Listing 13: Erweiterung von: app\controllers\orders_controller.rb
# Create/Edit/Delete sind admin-geschützt, Anzeigen und Suchen
nicht
before_filter :admin_logged_in, :except => [:index, :list,
:show, :search_all]
Listing 14: Erweiterung von: app\controllers\pizzas_controller.rb
Die Methoden admin_logged_in, logged_in und own_profile werden im ApplicationController als Private-Methoden implementiert, damit sie über die Verer-
bung allen Controllern zur Verfügung stehen:
private
# Überprüft ob User eingeloggt ist
def logged_in
if session[:user] == nil
flash[:error] = "You need to login first!"
redirect_to(:action => 'index')
end
15
Kapitel 4: Erweiterung des Projektes
end
private
# Überprüft ob User sein eigenes Profil editiert
def own_profile
if session[:user].id.to_s != params[:id]
flash[:error] = "You can only edit your own profile."
redirect_to(:action => 'index')
end
end
private
def admin_logged_in
# Überprüft ob user.login = admin
logged_in
if session[:user] != nil
if session[:user].login.to_s == "admin"
flash.now[:notice] = "You have admin rights."
else
flash[:error] = "You need to have admin rights to use
this function."
redirect_to(:action => 'index')
end
end
end
Listing 15: Neue Methoden in: app\controllers\application.rb
Nachdem die generierten Views für den Login und den Logout angepasst wurden
(Vgl. Anhang A), steht die Benutzerverwaltung zur Verfügung:
“http://localhost:3000/pizzas”
“http://localhost:3000/login/login”
“http://localhost:3000/login/logout”
“http://localhost:3000/users/new”
#
#
#
#
Pizza-Service Startseite
Anmeldeseite
Abmeldung
Registrierung neuer User
4.2 Validierung in Modellen
Die Validierungsfunktionalität ist fester Bestandteil von ActiveRecord und findet somit
auf Modellebene statt. Es kann entweder eine Klassen-Methode validate in die Modell-Klasse eingefügt werden, um eigene Validierungen zu implementieren, oder auf
Standard-Methoden von ActiveRecord zurückgegriffen werden, die als KlassenMethoden eingefügt werden. Nachfolgend wird das Pizza-Modell um verschiedene Validierungen erweitert:
# Alle drei Attribute müssen angegeben werden
validates_presence_of :name, :price, :ingredients
# Das Attribut “Name” der Pizza soll eindeutig sein
validates_uniqueness_of :name
# Das Attribut “Preis” soll positiv sein
validates_numericality_of :price, :on => :create,
:greater_than => 0, :message => "Price must be > 0."
Listing 16: Erweiterung von: app\models\pizza.rb
16
Kapitel 4: Erweiterung des Projektes
Der Parameter :on definiert wann die Validierung durchgeführt werden soll (hier beim
Anlegen) und :message überschreibt die eventuell ausgegebene Fehlermeldung (vor
allem bei numerischen Prüfungen wichtig). Als Standard werden die Validationen bei
jedem Ändern (:save) des Objekts ausgeführt. Standard-Fehlermeldungen sind bereits
definiert. Die Modelle User und Order werden ebenfalls um sinnvolle Validationen
erweitert (Vgl. Anhang A). Eine gute Übersicht und Beschreibung aller vorhandenen
Standard-Validationen bieten [MR06, Kap. 5.6.6].
4.3 Templates und Layout
Rails verfügt über drei eingebaute Template-Engines, die Teil des ActionView-Moduls
sind (ERb-, XML- und Ruby JavaScript-Templates). Anhand der Dateiendung erkennt
Rails, welche Engine zu wählen ist. Ab Rails 2.0 werden als Standard ERB-Templates
(app\views\*\*.html.erb) vom Scaffold-Generator erzeugt. Embedded Ruby
(ERb)-Templates sind einfache HTML-Templates mit über Tags eingebettetem RubyCode. Tabelle 2 gibt hierüber einen Überblick (Vgl. [MO08, Kap. 8]).
Tag
<% RUBY_CODE %>
<%- RUBY_CODE -%>
<%= RUBY_CODE %>
<%=h RUBY_CODE %>
<%# RUBY_CODE %>
Beschreibung
Code wird ausgewertet, keine Ausgabe
Code wird ausgewertet, keine Ausgabe, unterdrückt <br>
Code wird ausgewertet und als String ausgegeben
Code wird ausgewertet, Resultat wird durch html_escape
gefiltert (Vgl. Kap.4.6)
Code wird nicht ausgewertet (Kommentar)
Tabelle 2: Tags zum Einbinden von Ruby-Code in ERb-Templates
Da nach dem MVC-Muster die Controller die Views steuern, muss zum Rendern der
Views innerhalb einer Aktion eines Controllers die render-Funktion aufgerufen werden, der als Parameter der Name des Templates übergeben wird. Aufgrund der Namenkonvention wird Rails die Endung .html.erb hinzufügen. Allgemein:
Render :action => „Template_name“
Bei :action stehen dem Controller nur Templates aus dem eigenen Unterordner zur
Verfügung. Über :template kann ein relativer Pfad und über :file ein absoluter
Pfad zu anderen Templates angegeben werden [MR06, S. 68]. Im Ordner
app\views\layouts befinden sich spezielle Templates, die nach dem DRY-Prinzip
als gemeinsames Layout für alle Seiten eines Controllers dienen (controller.hmtl.erb). Wird die Datei application.html.erb angelegt, dient diese als
17
Kapitel 4: Erweiterung des Projektes
Layout für alle Seiten der Anwendung. Das Projekt wird um ein gemeinsames Layout
erweitert, dass alle Funktionen und Seiten zusammenführt (Vgl. Anhang A).
