首先從功能上講，我們現在只是簡單的判斷了一下帳號和密碼是否輸入，當然這是遠遠不夠的。一般來說，我們可以把試圖登入系統的使用者分為兩部分，一部分是合法使用者，另一部分是非法使用者。合法使用者在系統內擁有一個帳號，而非法使用者在系統內不存在帳號。
 
登入驗證，從實現位置上來講，應該分為兩種，一種是客戶端驗證，一種是伺服器端驗證。客戶端驗證主要是完成判斷資訊是否輸入，是否符合業務規則，比如說帳號必須是數字或密碼必須大於6位等。伺服器端驗證除了完成上述的功能之外，還有帳號是否存在，密碼是否正確等。
 
客戶端驗證比較簡單，而且不是必須的。客戶端驗證過的內容，伺服器端還要全部再驗證一遍，因為據說是客戶端驗證是不安全的。不過客戶端驗證不用把資訊提交到伺服器，速度快。一般客戶端驗證我們使用JavaScript來做，如果不使用Struts，我們需要寫一段JS指令碼，現在我們使用Struts，實現起來更簡單一些了。
 
首先，在Action類所在的包下建立一個前半部分和Action同名的XML檔案
(Login-validation.xml),檔案內容可以這樣：
<!DOCTYPE validators PUBLIC
        "-//OpenSymphony Group//XWork Validator 1.0.2//EN"
        "http://www.opensymphony.com/xwork/xwork-validator-1.0.2.dtd">
<validators>
    <field name="username">
        <field-validator type="requiredstring">
            <message>User Name is required.</message>
        </field-validator>
    </field>
    <field name="password">
        <field-validator type="requiredstring">
            <message>Password is required.</message>
        </field-validator>
    </field>
</validators>

相關幫助可以從這找到：
struts-2.0.6docsdocsvalidation.html
struts-2.0.6docsdocsclient-validation.html。
 
field的name屬性必須和頁面的控制元件的名字也就是Action裡對應的屬性同名，表示需要驗證的欄位；
field-validator的type屬性表示需要驗證的型別，Struts內建的有12種之多，可以根據需要使用不同的型別；
message是當驗證失敗的時候，要顯示給使用者的提示資訊。
 
Login.jsp需要修改一下：
<%@ page contentType="text/html; charset=UTF-8" %>
<%@ taglib prefix="s" uri="/struts-tags" %>
<html>
<head>
    <title>登入驗證</title>
</head>
<body>
<s:form. method="post" validate="true">
    <s:textfield label="User Name" name="username" />
    <s:password label="Password" name="password" />
    <s:submit/>
</s:form>
</body>
</html>

增加了validate="true"屬性，告訴Struts我們想使用客戶端驗證。
 
Action類的內容和相關配置都不用改，部署專案並啟動Tomcat，並在瀏覽器中輸入：
http://localhost:8080/tutorial/Login!input.action
然後，點Submit按鈕提交頁面，會顯示Login-validation.xml中配置的錯誤訊息。
 
點選[顯示]-〉[原始檔]選單項，檢視原始碼，可以看到Struts實際上為我們插入了JS指令碼達到了上述的功能。