使用Java过滤器编写简单的登陆安全控制
2017-12-04 22:22
197 查看
Filter简介
Filter也称之为过滤器,它是Servlet技术中最实用的技术,Web开发人员通过Filter技术,对web服务器管理的所有web资源:例如Jsp, Servlet, 静态图片文件或静态 html 文件等进行拦截,从而实现一些特殊的功能。例如实现URL级别的权限访问控制、过滤敏感词汇、压缩响应信息等一些高级功能。它主要用于对用户请求进行预处理,也可以对HttpServletResponse进行后处理。使用Filter的完整流程:Filter对用户请求进行预处理,接着将请求交给Servlet进行处理并生成响应,最后Filter再对服务器响应进行后处理。
Filter工作原理
在没有过滤器的情况下,用户直接访问web资源使允许的,在过滤器存在的情况下,这种行为使不允许的。过滤器在web应用程序启动的时候从容器中加载。过滤器存在情况下,用户发送的请求先经过过滤器来判断请求额是否合法,再由过滤器发送给服务器,服务器响应之后在将资源响应发送给过滤器,再从过滤器将响应发送给用户。Filter的生命周期
public void init(FilterConfig filterConfig) throws ServletException;//初始化和我们编写的Servlet程序一样,Filter的创建和销毁由WEB服务器负责。 web 应用程序启动时,web 服务器将创建Filter 的实例对象,并调用其init方法,读取web.xml配置,完成对象的初始化功能,从而为后续的用户请求作好拦截的准备工作(filter对象只会创建一次,init方法也只会执行一次)。开发人员通过init方法的参数,可获得代表当前filter配置信息的FilterConfig对象。
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException;//拦截请求
这个方法完成实际的过滤操作。当客户请求访问与过滤器关联的URL的时候,Servlet过滤器将先执行doFilter方法。FilterChain参数用于访问后续过滤器。
public void destroy();//销毁
Filter对象创建后会驻留在内存,当web应用移除或服务器停止时才销毁。在Web容器卸载 Filter 对象之前被调用。该方法在Filter的生命周期中仅执行一次。在这个方法中,可以释放过滤器使用的资源。
项目案例
假设有一个登陆系统,包含登录界面,登陆成功界面和失败界面,在没有过滤器情况下,当用户直接输入登陆成功界面或者失败界面的URL时,这中操作是可以成功的。为了避免这种情况,我们就需要过滤器来实现安全控制。登录界面
<%@ page language="java" import="java.util.*" contentType="text/html; charset=utf-8"%> <% String path = request.getContextPath(); String basePath = request.getScheme()+"://"+request.getServerName()+":"+request.getServerPort()+path+"/"; %> <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"> <html> <head> <base href="<%=basePath%>"> <title>My JSP 'login.jsp' starting page</title> <meta http-equiv="pragma" content="no-cache"> <meta http-equiv="cache-control" content="no-cache"> <meta http-equiv="expires" content="0"> <meta http-equiv="keywords" content="keyword1,keyword2,keyword3"> <meta http-equiv="description" content="This is d052 my page"> <!-- <link rel="stylesheet" type="text/css" href="styles.css"> --> </head> <body> <form action="<%=request.getContextPath() %>/LoginServlet" method="post"> 用户名:<input type="text" name="username"> 密码:<input type="password" name="password"> <input type="submit"> </form> </body> </html>
登陆成功界面和失败界面只有
<body></body>部分不同
成功界面
<h1>登陆成功,欢迎您,<%=request.getSession().getAttribute("username") %></h1> <hr>
失败界面
<h1>登陆失败</h1> <hr>
编写LoginServlet
package com.servlet; import java.io.IOException; import javax.servlet.ServletException; import javax.servlet.http.HttpServlet; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import javax.servlet.http.HttpSession; /** * Servlet implementation class LoginServlet */ public class LoginServlet extends HttpServlet { private static final long serialVersionUID = 1L; /** * @see HttpServlet#HttpServlet() */ public LoginServlet() { super(); // TODO Auto-generated constructor stub } /** * @see HttpServlet#doGet(HttpServletRequest request, HttpServletResponse response) */ protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { // TODO Auto-generated method stub } /** * @see HttpServlet#doPost(HttpServletRequest request, HttpServletResponse response) */ protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { // 得到输入的用户名和密码 String username = request.getParameter("username"); String password = request.getParameter("password"); //输入用户名和密码都等于”admin”时,将用户名存入session if("admin".equals(username) && "admin".equals(password)){ HttpSession session = request.getSession(); session.setAttribute("username", username); //重定向到登陆成功界面 response.sendRedirect(request.getContextPath()+"/succese.jsp"); }else{ //输入错误的话重定向到失败界面 response.sendRedirect(request.getContextPath()+"/fail.jsp"); } } }
到目前为止,我们的登陆系统貌似能够正常运行,但是当我直接访问登陆成功界面或者失败界面,浏览器是能够访问到的,这不是我们所期望的,为了防止这种情况,我们需要filter,当上述情况分发生时,根据情况让他重定向到登陆界面。
编写filter
