防止用户直接访问url的权限控制

最新推荐文章于 2022-10-19 16:04:51 发布
最新推荐文章于 2022-10-19 16:04:51 发布
阅读量8.2k 收藏 11
点赞数 4
分类专栏: java 文章标签: url chain.doFilter url过滤 HttpServletRequest 直接输入url访问
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liwf_/article/details/8950038
版权

这是个过滤器的内容,

public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
		HttpServletRequest req = (HttpServletRequest) request;
		HttpServletResponse resp = (HttpServletResponse) response;
		String conString = "";
		conString = req.getHeader("REFERER");//获取父url--如果不是直接输入的话就是先前的访问过来的页面,要是用户输入了,这个父url是不存在的
		if("".equals(conString) || null==conString){ //判断如果上一个目录为空的话,说明是用户直接输入url访问的
			String servletPath = req.getServletPath();//当前请求url,去掉几个可以直接访问的页面
			if(servletPath.contains("index.jsp") || servletPath.contains("admin/login.jsp")){ //跳过index.jsp和登陆Login.jsp
				chain.doFilter(request, response);
			} else {
				resp.sendRedirect("/ejuornal/index.jsp");//跳回首页
			}
		} else {
			chain.doFilter(request, response);
		}
	}
下面是过滤器的配置文件 

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/javaee" xmlns:web="http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd" version="2.5">
  <display-name></display-name>
  <welcome-file-list>
    <welcome-file>index.jsp</welcome-file>
  </welcome-file-list>
  <filter>
  	<filter-name>FilterPages</filter-name>
  	<filter-class>com.ejuornal.filter.FilterPages</filter-class>
  </filter>
  <filter-mapping>
  	<filter-name>FilterPages</filter-name>
  	<url-pattern>*.jsp</url-pattern>  
  </filter-mapping>
</web-app>
这时候再去直接输入url时就会在跳回首页。


但是有两个需要注意的问题,过滤器中的chain.doFilter(request, response);的使用------------错误如下:

public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
		HttpServletRequest req = (HttpServletRequest) request;
		HttpServletResponse resp = (HttpServletResponse) response;
		String conString = "";
		conString = req.getHeader("REFERER");//获取父url
		if("".equals(conString) || null==conString){
			String servletPath = req.getServletPath();//当前请求url
			if(servletPath.contains("index.jsp") || servletPath.contains("admin/login.jsp")){
				chain.doFilter(request, response);
			}else {
				resp.sendRedirect("/ejuornal/index.jsp");
			}	
		}
		chain.doFilter(request, response);	
	}
如果这样放的话会如下图的效果:


有两个页面重合在一起,原因是:有两个chain.doFilter(request, response);的执行导致的。

也就是说咩执行一次chain.doFilter(request, response);就是一个请求的执行。





阿狸_A_桃子
关注
  • 4
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
自动登陆+防止未登录直接访问+权限控制
11-26
自动登陆+防止未登录直接访问+权限控制,自动登陆和防止URL直接访问做的相对可以参考,权限控制不太好,只供自己之后使用,也希望各位不辞吝教。
阻止用户通过URL方式访问处理程序
mazhen_null的博客
11-06 217
本周密报卡遇到个问题,有人仅通过输入1位密报卡坐标和对应key,就可以解绑密报卡。 通过调查,我发现有用户通过ie查看源代码后,自己拼写链接地址,传递参数,将本来随机生成的3个坐标的值都设成了同一值,成功解绑。 考虑了一下,写了段程序,阻止用户通过URL方式访问处理程序(针对jsp和servlet)。 //forbid url attack star...
java权限控制_java web项目的几种权限控制方法
weixin_39622138的博客
02-12 579
一、spring boot项目,使用@Configuration注入WebMvcConfigurer来实现拦截器如:@Configurationpublic class HighersoftWebMvcConfig implements WebMvcConfigurer{@Autowiredprivate AdminHandlerInterceptorAdapter adminHandlerInt...
禁止用户访问servlet
zhangzhifei1991的专栏
11-03 840
使用MVC模式,servlet只用于逻辑处理,这样的
java url权限控制_java的权限过滤。基于java的过滤器。检查URL权限允许或不允许。...
weixin_29735075的博客
02-16 281
The authority filter for JAVA.Based JAVA's Filter.Check the url permission is allowed or not.基于java 过滤器(Filter)实现对权限控制的框架。Depend on :log4j.jar,fastjson.jar软件由三部分组成:权限过滤器AuthorityFilter # 负责过滤url并执行权限检...
防止直接访问系统后台页面
02-08
用JS和C#两种方法防止直接访问系统后台页面
基于Servlet的URL访问安全控制.doc
最新发布
04-28
防止用户通过输入URL直接访问系统的页面或后端接口,而绕过权限对系统进行操作。
bootshiro权限管理系统-其他
06-12
配置您想要授权角色的API,菜单,关联用户等资源(约定授权给auth_anon角色的api可以被所有人访问,注意没有授权给任何角色的api是可以被任何人访问的)5、授权菜单在第一次登录时已经获取存储到sessionStorage防止重复...
菜单按钮权限管理系统
07-14
并将该用户的资源权限保存到ehcache缓存中,自定义拦截器,防止用户没有登陆,或没有权限直接拼接url访问!资源树,利用的是ztree,并且完成了资源的回显,重新赋权的功能!按钮资源使用的是自定义标签进行显示或...
java 权限url权限_如何实现登录、URL和页面按钮的访问控制
weixin_39736150的博客
11-21 290
作者:社会主义接班人http://cnblogs.com/5ishare/p/10461073.html用户权限管理一般是对用户页面、按钮的访问权限管理。Shiro框架是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理,对于Shiro的介绍这里就不多说。本篇博客主要是了解Shiro的基础使用方法,在权限管理系统中集成Shiro实现登录、url和页面按钮的访问控制。一、引入依赖使...
Spring MVCServlet拦截匹配规则可以自已定义,Servlet拦截哪种URL合适?
萌萌的It人 www.itmmd.com
07-21 4354
Servlet拦截匹配规则可以自已定义,Servlet拦截哪种URL合适? 当映射为@RequestMapping("/user/add")时:1、拦截*.do,例如:/user/add.do,弊端:所有的url都要以.do结尾。不会影响访问静态文件。2、拦截/app/*,例如:/app/user/add,弊端:请求的url都要包含/app,@RequestMapping("/user/add")
浅析url从浏览器解析到页面过程
qq_42026702的博客
09-09 408
(浅析从url到浏览器解析直至页面过程) 浏览器的多进程架构 从浏览器输入 URL 到页面渲染的整个过程都是由 浏览器架构中的各个进程之间的配合完成。 浏览器主进程: 管理子进程、提供服务功能 渲染进程:将HTML、CSS、JS渲染成界面,js引擎v8和排版引擎Blink就在上面,他会为每一个tab页面创建一个渲染进程 GPU进程:本来是负责处理3Dcss的,后来慢慢的UI界面也交给GPU来绘制 网络进程:就是负责网络请求,网络资源加载的进程 插件进程:负责插件的运行的,因为插件很容易崩溃,把它放到独立的
antd Pro v5 如何阻止用户通过浏览器输入框访问没有权限的页面
kabudada的博客
10-19 432
项目背景:后台管理系统,有权限功能,不同用户访问的菜单只能是他们有权限的菜单,菜单是通过后端返回的(有啥权限就返回对应的菜单)。但当用户【通过浏览器输入该用户没有权限url】时,应该不允许访问成功。最开始准备用history.block去监控,但是只能监控在系统内点击,没法监控在浏览器中输url。有一个比较不咋有好的地方是这个地方,每次刷新进入要调几次接口,有没有更好的地方放这个接口。去antdpro交流群请教,最后一位大佬说,应该后端去做这个鉴权,但我们系统没有用access。如何实现这个功能呢?
java取整的几个用法
阿狸_桃子
06-13 7428
舍掉小数取整:Math.floor(2)=2 舍掉小数取整:Math.floor(2.1)=2 舍掉小数取整:Math.floor(2.5)=2 舍掉小数取整:Math.floor(2.9)=2 负数舍掉小数取整:Math.floor(-2)=-2 负数舍掉小数取整:Math.floor(-2.1)=-3 负数舍掉小数取整:Math.floor(-2.5)=-3 负数舍掉小数取整:M
java修改properties文件中的键值对的值
阿狸_桃子
02-25 7355
java修改properties文件中的键值对的值
actionInvocation.invoke()是什么意思,配置自己的验证拦截器
阿狸_桃子
05-19 5439
关于Struts2的自定义的验证截器 package ch06.struts2.Interceptor; import java.util.Map; import com.opensymphony.xwork2.Action; import com.opensymphony.xwork2.ActionInvocation; import com.opensymphony.xwork2.i
struts2中使用freemarker 生成静态页面
阿狸_桃子
05-29 3971
按一下步骤走: 1.创建项目 2.导入struts2的相关jar文件 3.在web.xml中配置如下: <web-app version="2.4" xmlns="http://java.sun.com/xml/ns/j2ee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLoca
vue防止直接输入url就进入到页面
05-25
防止用户直接输入 URL 进入页面,你可以使用 Vue Router 的导航守卫功能。具体来说,你可以在全局路由中注册一个 `beforeEach` 导航守卫,用于拦截用户的路由跳转。 在这个导航守卫中,你可以检查用户是否已经登录或者有权限访问该路由,如果不符合条件则可以重定向到登录页面或者其他提示页面。 以下是一个示例代码: ```javascript import router from './router' router.beforeEach((to, from, next) => { // 检查用户是否已经登录 const isLoggedIn = localStorage.getItem('isLoggedIn') === 'true' // 如果用户没有登录并且要访问需要登录的页面,则重定向到登录页面 if (!isLoggedIn && to.meta.requiresAuth) { next({ path: '/login', query: { redirect: to.fullPath } }) } else { // 否则放行 next() } }) ``` 在这个示例中,我们假设用户已经登录的标志位为 `isLoggedIn`,并且我们在路由的 `meta` 中添加了一个 `requiresAuth` 属性,用于表示该路由需要登录才能访问。如果用户没有登录并且要访问需要登录的页面,则会重定向到登录页面,并且在重定向时会将之前要访问的页面路径和查询参数一并传递给登录页面,以便登录后自动跳转回来。 你可以根据自己的需求,修改导航守卫的逻辑来实现更加精细的路由拦截。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值