4.4 AJAX und Web 2.0
„Asynchronous JavaScript and XML“ (AJAX)-Funktionalität ist fester Bestandteil von
Ruby on Rails. Hierfür wurden die beiden AJAX-Frameworks Prototype und
Script.aculo.us integriert. Eine ausführliche Darstellung von AJAX und den beiden
Frameworks wird in [Ga07, Kap.6 & 7] gegeben. Die JavaScript Dateien befinden sich
unter public\javascripts und werden in den Views wie folgt eingebunden:
<%= javascript_include_tag :defaults %>
Dadurch werden alle relevanten JavaScript-Dateien geladen (Prototype, Script.aculo.us,
sowie application.js, die selbst erstellte JavaScripts enthält). Diese Skripte können
nun in den Views verwendet werden um AJAX zu realisieren, wodurch aber eine Vermischung von HTML, Ruby und JavaScript auftritt. Um diese zu vermeiden und einheitlich nur HTML und Ruby-Code zu schreiben, kann der Ruby JavaScript (RJS)Generator benutzt werden. Dieser übersetzt Ruby-Code zur Laufzeit in JavaScript und
ermöglicht eine einheitliche Programmierung in Ruby. Da JavaScript zum View im
MCV-Muster gehört, ist es besser, den RJS-Code in Templates auszulagern, die den
Namen der aufzurufenden Action und die Endung .js.rjs tragen.
Nachdem die search_all Methode in Kap. 3.4 bereits als WebService über XML
realisiert wurde, wird diese nun um einen HTML-View mit Live-Search-Funktion erweitert, um die einfache Einbindung von AJAX zu demonstrieren:
<%# Die AJAX-Suche wird als Partial-View eingebunden %>
<%= render :layout => false, :partial => 'live_search' unless
request.xhr? %> <%# Namenskonvention: _live.search.html.erb%>
<%# Bei Ergebnisse erzeuge Tabelle%>
<div id="live_results">
<% unless @pizzas.empty? %>
<h3>Search results</h3>
<table width="500" >
<tr><th width="200">Name</th>
<th width="100">Price</th>
<th width="200">Ingredients</th></tr>
<% for pizza in @pizzas %>
<tr><td><%=h pizza.name %></td>
<td><%=h pizza.price %></td>
<td><%=h pizza.ingredients %></td></tr>
<% end %>
</table>
18
Kapitel 4: Erweiterung des Projektes
<% else %><%# Wenn keine Ergebnisse vorliegen %>
<h3>No matches found.</h3><% end %></div>
Listing 17: app\views\pizzas\search_all.html.erb
<%# Alle JavaScripte einbinden %>
<%= javascript_include_tag :defaults %>
<%# Suchfeld %>
<% form_tag({:action => 'search_all'}, :method => 'get') do %>
<label for='term'>Live-Search query:</label>
<%= text_field_tag :term %>
<% end %>
<%# Während der Live-Suche erscheint Grafik %>
<%= image_tag 'ajax-loader.gif', :id => 'loading', :style =>
'display:none' %>
<%# Observer überwacht das Suchfeld und führt action aus %>
<%= observe_field('term', :url => {:action => 'search_all'},
:with => 'term', :frequency => 1, :update => 'live_results',
:before => "Element.show('loading'); Element.hide('live_results')", :complete => "Element.hide('loading');" + visual_effect(:appear,:live_results ))
%>
Listing 18: app\views\pizzas\_live_search.html.erb
def search_all
[...]
#Rendert das Ergebnis
respond_to do |format|
if request.xhr? # AJAX Anfrage? -> Layout nicht neu rendern
render :layout => false and return
end
format.html # Rendert views\pizzas\search_all.html.erb
# Falls XML-Anfrage rendere XML-Antwort
format.xml { render :xml => @pizzas } # Rendert XML
end
end
Listing 19: Aktualisierte Methode in: app\controllers\pizzas_controller.rb
Das zentrale Element hierbei ist der Observer, der bei Änderungen im Suchfeld die Aktion search_all neu ausführt und den DIV-Container live_results aktualisiert.
4.5 E-Mail Versand durch ActionMailer
Damit die Bestellungen auch Beachtung finden, werden sie nach ihrem erfolgreichen
Anlegen mit Hilfe des ActionMailer-Moduls per E-Mail an den admin (bspw. [email protected]) versandt. Hierzu wird das Model order_mailer generiert:
“ruby script\generate mailer order_mailer order_email”
class OrderMailer < ActionMailer::Base # Erbt von ActionMailer
def order_email(order, sent_at = Time.now) # Order als Param.
19
Kapitel 4: Erweiterung des Projektes
@subject = 'New Pizza-Order'
@recipients = '[email protected]'
@from = 'Pizza-Service'
@sent_on = sent_at
@body = {:order => order} # Order-Objekt wird übergeben
end
end
Listing 20: app\models\order_mailer.rb
respond_to do |format|
if @order.save
# Schicke Bestellung als Email
OrderMailer.deliver_order_email(@order)
[...]
Listing 21: Erweiterung der Create-Methode in: app\controllers\orders_controller.rb
Beim Ausführen der create-Methode in OrdersController wird die deliver_order_email-Methode von OrderMailer aufgerufen und ihr das Order-Objekt
übergeben. Durch die Variable @body steht es im Template des E-Mail-Body über
@order wieder zur Verfügung, so dass alle Werte der Bestellung eingetragen werden
können. Das Template views\orders\order_email.erb befindet sich im Anhang
A. Standardmäßig versendet ActionMailer E-Mails über einen SMTP-Server, dessen
Zugangsdaten in der Datei config\environment.rb hinterlegt werden müssen [Ruby08e]. Auch das Versenden über sendmail wird unterstützt. Zum Testen kann aber
auch ohne Konfiguration das Versenden der E-Mail im Server-Log überprüft werden.
