Web权限验证过滤器

最新推荐文章于 2023-02-07 08:24:06 发布
最新推荐文章于 2023-02-07 08:24:06 发布
阅读量1.4k 收藏
点赞数
分类专栏: JavaWeb 文章标签: java javaweb shiro SpringSecurity 权限
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jadyer/article/details/8211397
版权
完整版见 https://jadyer.github.io/2013/09/30/springmvc-shiro/




本文只是描述了一个比较简单的入门级的权限过滤器


实际上更好的参考实现有两款产品:Apache的Shiro(其前身是JSecurity)和SpringSecurity


下面是Web工程中的web.xml

<?xml version="1.0" encoding="UTF-8"?>
<web-app version="2.5"
	xmlns="http://java.sun.com/xml/ns/javaee"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://java.sun.com/xml/ns/javaee 
	http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd">
	<filter>
		<filter-name>AuthenticationFilter</filter-name>
		<filter-class>com.jadyer.Filter.AuthenticationFilter</filter-class>
		<init-param>
			<param-name>url</param-name>
			<param-value>/admin/login.jsp</param-value>
		</init-param>
	</filter>
	<filter-mapping>
		<filter-name>AuthenticationFilter</filter-name>
		<url-pattern>/admin/secure/*</url-pattern>
	</filter-mapping>
	
    <error-page>
    	<error-code>404</error-code>
    	<location>/WEB-INF/404.html</location>
    </error-page>
    <error-page>
    	<error-code>500</error-code>
    	<location>/WEB-INF/500.html</location>
    </error-page>
    <error-page>
    	<exception-type>javax.servle.ServletException</exception-type>
    	<location>/WEB-INF/error.html</location>
    </error-page>
    <error-page>
    	<exception-type>java.lang.NullPointerException</exception-type>
    	<location>/WEB-INF/error.html</location>
    </error-page>
</web-app>

下面是用于权限验证的过滤器AuthenticationFilter.java 

package com.jadyer.Filter;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * 权限验证
 */
public class AuthenticationFilter implements Filter {
	private String url = "/"; //代表根目录

	public void destroy() {}
	
	/**
	 * 获取web.xml中设定的参数url的值
	 * @see 即读取web.xml中的<param-name>url</param-name>
	 */
	public void init(FilterConfig config) throws ServletException {
		url = config.getInitParameter("url");
	}

