使用Java过滤器编写简单的登陆安全控制

Filter简介

Filter也称之为过滤器，它是Servlet技术中最实用的技术，Web开发人员通过Filter技术，对web服务器管理的所有web资源：例如Jsp, Servlet, 静态图片文件或静态 html 文件等进行拦截，从而实现一些特殊的功能。例如实现URL级别的权限访问控制、过滤敏感词汇、压缩响应信息等一些高级功能。

它主要用于对用户请求进行预处理，也可以对HttpServletResponse进行后处理。使用Filter的完整流程：Filter对用户请求进行预处理，接着将请求交给Servlet进行处理并生成响应，最后Filter再对服务器响应进行后处理。

Filter工作原理

在没有过滤器的情况下，用户直接访问web资源使允许的，在过滤器存在的情况下，这种行为使不允许的。过滤器在web应用程序启动的时候从容器中加载。过滤器存在情况下，用户发送的请求先经过过滤器来判断请求额是否合法，再由过滤器发送给服务器，服务器响应之后在将资源响应发送给过滤器，再从过滤器将响应发送给用户。

Filter的生命周期

public void init(FilterConfig filterConfig) throws ServletException;//初始化

和我们编写的Servlet程序一样，Filter的创建和销毁由WEB服务器负责。 web 应用程序启动时，web 服务器将创建Filter 的实例对象，并调用其init方法，读取web.xml配置，完成对象的初始化功能，从而为后续的用户请求作好拦截的准备工作（filter对象只会创建一次，init方法也只会执行一次）。开发人员通过init方法的参数，可获得代表当前filter配置信息的FilterConfig对象。

public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException;//拦截请求

这个方法完成实际的过滤操作。当客户请求访问与过滤器关联的URL的时候，Servlet过滤器将先执行doFilter方法。FilterChain参数用于访问后续过滤器。

public void destroy();//销毁

Filter对象创建后会驻留在内存，当web应用移除或服务器停止时才销毁。在Web容器卸载 Filter 对象之前被调用。该方法在Filter的生命周期中仅执行一次。在这个方法中，可以释放过滤器使用的资源。

项目案例

假设有一个登陆系统，包含登录界面，登陆成功界面和失败界面，在没有过滤器情况下，当用户直接输入登陆成功界面或者失败界面的URL时，这中操作是可以成功的。为了避免这种情况，我们就需要过滤器来实现安全控制。

登录界面

<%@ page language="java" import="java.util.*" contentType="text/html; charset=utf-8"%>
<%
String path = request.getContextPath();
String basePath = request.getScheme()+"://"+request.getServerName()+":"+request.getServerPort()+path+"/";
%>

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<base href="<%=basePath%>">
<title>My JSP 'login.jsp' starting page</title>

<meta http-equiv="pragma" content="no-cache">
<meta http-equiv="cache-control" content="no-cache">
<meta http-equiv="expires" content="0">
<meta http-equiv="keywords" content="keyword1,keyword2,keyword3">
<meta http-equiv="description" content="This is
d052
my page">
<!--
<link rel="stylesheet" type="text/css" href="styles.css">
-->

</head>

<body>
<form action="<%=request.getContextPath() %>/LoginServlet" method="post">
用户名：<input type="text" name="username">
密码：<input type="password" name="password">
<input type="submit">
</form>
</body>
</html>

登陆成功界面和失败界面只有

<body></body>

部分不同

成功界面

<h1>登陆成功,欢迎您，<%=request.getSession().getAttribute("username") %></h1>
<hr>

失败界面

<h1>登陆失败</h1>
<hr>

编写LoginServlet

package com.servlet;

import java.io.IOException;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

/**
* Servlet implementation class LoginServlet
*/
public class LoginServlet extends HttpServlet {
private static final long serialVersionUID = 1L;

/**
* @see HttpServlet#HttpServlet()
*/
public LoginServlet() {
super();
// TODO Auto-generated constructor stub
}

/**
* @see HttpServlet#doGet(HttpServletRequest request, HttpServletResponse response)
*/
protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
// TODO Auto-generated method stub

}

/**
* @see HttpServlet#doPost(HttpServletRequest request, HttpServletResponse response)
*/
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
// 得到输入的用户名和密码
String username = request.getParameter("username");
String password = request.getParameter("password");