4.6 Sicherheitsaspekte
Nach [Or07, Kap. 11] ist Sicherheit insbesondere bei Web-Anwendungen von großer
Bedeutung, da diese über das Internet stets öffentlich zugänglich sind. Da der öffentliche Zugang zu bestimmten Dateien auf dem Webserver zwingend notwendig ist, kann
nicht verhindert werden, dass potentielle Angreifer versuchen die Web-Anwendung auf
Schwachstellen und Sicherheitslücken zu untersuchen. Diese Attacken können auch
automatisiert von Skripten durchgeführt werden und versuchen dabei bekannte Sicherheitslücken auszunutzen. Die zwei größten sicherheitskritischen Bereiche sind einerseits
„SQL-Injection“ sowie „cross-site scripting“ (XSS). Dazu ergänzen [WB06, Kap. 11.1]
noch die für Ruby on Rails-Anwendungen kritischen Batch-Updates von Modellen,
mögliche unsichere Dateiendownloads durch die send_file() Methode und die Direkteingabe einer URL mit ID. Grundsätzlich sollten alle möglichen Benutzer-Eingaben
20
Kapitel 4: Erweiterung des Projektes
gefiltert und validiert werden und der Output auf unsichere und ungültige Zeichen und
oder Informationen überprüft werden („escape output“).
Zur Vermeidung von SQL-Injection sollte nach [WB06, S. 234] bei Datenbankabfragen
in der Geschäftslogik nicht der Ruby-Ersetzungsmechanismus „#{code}“ benutzt
werden, da dieser die Benutzereingaben ungeprüft in die SQL-Abfrage einsetzen würde:
Person.find(:first, :conditions => “user = ‘#{params[:user]}’ ”
+ “and pw = ‘#{params[:password]}’”)
Die Eingabe „'OR 1 --'“ als Passwort, ergibt die SQL-Abfrage:
SELECT * FROM persons where user = ‘anyone’ and pw = ‘'OR 1 --'’
Da der letzte Teil des Ausdrucks immer „wahr“ ergibt, liefert die Abfrage immer einen
Benutzer zurück, wodurch ein potentieller Angreifer Zugang erhält. Daher sollte entweder die Binding-Funktionalität von Active Record:
Person.find(:first, :condition => [“user=? and pw=?”, user, pw])
oder die automatisch generierten dynamischen Finder verwendet werden:
Person.find_by_name_and_pw(user,pw)
Zur Vermeidung von XSS empfiehlt [Or07, S. 369 f.] die konsequente Benutzung der
html_escape() Methode von Ruby für alle Variablen, die erst bei der Generierung
der Views ausgewertet werden. Dadurch werden alle potentiellen „tainted variables“
ausgewertet, bevor der HTML-View gerendert wird. Somit kann kein Skript eingeschleust werden. Daher sollten in allen *.html.erb Dateien (View-Vorlagen) die Ruby Variablen „<%= @einWert %>“ mit „<%= html_escape(@einWert) %>“ oder
kurz „<%=h @einWert %>“ umschlossen werden (Vgl. Kap. 4.3).
Wenn Instanzen von Modellen in Rails erzeugt oder geändert werden, bspw. bei der
Registrierung eine Instanz eines neuen User-Modells, sollte immer darauf geachtet werden, dass über den Parameter-Hash params nicht zusätzliche Daten übertragen werden,
die nicht explizit im View vorgesehen sind, wie z. B. ein admin-Attribut, welches nur
in der Logik gesetzt wird. Im entsprechenden User-Model können zu schützende Attribute durch „attr_protected :attribut“ gekennzeichnet werden. Diese werden
bei Batch-Updates wie new() oder create() nicht aktualisiert, sofern sie nicht explizit in der Geschäftslogik gesetzt wurden [WB06, S. 234 f.]. Einen guten Überblick aller
sicherheitsrelevanten Aspekte von Rails 2.0 bietet [We08].
21
Kapitel 5: Zusammenfassende Betrachtung
5 Zusammenfassende Betrachtung
Nachdem zuerst die Grundlagen von Ruby on Rails erläutert wurden, wurde im Hauptteil dieser Ausarbeitung gezeigt, wie einfach sich ein Prototyp einer Web-Anwendung
entwickeln lässt. Im Vergleich zu anderen Web-Frameworks fällt hierbei positiv auf,
dass das Paradigma „Konvention über Konfiguration“ viel Konfigurationsaufwand ersparte. Angefangen bei der Entwicklungsumgebung, die schnell aufgesetzt war, wurde
dieses insbesondere beim Prototyping sehr deutlich. Das ORM war sofort ohne Anpassungen nutzbar und es müssten nur die Assoziationen eingefügt werden. CRUDOperationen konnten sofort sowohl im HTML-View als auch als RESTful WebServices ausgeführt werden. Ein nicht zu unterschätzender Vorteil sind die Namenskonventionen, die dafür sorgen, dass Rails bspw. automatisch die richtigen Templates benutzt oder automatisch dynamische Methoden bereitstellt, wie z. B. die FinderMethoden (find_by_attribut). Die intuitive Syntax von Ruby erleichtert das Verstehen des Quellcodes enorm und sieht sehr aufgeräumt aus. Grundsätzlich haben Parameter sinnvolle Default-Werte, weswegen sie nicht angegeben/geändert werden müssen. Ruby on Rails ist ein sehr umfangreiches Framework geworden und hat speziell
durch die Version 2.0 viele sinnvolle Veränderungen erfahren. Die Validierung im Modell ist einfach und effektiv zugleich, ohne sich um die Darstellung zu sorgen. Nicht
unwichtig ist die gute AJAX-Einbindung oder der leichte E-Mail Versand. Wenn einige
sicherheitsrelevante Aspekte beachtet werden kann mit Ruby on Rails eine produktive
Umsetzung erfolgen. Als Kritikpunkt ist die fehlende eingebaute Lokalisierung anzusehen, die eine Internationalisierung schwierig gestaltet, da diese selbst implementiert
werden muss. Ab der Version 2.2 soll Rails eine einfache Lokalisierung enthalten. Außerdem fehlt es im Vergleich zu J2EE-Umgebungen dem Rails Framework sicherlich an
Unterstützung durch Hersteller und entsprechenden Erweiterungen. Eine Betrachtung
des Aspekts Performance überstieg den Umfang dieser Ausarbeitung. Allgemein kann
aber die Aussage getroffen werden, dass die Performance im Vergleich zu JavaUmgebungen schlechter ist, da Rails auf einer Interpreter-Sprache basiert. Die Performance ist aber vergleichbar oder sogar besser als bei anderen etablierten WebFrameworks wie Django (basiert auf Python) oder Symfony (basiert auf PHP). Für eine
ausführliche Betrachtung der Performance von Rails sei auf [OR07, Kap 12] verwiesen.
