Java web过滤器验证登录(避免未经登录进入主页)

今天用ssh2写了个简单的系统,发现了一个问题,我这系统必须先登录成功才能进入主页,但我在浏览器里直接输入主页地址,发现也能进入,这个肯定不好,毫无安全性可言,后经查资料发现需要登录过滤器,就试了下,发现果然可以避免未经登录即可进入主页的危险,下面是我整理出的详细步骤:

1.首先写一个权限过滤filter类,实现Filter接口

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
 
 public class LoginFilter implements Filter {
 
     @Override
     public void init(FilterConfig filterConfig) throws ServletException {
         // TODO Auto-generated method stub
 
     }
 
     @Override
     public void doFilter(ServletRequest request, ServletResponse response,
             FilterChain chain) throws IOException, ServletException {
         // 获得在下面代码中要用的request,response,session对象
         HttpServletRequest servletRequest = (HttpServletRequest) request;
         HttpServletResponse servletResponse = (HttpServletResponse) response;
         HttpSession session = servletRequest.getSession();
 
         // 获得用户请求的URI
         String path = servletRequest.getRequestURI();
         //System.out.println(path);
         
         // 从session里取员工工号信息
         String empId = (String) session.getAttribute("empId");
 
         /*创建类Constants.java,里面写的是无需过滤的页面
         for (int i = 0; i < Constants.NoFilter_Pages.length; i++) {
 
             if (path.indexOf(Constants.NoFilter_Pages[i]) > -1) {
                 chain.doFilter(servletRequest, servletResponse);
                 return;
             }
         }*/
         
         // 登陆页面无需过滤
         if(path.indexOf("/login.jsp") > -1) {
             chain.doFilter(servletRequest, servletResponse);
             return;
         }
 
         // 判断如果没有取到员工信息,就跳转到登陆页面
         if (empId == null || "".equals(empId)) {
             // 跳转到登陆页面
             servletResponse.sendRedirect("/JingXing_OA/login.jsp");
         } else {
             // 已经登陆,继续此次请求
             chain.doFilter(request, response);
         }
 
     }
 
     @Override
     public void destroy() {
         // TODO Auto-generated method stub

     } 
}
2.然后在web.xml里配置需要登陆权限验证的JSP文件:
     a.如果是某个具体的JSP文件(如a.jsp)需要登陆验证

<!-- 配置登陆过滤器 -->
<filter>
        <filter-name>login</filter-name>
        <filter-class>com.jingxing.oa.filter.LoginFilter</filter-class>
    </filter>

    <filter-mapping>
        <filter-name>login</filter-name>
        <url-pattern>/*</url-pattern>
</filter-mapping>
    b.如果是某一个目录(如a/目录)整个目录下的文件都需要登陆验证:
<!-- 配置登陆过滤器 -->
    <filter>
        <filter-name>login</filter-name>
        <filter-class>com.jingxing.oa.filter.LoginFilter</filter-class>
    </filter>

    <filter-mapping>
        <filter-name>login</filter-name>
        <url-pattern>/a/*</url-pattern>
    </filter-mapping>



  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值