//输入用户名和密码都等于”admin”时，将用户名存入session
if("admin".equals(username) && "admin".equals(password)){
HttpSession session = request.getSession();
session.setAttribute("username", username);
//重定向到登陆成功界面
response.sendRedirect(request.getContextPath()+"/succese.jsp");
}else{
//输入错误的话重定向到失败界面
response.sendRedirect(request.getContextPath()+"/fail.jsp");
}
}

}

到目前为止，我们的登陆系统貌似能够正常运行，但是当我直接访问登陆成功界面或者失败界面，浏览器是能够访问到的，这不是我们所期望的，为了防止这种情况，我们需要filter，当上述情况分发生时，根据情况让他重定向到登陆界面。

编写filter

Loginfilter.java继承filter接口，配置web.xml

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/javaee" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd" id="WebApp_ID" version="2.5">
<display-name>LoginFilter</display-name>
<welcome-file-list>
<welcome-file>index.html</welcome-file>
<welcome-file>index.htm</welcome-file>
<welcome-file>index.jsp</welcome-file>
<welcome-file>default.html</welcome-file>
<welcome-file>default.htm</welcome-file>
<welcome-file>default.jsp</welcome-file>
</welcome-file-list>
<servlet>
<description></description>
<display-name>LoginServlet</display-name>
<servlet-name>LoginServlet</servlet-name>
<servlet-class>com.servlet.LoginServlet</servlet-class>
</servlet>
<servlet-mapping>
<servlet-name>LoginServlet</servlet-name>
<url-pattern>/LoginServlet</url-pattern>
</servlet-mapping>
<filter>
<filter-name>LoginFilter</filter-name>
<filter-class>com.loginfilter.Loginfilter</filter-class>
<init-param>
<param-name>nologinpage</param-name>
<param-value>login.jsp;fail.jsp;LoginServlet</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>LoginFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
</web-app>

设计filter逻辑

package com.loginfilter;

import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

/**
* Servlet Filter implementation class Loginfilter
*/
public class Loginfilter implements Filter {

private FilterConfig config;//定义初始化变量

/**
* Default constructor.
*/
public Loginfilter() {
// TODO Auto-generated constructor stub
}

/**
* @see Filter#destroy()
*/
public void destroy() {
// TODO Auto-generated method stub
}

/**
* @see Filter#doFilter(ServletRequest, ServletResponse, FilterChain)
*/
public void doFilter(ServletRequest arg0, ServletResponse arg1, FilterChain chain) throws IOException, ServletException {
HttpServletRequest request = (HttpServletRequest) arg0;
HttpServletResponse response = (HttpServletResponse) arg1;
HttpSession session = request.getSession();

//设置不过滤的界面
String nologinpage = config.getInitParameter("nologinpage");
if(nologinpage!=null){
String[] strArray = nologinpage.split(";");
for (int i = 0; i < strArray.length; i++) {
if(strArray[i]==null||"".equals(strArray[i])) continue;
if(request.getRequestURI().indexOf(strArray[i])!=-1){
chain.doFilter(arg0, arg1);
return;
}
}
}
//如果用户名不为空则放行，否则跳转到login.jsp
if(session.getAttribute("username")!=null){
chain.doFilter(arg0, arg1);
//response.sendRedirect("login.jsp");
}else{
response.sendRedirect("login.jsp");
}

}

/**
* @see Filter#init(FilterConfig)
*/
public void init(FilterConfig fConfig) throws ServletException {
config = fConfig;//将在web.xml定义好的初始化变量加载到config中
}

}

Filter总结

使用filter的好处

在Filter执行的整个过程中客户端和目标资源是不知道过滤器的存在的。Filter提供的是一种声明式的服务，即在不用在原程序上做任何修改，只需要编写Filter，原程序想用Filter，只需要在XML文件中声明一下即可。他具有可插拔的能力，用的时候配上web.XML,不用的时候只需要修改web.xml，对整个系统没有影响，这种声明式的服务非常方便，也非常强大。

其次，使用Filter进行控制业务也非常方便，比如验证用户是否登录，是否有操作权限，判断Session，字符集等，放到Filter里，可以省去大量重复的代码和繁琐的控制。

何时使用Filter比较合适？

对用户请求进行统一认证，权限管理

对用户的访问请求进行记录和审核

对用户发送的数据进行过滤和替换

转换图像格式

对响应的内容进行压缩，减少传输量

对请求和相应进行加密处理

最后注意Filter技术只对post请求起作用