Problematisch sind jedoch die schlechte Performance von Rails mit einer Oracle DB
[Ruby08c], sowie die Inkompatibilität mit MySQL unter Windows XP (Vgl. Kap 2.4).
22
Anhang A: Quelltexte
A Quelltexte
Um die Umsetzung des Projektes zu dokumentieren, werden hier anhand der Reihenfolge der Ausarbeitung die Quelltexte zu den einzelnen Kapiteln angegeben. Es werden
nur veränderte Dateien gelistet, andere nicht gelistete Dateien blieben unverändert. Da
einzelne Dateien im Laufe der Ausarbeitung mehrfach verändert wurden, wird jeweils
die komplett neue Datei gelistet. Falls nur kleinere Änderungen an großen Dateien vorgenommen wurden wird der unveränderte Teil der Datei mit [...] abgekürzt.
Die kompletten Quelltexte und alle Dateien des Projektes sind in dem Archiv
RoR_Kapitel4.zip enthalten und stellen die letzte Version des Projekts am Ende des
4. Kapitels dar. Zum Testen der Quelltexte muss eine Entwicklungsumgebung, wie in
Kapitel 2.4 beschrieben, eingerichtet werden.
Kapitel 3.2:
class Pizza < ActiveRecord::Base
# Einer Pizza werden 0..* Bestellungen zugeordnet
has_and_belongs_to_many :order
end
Listing 22: app\models\pizza.rb
class Order < ActiveRecord::Base
# Einer Bestellung werden 0..* Pizzen zugeordnet
has_and_belongs_to_many :pizza
# Eine Bestellung wird genau einer Person zugeordnet
belongs_to :user
end
Listing 23: app\models\order.rb
class User < ActiveRecord::Base
# Einem User werden 0..* Bestellungen zugeordnet
has_many :order
end
Listing 24: app\models\user.rb
class CreateOrders < ActiveRecord::Migration
def self.up # Neues Schemata wird migriert
create_table :orders do |t|
t.text :delivery_wish
t.integer :user_id # Fremdschlüssel wird ergänzt
t.timestamps
end
# Hilfstabelle wird angelegt. Keine eigene id.
create_table :orders_pizzas, :id => false do |t|
t.integer :order_id # Fremdschlüssel der Bestellungen
t.integer :pizza_id # Fremdschlüssel der Pizzen
23
Anhang A: Quelltexte
end
end
def self.down # Alte Tabellen/Schemata werden gelöscht
drop_table :orders
drop_table :orders_pizzas # Hilfstabelle entfernen
end
end
Listing 25: db\migrate\timestamp_create_orders.rb
Kapitel 3.3:
pizza1 = Pizza.new(:name => "Pizza Margherita", :price => 4.95,
:ingredients => "Tomaten, Kaese")
pizza2 = Pizza.new(:name => "Pizza Salami", :price => 5.45,
:ingredients => "Tomaten, Kaese, Salami")
pizza3 = Pizza.new(:name => "Pizza Tono", :price => 5.95,
:ingredients => "Tomaten, Kaese, Thunfisch")
user1 = User.new(:name => "Max Mustermann", :address =>
"Hansaring 55", :zip_code => 48143, :city => "Muenster")
user2 = User.new(:name => "Peter Muster", :address =>
"Wolbecker Str. 55", :zip_code => 48143, :city => "Muenster")
pizza1.save
pizza2.save
pizza3.save
user1.save
user2.save
order1 = Order.new(:delivery_wish => "Bitte noch 1 Liter Cola")
user1.order << order1 # Bestellung wird User zugeordnet (1:m).
order1.pizza << pizza2 #.pizza ist ein Array, wg. n:m Beziehung
order1.pizza << pizza3
order1.save
bestellung = Order.find(:first) # Suche nach der 1. Bestellung
bestellung.user.name
# Gibt den Namen des Kunden aus
# Alle Pizzen werden ausgelesen und deren Namen angezeigt
bestellung.pizza.each { |pizza| puts pizza.name }
Listing 26: Alle Eingaben in der Ruby-Konsole
24
Anhang A: Quelltexte
class OrdersController < ApplicationController
# Über den params-Hash des Select-Feldes werden die IDs
# der selektierten Pizzen übergeben und der Bestellung
zugeordnet
def handle_pizzas_orders
if params['pizza_ids']
@order.pizza.clear
pizzas = params['pizza_ids'].map { |id|
Pizza.find_by_id(id) }
@order.pizza << pizzas
end
end
[...]
# GET /orders/new
# GET /orders/new.xml
def new
@order = Order.new
@pizzas = Pizza.find(:all).collect {|pizza| [pizza.name,
pizza.id]}
respond_to do |format|
format.html # new.html.erb
format.xml { render :xml => @order }
end
end
[...]