	public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
		//这两行的强制类型转换是必不可少的
		HttpServletRequest req = (HttpServletRequest) request;
		HttpServletResponse res = (HttpServletResponse) response;
		//如果是普通用户或者管理员session已过期,则转到指定页面并返回,而不再执行下一个过滤链
		if (null == req.getSession().getAttribute("guesbook.admin.username")) {
			res.sendRedirect(req.getContextPath() + url);
		} else {
			chain.doFilter(request, response);
		}
	}
}
玄玉
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
配置一个管理员身份校验过滤器
m0_53277981的博客
03-18 224
这是一个身份校验过滤器的例子,我是使用spring boot搭建的,不过原理总是千篇一律的。 当一个项目的后台管理页上,进行内容的增删改查时,难免需要在控制器的每个方法上进行管理员身份校验,来进行判断,以便于进行相对应的操作。 步骤大致如下: 1.创建filter.AdminFilter.java,用于截取请求并过滤,创建该类后要实现Filter接口,重新里面的方法,不过对于管理员校验过滤器不用写初始化和终止的方法。 /* * 管理员身份校验过滤器 * */ public class AdminF
如何在 webflux 环境中使用 Spring Security
xxxzzzqqq_的博客
04-12 768
复制日志中出现的名称:,在 idea 中按两下 shift在类中可以看到如下代码:可以看到密码的来源于 User 对象,而 User 对象,由方法传入,但值最终都是取自对象。而就是一个读取配置文件的类,定义如下:spring:security:user:复制代码再次启动项目,就可以使用cxyxj在 mvc 中还自定义过登录成功响应、登录失败响应、登录无权限访问响应、未登录访问认证资源响应、登出成功响应。那在 webflux 中如何自定义呢?
C# WebAPI 中过滤器Filter应用之IP访问控制
MarcoPro的博客
12-19 1617
FilterWeb API中经常会用到,主要用于记录日志,安全验证,全局错误处理等,通过Filter能统一地对一些通用逻辑进行处理。在默认的WebApi中,框架提供了2种Filter,分别继承actionfilterattribute,exceptionfilterattribute。我们在做后台接口开发的时候,为了保障接口访问安全,IP访问控制是必不可少的,这里运用filter的特性来完成接口访问控制。2、新建ActionFilter类。3、获取配置文件授权IP地址信息。1、在接口类/方法添加过滤器
过滤器拦截指定的请求与指定的类型<url-pattern>与<dispatcher>
LFSenior
08-14 9773
/*   表示拦截所有的请求 filter-mapping> filter-name>hello_filter2filter-name> url-pattern>/*url-pattern> filter-mapping>   默认拦截的类型:(直接访问或者重定向) REQUEST 拦截转发:   FORWARD 拦截包含的页面(RequestD
web.xml中一个filter配置多个url-pattern
weixin_30698527的博客
11-25 810
需要在filter标签后添加多个filter-mapping标签,一个url-pattern就对应一个filter-mapping标签,不能直接把多个url-pattern配置到同一个filter-mapping标签里,也不能直接把多个url直接配置到一个url-pattern标签里。 正确地配置方式如下所示: <filter> <filter-name&g...
java过滤器讲义
01-19
过滤器是Servlet规范中的一个web组件,截取用户端的请求与响应信息,并对这些信息过滤 由容器负责管理其生命周期,过滤器用来对请求和应答进行过滤处理,如果权限验证、内容类型验证等等。 如:网站要求先登录后访问...
thinkPHP框架实现类似java过滤器的简单方法示例
12-20
java web代码的时候,可以定义过滤器,对控制器进行过滤,可以实现权限验证等等 在thinkphp中也可以通过继承父类的方法,实现类似的需求 父类代码 <?php /** * Created by PhpStorm. * User: xieyicheng * ...
shiroFilter权限验证
09-24
-- authc:该过滤器下的页面必须验证后才能访问,它是Shiro内置的一个拦截器org.apache.shiro.web.filter.authc.FormAuthenticationFilter --> <property name="filterChainDefinitions"> /statics/**=anon ...
JSP学习之Java Web中的安全控制实例详解
01-08
④ 使用过滤器权限进行验证; ⑤ 能够对文件的局部内容进行验证; ⑥ 掌握安全验证码的基本实现方式; ⑦ 通过异常处理增强安全性。 二、主要内容: ① 通过修改前面的登录功能,分别对管理员和普通用户的登录进行...
PHP和MySQL Web开发第4版
08-13
6.10.8 实现迭代器和迭代 6.10.9 将类转换成字符串 6.10.10 使用Reflection(反射)API 6.11 下一章 第7章 错误和 异常处理 7.1 异常处理的概念 7.2 Exception类 7.3 用户自定义异常 7.4 Bob的汽车零部件...