Loginfilter.java继承filter接口,配置web.xml<?xml version="1.0" encoding="UTF-8"?> <web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/javaee" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd" id="WebApp_ID" version="2.5"> <display-name>LoginFilter</display-name> <welcome-file-list> <welcome-file>index.html</welcome-file> <welcome-file>index.htm</welcome-file> <welcome-file>index.jsp</welcome-file> <welcome-file>default.html</welcome-file> <welcome-file>default.htm</welcome-file> <welcome-file>default.jsp</welcome-file> </welcome-file-list> <servlet> <description></description> <display-name>LoginServlet</display-name> <servlet-name>LoginServlet</servlet-name> <servlet-class>com.servlet.LoginServlet</servlet-class> </servlet> <servlet-mapping> <servlet-name>LoginServlet</servlet-name> <url-pattern>/LoginServlet</url-pattern> </servlet-mapping> <filter> <filter-name>LoginFilter</filter-name> <filter-class>com.loginfilter.Loginfilter</filter-class> <init-param> <param-name>nologinpage</param-name> <param-value>login.jsp;fail.jsp;LoginServlet</param-value> </init-param> </filter> <filter-mapping> <filter-name>LoginFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> </web-app>
设计filter逻辑
package com.loginfilter; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletException; import javax.servlet.ServletRequest; import javax.servlet.ServletResponse; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import javax.servlet.http.HttpSession; /** * Servlet Filter implementation class Loginfilter */ public class Loginfilter implements Filter { private FilterConfig config;//定义初始化变量 /** * Default constructor. */ public Loginfilter() { // TODO Auto-generated constructor stub } /** * @see Filter#destroy() */ public void destroy() { // TODO Auto-generated method stub } /** * @see Filter#doFilter(ServletRequest, ServletResponse, FilterChain) */ public void doFilter(ServletRequest arg0, ServletResponse arg1, FilterChain chain) throws IOException, ServletException { HttpServletRequest request = (HttpServletRequest) arg0; HttpServletResponse response = (HttpServletResponse) arg1; HttpSession session = request.getSession(); //设置不过滤的界面 String nologinpage = config.getInitParameter("nologinpage"); if(nologinpage!=null){ String[] strArray = nologinpage.split(";"); for (int i = 0; i < strArray.length; i++) { if(strArray[i]==null||"".equals(strArray[i])) continue; if(request.getRequestURI().indexOf(strArray[i])!=-1){ chain.doFilter(arg0, arg1); return; } } } //如果用户名不为空则放行,否则跳转到login.jsp if(session.getAttribute("username")!=null){ chain.doFilter(arg0, arg1); //response.sendRedirect("login.jsp"); }else{ response.sendRedirect("login.jsp"); } } /** * @see Filter#init(FilterConfig) */ public void init(FilterConfig fConfig) throws ServletException { config = fConfig;//将在web.xml定义好的初始化变量加载到config中 } }
Filter总结
使用filter的好处
在Filter执行的整个过程中客户端和目标资源是不知道过滤器的存在的。Filter提供的是一种声明式的服务,即在不用在原程序上做任何修改,只需要编写Filter,原程序想用Filter,只需要在XML文件中声明一下即可。他具有可插拔的能力,用的时候配上web.XML,不用的时候只需要修改web.xml,对整个系统没有影响,这种声明式的服务非常方便,也非常强大。其次,使用Filter进行控制业务也非常方便,比如验证用户是否登录,是否有操作权限,判断Session,字符集等,放到Filter里,可以省去大量重复的代码和繁琐的控制。
何时使用Filter比较合适?
对用户请求进行统一认证,权限管理对用户的访问请求进行记录和审核
对用户发送的数据进行过滤和替换
转换图像格式
对响应的内容进行压缩,减少传输量
对请求和相应进行加密处理
最后注意Filter技术只对post请求起作用
相关文章推荐
- 使用C++与SFML编写一个简单的撞球游戏Part6——添加弹板控制与弹球
- java学习笔记之使用MyEclipse编写一个简单的登陆界(一)
- Linux下,使用C/C++编写的一个简单的信号处理例程
- 安全使用网银的简单办法
- 一种安全、高效、简单的登陆算法
- BusinessObject J2EE单点登陆简单使用
- C#编写的一个简单的登陆界面对话框的原代码
- ASP编写的简单登陆系统
- 使用VC++和WINSOCK编写简单的BBS灌水程序
- 使用Delphi,SDK编写Windows简单程序
- 使用c++开发excel插件 (3.4、编写一个简单的动态链接库)
- 采用GTK进行简单聊天程序客户端的编写,使用C语言。
- Svn版本控制工具服务器端命令及客户端简单使用
- 图片查看软件使用JAVA编写的,比较简单!从书上看下来的,练习使用!
- 使用C#编写不安全代码(翻译)
- 使用.Net编写Windows程序,对于窗体控制常见项目
- 使用Delphi,SDK编写Windows简单程序
- Linux下,使用C/C++编写一个简单的消息处理程序
- 版本控制工具git的简单使用
- Linux下,使用C/C++编写"静态链接库"的一个简单例子