# POST /orders
# POST /orders.xml
def create
@order = Order.new(params[:order])
# Weise die selektierten Pizzen der Bestellung zu
handle_pizzas_orders
respond_to do |format|
if @order.save
flash[:notice] = 'Order was successfully created.'
format.html { redirect_to(@order) }
format.xml { render :xml => @order, :status =>
:created, :location => @order }
else
format.html { render :action => "new" }
format.xml { render :xml => @order.errors, :status =>
:unprocessable_entity }
end
end
end
[...]
end
Listing 27: app\controllers\orders_controller.rb
<h1>Listing orders</h1>
25
Anhang A: Quelltexte
<table>
<tr>
<th>Ordering date/time</th>
<th>Orderer ID</th>
<th>Order Items</th>
<th>Delivery wish</th>
<th>Actions</th>
</tr>
<% for order in @orders %>
<tr>
<td><%=h order.created_at %></td>
<td><%=h order.user_id %></td> <%# order.user.name
funktioniert nur in der Console %>
<td><%=h order.pizza.collect { |pizza| pizza.name }.join(',
') %>
<td><%=h order.delivery_wish %></td>
<td><%= link_to 'Delete', order, :confirm => 'Are you
sure?', :method => :delete %></td>
</tr>
<% end %>
</table>
<br />
<%= link_to 'New order', new_order_path %>
Listing 28: app\views\orders\index.html.erb
<h1>New order</h1>
<% form_for(@order) do |f| %>
<%= f.error_messages %>
<p>Orderer:<br>
<%= select 'order', 'user_id', User.find(:all).collect
{|user| [user.name, user.id]} %>
</p>
<p>Pizzas:<br>
<select id="pizza_ids" name ="pizza_ids[]"
multiple="multiple">
<%= options_for_select @pizzas %>
</select>
</p>
<p>
<%= f.label :delivery_wish %><br />
<%= f.text_area :delivery_wish %>
</p>
<p>
<%= f.submit "Create" %>
</p>
<% end %>
<%= link_to 'Back', orders_path %>
Listing 29: app\views\orders\new.html.erb
26
Anhang A: Quelltexte
Kapitel 3.4:
class ApplicationController < ActionController::Base
helper :all # include all helpers, all the time
# protect_from_forgery # :secret =>
'3f96918d481c430681793223d9275efb'
end
Listing 30: app\controllers\application.rb
class PizzasController < ApplicationController
# GET /pizzas/search_all
# GET /pizzas/search_all.xml
def search_all
#Suchbegriff wird für die SQL Abfrage mit % geklammert
@term = "%#{params[:term]}%"
#Suchanfrage wird ausgeführt. SQL-Injection wird vermieden.
@pizzas = Pizza.find(:all, :conditions =>
["ingredients like ?", @term ])
#Rendert das Ergebnis nur als XML, kein HTML, kein AJAX
respond_to do |format|
format.xml { render :xml => @pizzas }
end
end
[...]
Listing 31: app\controllers\pizzas_controller.rb
ActionController::Routing::Routes.draw do |map|
map.resources :users
map.resources :orders
# "search_all“ Anfrage mit „get“ request wird weitergeleitet
# „map.resources :pizzas“ wird geändert in:
map.resources :pizzas, :collection => {:search_all => :get}
[...]
Listing 32: config\routes.rb
Kapitel 4.1:
class LoginController < ApplicationController
def login
session[:user] = nil # User-Objekt und Werte löschen
session[:user_id] = nil
session[:user_login] = nil
# Login-Button löst POST-Request aus
if request.post?
# Authentifiziere User -> app\models\user.rb
user = User.authenticate(params[:login],
params[:password])
27
Anhang A: Quelltexte
# Konnte User-Objekt erfolgreich geladen werden?
if user != nil # Wenn ja setze neues Objekt und Werte
session[:user] = user
session[:user_id] = user.id
session[:user_login] = user.login
# Hinweis und Redirect
flash[:notice] = "Successfully logged in!"
redirect_to :controller => "pizzas", :action => "index"
else # Fehler bei der Authentifizierung
flash[:error] = "Login or passwort are incorrect!"
end
end
end
def logout
reset_session # Löscht alle Session Objekte des Users
end
end
Listing 33: app\controllers\login_controller.rb
class User < ActiveRecord::Base
# Einem User werden 0..* Bestellungen zugeordnet
has_many :order
# Authentifizierung (Passwort-Vergleich)
def self.authenticate(login, password)
user = self.find_by_login(login) # Lade User-Objekt
if user # User-Objekt erfolgreich geladen, prüfe Passwort
if user.password != password
user = nil
# Passwort falsch. Gib Fehler zurück (NIL)
end
end
user
# Passwort richtig. Gib User-Objekt zurück
end
end
Listing 34: app\models\user.rb
# Filters added to this controller apply to all controllers in
the application.
# Likewise, all the methods added will be available for all
controllers.
class ApplicationController < ActionController::Base
helper :all # include all helpers, all the time
private
# Überprüft ob User eingeloggt ist
def logged_in
if session[:user] == nil
flash[:error] = "You need to login first!"
redirect_to(:action => 'index')
end
28
Anhang A: Quelltexte
end
private
# Überprüft ob User sein eigenes Profil editiert
def own_profile
if session[:user].id.to_s != params[:id]
flash[:error] = "You can only edit your own profile."
redirect_to(:action => 'index')
end
end
private
def admin_logged_in
# Überprüft ob user.login = admin
logged_in
if session[:user] != nil
if session[:user].login.to_s == "admin"
flash.now[:notice] = "You have admin rights."
else
flash[:error] = "You need to have admin rights to use
this function."
redirect_to(:action => 'index')
end
end
end
protect_from_forgery # :secret =>
'3f96918d481c430681793223d9275efb'
end
Listing 35: app\controllers\application.rb
class OrdersController < ApplicationController
# Delete-/Edit-Aktionen sind admin-geschützt, Anzeigen und
Anlegen nicht
before_filter :admin_logged_in, :only => [:delete, :destroy,
:edit, :update]
# Um Bestellungen anzulegen muss User eingeloggt sein
before_filter :logged_in, :only => [:create, :new]
[...]
Listing 36: app\controllers\orders_controller.rb
class PizzasController < ApplicationController
#Create/Update/Delete-Aktionen sind geschützt (nur admin).
Anzeigen und Suchen nicht.
before_filter :admin_logged_in, :except => [:index, :list,
:show, :search_all]
[...]