WebApi授权拦截——重写AuthorizeAttribute
08-12
webapi重写Authorize的HandleUnauthorizedRequest,让服务端返回json,并且把401改为其他状态码来避免被重定向
java web权限访问过滤器
09-02
实现对网页的访问控制权限,使用过滤器的方法实现的权限访问
JSP使用Servlet过滤器进行身份验证的方法
10-23
主要介绍了JSP使用Servlet过滤器进行身份验证的方法,结合实例形式分析了Servlet过滤器的实现方法及jsp身份验证的具体使用技巧,需要的朋友可以参考下
.NET MVC授权过滤器验证登录
11-29
.NET MVC授权过滤器验证登录,使用Filter过滤器 验证用户登录Authorization Filter
MVC WebApi 用户权限验证及授权DEMO
07-19
MVC WebApi 用户权限验证及授权DEMO 前言:Web 用户的身份验证,及页面操作权限验证是B/S系统的基础功能,一个功能复杂的业务应用系统,通过角色授权来控制用户访问,本文通过Form认证,Mvc的Controller基类及Action的权限验证来实现Web系统登录,Mvc前端权限校验以及WebApi服务端的访问校验功能。 1 Web Form认证介绍 Web应用的访问方式因为是基于浏览器的Http地址请求,所以需要验证用户身份的合法性。目前常见的方式是Form认证,其处理逻辑描述如下: 1) 用户首先要在登录页面输入用户名和密码,然后登录系统,获取合法身份的票据,再执行后续业务处理操作; 2) 用户在没有登录的情况下提交Http页面访问请求,如果该页面不允许匿名访问,则直接跳转到登录页面; 3) 对于允许匿名访问的页面请求,系统不做权限验证,直接处理业务数据,并返回给前端; 4) 对于不同权限要求的页面Action操作,系统需要校验用户角色,计算权限列表,如果请求操作在权限列表中,则正常访问,如果不在权限列表中,则提示“未授权的访问操作”到异常处理页面。 2 WebApi 服务端Basic 方式验证 WebApi服务端接收访问请求,需要做安全验证处理,验证处理步骤如下: 1) 如果是合法的Http请求,在Http请求头中会有用户身份的票据信息,服务端会读取票据信息,并校验票据信息是否完整有效,如果满足校验要求,则进行业务数据的处理,并返回给请求发起方; 2) 如果没有票据信息,或者票据信息不是合法的,则返回“未授权的访问”异常消息给前端,由前端处理此异常。 3 登录及权限验证流程 1) 用户打开浏览器,并在地址栏中输入页面请求地址,提交; 2) 浏览器解析Http请求,发送到Web服务器;Web服务器验证用户请求,首先判断是否有登录的票据信息; 3) 用户没有登录票据信息,则跳转到登录页面; 4) 用户输入用户名和密码信息; 5) 浏览器提交登录表单数据给Web服务器; 6) Web服务需要验证用户名和密码是否匹配,发送api请求给api服务器; 7) api用户账户服务根据用户名,读取存储在数据库中的用户资料,判断密码是否匹配; 7.1)如果用户名和密码不匹配,则提示密码错误等信息,然该用户重新填写登录资料; 7.2)如果验证通过,则保存用户票据信息; 8) 接第3步,如果用户有登录票据信息,则跳转到用户请求的页面; 9) 验证用户对当前要操作的页面或页面元素是否有权限操作,首先需要发起api服务请求,获取用户的权限数据; 10). api用户权限服务根据用户名,查找该用户的角色信息,并计算用户权限列表,封装为Json数据并返回; 11). 当用户有权限操作页面或页面元素时,跳转到页面,并由页面Controller提交业务数据处理请求到api服务器; 如果用户没有权限访问该页面或页面元素时,则显示“未授权的访问操作”,跳转到系统异常处理页面。 12). api业务服务处理业务逻辑,并将结果以Json 数据返回; 13). 返回渲染后的页面给浏览器前端,并呈现业务数据到页面; 14). 用户填写业务数据,或者查找业务数据; 15). 当填写或查找完业务数据后,用户提交表单数据; 16). 浏览器脚本提交get,post等请求给web服务器,由web服务器再次解析请求操作,重复步骤2的后续流程; 17). 当api服务器验证用户身份是,没有可信用户票据,系统提示“未授权的访问操作”,跳转到系统异常处理页面。
filter配置filter-mapping如“<url-pattern>/*/</url-pat
开启java航班
09-19 4244
filter的时候发现,不需要经过filter的链接也会进去,网页链接多的话严重影响速度,也有些解决方法,在filter方法里面判断,或者配置多个。最近我想, 如果想把url-pattern配成这样 -> /*/,配置后这个filter就起不到作用啦,烦,我觉得应该可以的,就是找不到方法, 该怎样实现,好像要apache还是resin配合才行,知道解决方法的同志们告知在下,感激不尽.......
WebApi过滤器
qq_38567182的博客
02-07 320
WebApi 权限验证过滤器、程序异常过滤器、模型验证过滤器、限流过滤器
SpringSeacurity源码分析(用户名和密码认证-webFlux)
qq_38041439的博客
12-13 577
springSeacurity 用户身份认证源码流程分析
过滤器完成页面权限验证
最新发布
05-24
1. 创建一个权限验证过滤器类,实现javax.servlet.Filter接口,并重写其doFilter方法。 2. 在doFilter方法中,获取当前请求的URL,并根据权限系统的规则判断用户是否有该URL的访问权限。 3. 如果用户有权限,则...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值