Listing 37: app\controllers\pizzas_controller.rb
class UsersController < ApplicationController
# Delete-Aktionen sind admin-geschützt, Anzeigen und Anlegen
29
Anhang A: Quelltexte
nicht
before_filter :admin_logged_in, :only => [:delete, :destroy]
# User dürfen nur ihre eigenen Profile ändern
before_filter :logged_in, :own_profile, :only => [:edit,
:update]
[...]
Listing 38: app\controllers\users_controller.rb
<h1>Login</h1>
<% form_tag do %>
<p>
<label for="name">Login: </label>
<%= text_field_tag :login, params[:login] %>
</p>
<p>
<label for="password">Password:</label>
<%= password_field_tag :password, params[:password] %>
</p>
<p>
<%= submit_tag "Login" %>
</p>
<% end %>
<p>
<%= link_to 'Create new account', :controller => 'users',
:action => 'new' %>
</p>
Listing 39: app\views\login\login.html.erb
<h1>Logout</h1>
<p>Logged out!</p>
Listing 40: app\views\login\logout.html.erb
<h1>New order</h1>
<% form_for(@order) do |f| %>
<%= f.error_messages %>
<p>Orderer<br><strong>
<% if session[:user] == nil %>
<div style="display:none"><%= select 'order', 'user_id',
'0', :disabled => true %></div>
<% else %> <%# Zeige User-Adresse zur Kontrolle %>
<div style="display:none"><%= select 'order', 'user_id',
session[:user].id.to_s, :disabled => true %></div>
<%=h session[:user].name %><br>
<%=h session[:user].address %><br>
<%=h session[:user].zip_code %>
<%=h session[:user].city %>
<% end %></strong>
</p>
<p>Pizzas<br>
30
Anhang A: Quelltexte
<select id="pizza_ids" name ="pizza_ids[]"
multiple="multiple">
<%= options_for_select @pizzas %>
</select>
</p>
<p>
<%= f.label :delivery_wish %><br />
<%= f.text_area :delivery_wish %>
</p>
<p>
<%= f.submit "Create" %>
</p>
<% end %>
Listing 41: app\views\orders\new.html.erb
Kapitel 4.2:
class Pizza < ActiveRecord::Base
# Einer Pizza werden 0..* Bestellungen zugeordnet
has_and_belongs_to_many :order
# Alle drei Attribute müssen angegeben werden
validates_presence_of :name, :price, :ingredients
# Das Attribut “Name” der Pizza soll eindeutig sein
validates_uniqueness_of :name
# Das Attribut “Preis” soll positiv sein
validates_numericality_of :price, :on => :create,
:greater_than => 0, :message => "Price must be > 0."
end
Listing 42: app\models\pizza.rb
class Order < ActiveRecord::Base
# Einer Bestellung werden 0..* Pizzen zugeordnet
has_and_belongs_to_many :pizza
# Eine Bestellung wird genau einer Person zugeordnet
belongs_to :user
# Eine Bestellung muss min, 1 Pizza enthalten
validates_presence_of :user, :pizza
end
Listing 43: app\models\order.rb
class User < ActiveRecord::Base
# Einem User werden 0..* Bestellungen zugeordnet
has_many :order
# Minimale/Maximale Länge kann vorgegeben werden
validates_length_of :login, :within => 5..30
validates_length_of :password, :within => 6..30
# Alle Attribute müssen angegeben werden
validates_presence_of :login, :password, :name, :address,
31
Anhang A: Quelltexte
:zip_code, :city
# Wichtige Überprüfung, damit login "admin" einmalig bleibt
validates_uniqueness_of :login, :on => :create
validates_confirmation_of :password, :on => :create
# Authentifizierung (Passwort-Vergleich)
def self.authenticate(login, password)
user = self.find_by_login(login) # Lade User-Objekt
if user # User-Objekt erfolgreich geladen, prüfe Passwort
if user.password != password
user = nil
# Passwort falsch. Gib Fehler zurück (NIL)
end
end
user
# Passwort richtig. Gib User-Objekt zurück
end
end
Listing 44: app\models\user.rb
Kapitel 4.3:
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
"http://www.w3.org/TR/xhtml1/DTD/xhtml1transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en"
lang="en">
<head>
<meta http-equiv="content-type"
content="text/html;charset=UTF-8" />
<title>Pizza-Service: <%= controller.action_name %></title>
<%= stylesheet_link_tag 'pizza' %>
</head>
<body>
<fieldset><legend>Options</legend><strong>
<%= link_to 'Pizzas', :controller => 'pizzas', :action =>
'index' %> |
<%= link_to 'Orders', :controller => 'orders', :action =>
'index' %> |
<%= link_to 'Users', :controller => 'users', :action =>
'index' %><br>
<% if session[:user_login] == nil %><%= link_to 'Login',
:controller => 'login', :action => 'login' %>
<% else %><%= link_to 'Logout', :controller => 'login',
:action => 'logout' %><% end %> |
<% if session[:user_login] != nil %><%= link_to 'Profile',
:controller => 'users', :action => 'edit', :id =>
session[:user_id] %>
<% else %><%= link_to 'Register', :controller => 'users',
:action => 'new' %><% end %></strong>
<br>Status: <% if session[:user_login] != nil %><span
style="color: green">Logged in [<%= session[:user_login]
%>]</span><% else %><span style="color: red">Not logged in<%
end %></span>
</fieldset>
32
Anhang A: Quelltexte
<p style="color: green"><%= flash[:notice] %></p>
<p style="color: red"><%= flash[:error] %></p>
<fieldset><legend>Content</legend>
<%= yield %>
</fieldset>
<p style="font-size: 10px">Pizza-Demo powered by Ruby on Rails
| Thomas Jansing</p>
<img src="/images/rails.png" border="0">
</body>
</html>
Listing 45: app\views\layouts\application.html.erb
body { background-color: #EEE; color: #333; }
body, p, ol, ul, td {
font-family: verdana, arial, helvetica, sans-serif;
font-size:
13px;
line-height: 18px;
}
pre {
background-color: #eee;
padding: 10px;
font-size: 11px;
}
a { color: #000; }
a:visited { color: #666; }
a:hover { color: #fff; background-color:#000; }
table {
border: 1px solid;
padding: 1px;
margin: 1px;
background-color: #DDD;
}
td{
}
border: 1px solid;
padding: 1px;
margin: 1px;
.fieldWithErrors {
padding: 2px;
background-color: red;
display: table;
}
#errorExplanation {
width: 400px;
border: 2px solid red;
33
Anhang A: Quelltexte
padding: 7px;
padding-bottom: 12px;
margin-bottom: 20px;
background-color: #f0f0f0;
}
#errorExplanation h2 {
text-align: left;
font-weight: bold;
padding: 5px 5px 5px 15px;
font-size: 12px;
margin: -7px;
background-color: #c00;
color: #fff;
}
#errorExplanation p {
color: #333;
margin-bottom: 0;
padding: 5px;
}
#errorExplanation ul li {
font-size: 12px;
list-style: square;
}
Listing 46: public\stylesheets\pizza.css
Zusätzlich wurde die Datei public\images\ajax-loader.gif hinzugefügt. Diese
befindet sich im Archiv RoR_Kapitel4.zip.
Kapitel 4.4:
<%# Die AJAX-Suche wird als Partial-View eingebunden %>
<%= render :layout => false, :partial => 'live_search' unless
request.xhr? %>
<%# Bei Ergebnisse erzeuge Tabelle%>
<div id="live_results">
<% unless @pizzas.empty? %>
<h3>Search results</h3>
<table width="500" >
<tr><th width="200">Name</th>
<th width="100">Price</th>
<th width="200">Ingredients</th></tr>
<% for pizza in @pizzas %>
<tr><td><%=h pizza.name %></td>
<td><%=h pizza.price %></td>
<td><%=h pizza.ingredients %></td></tr>
<% end %>
</table>
<% else %><%# Wenn keine Ergebnisse vorliegen %>
<h3>No matches found.</h3>
<% end %></div>
Listing 47: app\views\pizzas\search_all.html.erb
34
Anhang A: Quelltexte
<%# Alle JavaScripte einbinden %>
<%= javascript_include_tag :defaults %>
<%# Suchfeld %>
<% form_tag({:action => 'search_all'}, :method => 'get') do %>
<label for='term'>Live-Search query:</label>
<%= text_field_tag :term %>
<% end %>
<%# Während der Live-Suche erscheint Grafik %>
<%= image_tag 'ajax-loader.gif', :id => 'loading', :style =>
'display:none' %>
<%# Observer überwacht das Suchfeld und führt action aus %>
<%= observe_field('term', :url => {:action => 'search_all'},
:with => 'term', :frequency => 1, :update => 'live_results',
:before => "Element.show('loading');
Element.hide('live_results')", :complete =>
"Element.hide('loading');" +
visual_effect(:appear,:live_results )) %>
Listing 48: app\views\pizzas\_live_search.html.erb
class PizzasController < ApplicationController
#Create/Update/Delete-Aktionen sind geschützt (nur admin).
Anzeigen und Suchen nicht.
before_filter :admin_logged_in, :except => [:index, :list,
:show, :search_all]
# GET /pizzas/search_all
# GET /pizzas/search_all.xml
def search_all
#Suchbegriff wird für die SQL Abfrage mit % geklammert
@term = "%#{params[:term]}%"
#Suchanfrage wird ausgeführt. SQL-Injection wird vermieden.
@pizzas = Pizza.find(:all, :conditions =>
["ingredients like ?", @term ])
#Rendert das Ergebnis
respond_to do |format|
if request.xhr? # AJAX Anfrage? -> Layout nicht neu
rendern
render :layout => false and return
end
format.html # Rendert views\pizzas\search_all.html.erb
# Falls XML-Anfrage rendere XML-Antwort
format.xml { render :xml => @pizzas } # Rendert XML
end
end
[...]
Listing 49: app\controllers\pizzas_controller.rb
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
"http://www.w3.org/TR/xhtml1/DTD/xhtml1transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en"
lang="en">
35
Anhang A: Quelltexte
<head>
<meta http-equiv="content-type"
content="text/html;charset=UTF-8" />
<title>Pizza-Service: <%= controller.action_name %></title>
<%= stylesheet_link_tag 'pizza' %>
</head>
<body>
<fieldset><strong>
<%= link_to 'Pizzas', :controller => 'pizzas', :action =>
'index' %> |
<%= link_to 'Orders', :controller => 'orders', :action =>
'index' %> |
<%= link_to 'Users', :controller => 'users', :action =>
'index' %><br>
<% if session[:user_login] == nil %><%= link_to 'Login',
:controller => 'login', :action => 'login' %>
<% else %><%= link_to 'Logout', :controller => 'login',
:action => 'logout' %><% end %> |
<% if session[:user_login] != nil %><%= link_to 'Profile',
:controller => 'users', :action => 'edit', :id =>
session[:user_id] %>
<% else %><%= link_to 'Register', :controller => 'users',
:action => 'new' %><% end %></strong>
<br>Status: <% if session[:user_login] != nil %><span
style="color: green">Logged in [<%= session[:user_login]
%>]</span><% else %><span style="color: red">Not logged in<%
end %></span><br>
<%= link_to 'Search_Pizzas_AJAX', :controller => 'pizzas',
:action => 'search_all' %> |
<%= link_to 'Search_Pizzas_XML', :controller => 'pizzas',
:action => 'search_all.xml' %><br>
</fieldset>
<p style="color: green"><%= flash[:notice] %></p>
<p style="color: red"><%= flash[:error] %></p>
<fieldset>
<%= yield
</fieldset>
%>
<p style="font-size: 10px">Pizza-Demo powered by Ruby on Rails
| Thomas Jansing</p>
<img src="/images/rails.png" border="0">
</body>
</html>
Listing 50: app\views\layouts\application.html.erb
Kapitel 4.5:
class OrderMailer < ActionMailer::Base # Erbt von ActionMailer
def order_email(order, sent_at = Time.now) # Order als Param.
@subject = 'New Pizza-Order'
@recipients = '[email protected]'
@from = 'Pizza-Service'
36
Anhang A: Quelltexte
@sent_on = sent_at
@body = {:order => order} # Order-Objekt wird übergeben
end
end
Listing 51: app\models\order_mailer.rb
class OrdersController < ApplicationController
[...]
# POST /orders
# POST /orders.xml
def create
@order = Order.new(params[:order])
# Weise die selektierten Pizzen der Bestellung zu
handle_pizzas_orders
respond_to do |format|
if @order.save
OrderMailer.deliver_order_email(@order)
flash[:notice] = 'Order was successfully created.'
format.html { redirect_to(@order) }
format.xml { render :xml => @order, :status =>
:created, :location => @order }
else
format.html { render :action => "new" }
format.xml { render :xml => @order.errors, :status =>
:unprocessable_entity }
end
end
end
[...]
Listing 52: app\controllers\orders_controller.rb
Pizza Order:
Orderer: <%= @order.user.name %>
Address: <%= @order.user.address %>
Zip_Code: <%= @order.user.zip_code %>
City: <%= @order.user.city %>
Pizzas: <%= @order.pizza.collect { |pizza| pizza.name }.join(',
') %>
Delivery-Wish: <%= @order.delivery_wish %>
Ordering date/time: <%= @order.created_at %>
Listing 53: app\views\order_mailer\order_email.erb
37
Literaturverzeichnis
[Ca07]
Denny Carl: Praxiswissen Ruby on Rails, O’Reilly, 2007.
[CR06]
Lucas Carlson, Leonard Richardson: Ruby Cookbook, O’Reilly, 2006.
[Fi00]
Roy Thomas Fielding: Architectural Styles and the Design of Networkbased Software Architectures, Dissertation, 2000,
[http://www.ics.uci.edu/~fielding/pubs/dissertation/top.htm], Abrufdatum:
05.11.2008.
[Ga07]
Johannes Gamperl: AJAX – Grundlagen, Frameworks, APIs, Galileo Computing, 2. Auflage, 2007.
[MO08]
Hussein Morsy, Tanja Otto: Ruby on Rails 2 - Das Entwickler-Handbuch,
Galileo Computing <openbook>,
[http://openbook.galileocomputing.de/ruby_on_rails/], Abrufdatum:
04.11.2008.
[MR06]
Martin Marinschek, Wolfgang Radinger: Ruby on Rails, Einstieg in die effiziente Webentwicklung, dpunkt.verlag, 2006.
[Nu08]
Nubyonrails.com: Pluralization Tester for the Ruby on Rails Inflector,
[http://nubyonrails.com/tools/pluralize], Abrufdatum: 08.11.2008.
[Op08]
Open Source Initiative OSI: The MIT License,
[http://www.opensource.org/licenses/mit-license.php], Abrufdatum:
01.11.2008.
[Or07]
Rob Orsini: Rails Cookbook, O’Reilly, 2007.
[RR07]
Leonard Richardson, Sam Ruby: Web-Services mit REST - Frischer Wind
für Web-Services durch REST, O’Reilly, 2007.
[Ruby08a] RubyForge: One-Click Ruby Installer: File Release Notes and Changelog,
[http://rubyforge.org/frs/shownotes.php?release_id=26150], Abrufdatum:
03.11.2008.
[Ruby08b] Official Ruby on Rails Wiki: Database Drivers,
[http://wiki.rubyonrails.com/rails/pages/DatabaseDrivers], Abrufdatum:
03.11.2008.
[Ruby08c] Official Ruby on Rails Wiki: Framework Performance,
[http://wiki.rubyonrails.org/rails/pages/Framework+Performance], Abrufdatum: 08.11.2008.
[Ruby08d] Ruby on Rails Security Project: CSRF - An underestimated attack method,
[http://www.rorsecurity.info/2008/05/05/csrf-an-underestimated-attackmethod/], Abrufdatum: 10.11.2008.
[Ruby08e] Official Ruby on Rails Wiki: How To Send Emails With Action Mailer,
[http://wiki.rubyonrails.org/rails/pages/HowToSendEmailsWithActionMaile
r], Abrufdatum: 05.12.2008.
[Sqlite08] SQLite Download Page, [http://www.sqlite.org/download.html], Abrufdatum: 10.11.2008.
[St08]
Bettina Stracke: Web 2.0 mit Ruby on Rails – Professionelle Anwendungen
mit Ajax, Mashups und dem Rails Framework, entwickler.press, 2008.
[TH04]
Dave Thomas, Andy Hunt: Der Pragmatische Programmierer, Carl Hanser
Verlag, 2004.
[Vo07]
Deepak Vohra: Ruby on Rails for PHP and Java Developers, SpringerVerlag, 2007.
[Wa08]
Thomas Walter: Kompendium der Web-Programmierung - Dynamische
Web-Sites, Springer-Verlag, 2008.
[WB06]
Ralf Wirdemann, Thomas Baustert: Rapid Web Development mit Ruby on
Rails, Carl Hanser Verlag, 2006.
[We08]
Heiko Webers: Ruby on Rails Security - Version 2,
[http://www.rorsecurity.info/storage/rails_security_2.pdf], Abrufdatum:
11.11.2008.
[WK07]
Ramon Wartala, Jan Krutisch: Webanwendungen mit Ruby on Rails – Der
Praxiseinstieg von den Grundlagen über Testing bis Erweiterung, AddisonWesley Verlag, 2007.
[Xu08]
Xucia Incorporation: RESTTest, [http://www.xucia.com/#RestTest], Abrufdatum: 06.11.2008.