servlet filter初探

最新推荐文章于 2021-06-10 12:57:16 发布
最新推荐文章于 2021-06-10 12:57:16 发布
阅读量688 收藏
点赞数
文章标签: filter servlet string url hashmap authentication

参考文章
   [http://www.ibm.com/developerworks/cn/java/j-pj2ee10/index.html]
   [http://www.programfan.com/article/showarticle.asp?id=1836]

    servlet过滤器是小型的web组件,它能够处理传入的请求和传出的响应。Filter 不是一个servlet,它不能产生一个response,它能够在一个request到达servlet之前预处理request,也可以在离开servlet时处理response。它具有高度的透明性,无需更改应用程序代码,就可以根据需要添加、修改或从应用程序中将它删除。

一个filter 包括:
1. 在servlet被调用之前截获;
2. 在servlet被调用之前检查servlet request;
3. 根据需要修改request头和request数据;
4. 根据需要修改response头和response数据;
5. 在servlet被调用之后截获.
你能够配置一个filter 到一个或多个servlet;单个servlet或servlet组能够被多个filter 使用。几个实用的filter包括:用户辨认filter,日志filter,审核filter,加密filter,符号filter,能改变xml内容的XSLT filter等。

一个客户化的过滤器要实现Filter接口的三个方法:init()、destroy()和doFilter()。
    1. init():在容器实例化过滤器时调用,该方法接受一个FilterConfig类型的对象做为输入。
    2. destroy():执行一些清理操作。
    3. doFilter():类似servlet的doPost()、doGet()方法,执行具体的过滤任务。
下面给出一个可执行程序范例,它包含main函数,也可以部署到web应用中。

package  utils;

 import  java.io.IOException;
import java.util.*;
    import javax.servlet.*;
    import javax.servlet.http.*;
 import  bean.User;
 public   class  UrlFilter  implements  Filter  {

    @SuppressWarnings("unused")
    private FilterConfig filterConfig;
    private FilterChain chain;
    private HttpServletRequest request;
    private HttpServletResponse response;
    public void destroy() {
        this.filterConfig = null;
    }

    public void init(FilterConfig filterConfig) throws ServletException {
        this.filterConfig = filterConfig;
    }

    public void doFilter(ServletRequest servletRequest,ServletResponse servletResponse, FilterChain chain)
        throws IOException, ServletException {
        this.chain = chain;
        this.request = (HttpServletRequest) servletRequest;
        this.response = ((HttpServletResponse) servletResponse);
        String url = request.getServletPath();
        if (url == null)
            url = "";
        HttpSession session = request.getSession();
        User user = (User) session.getAttribute("user");
        if (noFileUrl(url, request)) {  //不需要判断权限的请求如登录页面,则跳过
            chain.doFilter(request, response);
        } else if (user == null{
            String action = request.getParameter("action");
            if (!"login".equals(action)) {
                response.sendRedirect("/zmdsl/admin/index.jsp");//返回登录页面
            }
        } else {
            verifyUrl(url, user);//判断当前user是否拥有访问此url的权限
        }
    }
    /**
     * 
     * @param url 当前请求的url
     * @param user 当前登录用户
     * @throws IOException
     * @throws ServletException
     */
    private void verifyUrl(String url, User user)throws IOException, ServletException {
        // 获取user拥有的所有资源串
        Set<String> royurl = new HashSet<String>();
        royurl.add("/newsAction.do?action=adminQueryPage&typeId=3");//为用户分配访问此地址的权限。在真正项目中,此Set集合可能要
        //通过查询数据库user、role、menu等表,来获取当前用户所拥有的全部可访问资源
        if (royurl != null && royurl.size() > 0
                && pass(royurl, url, request.getParameterMap())){
            chain.doFilter(request, response);
        } else {
            response.setContentType("text/html;charset=GBK");
            response
                    .getWriter()
                    .println(
                            "<div style='margin: 100 auto;text-align: center;"
                                    + "font: bold 18px 宋体;color: #0066CC;vertical-align: middle'> Sorry,您没有权限访问该资源!</div>");
        }
    }

  /**
     * 是否需要判断权限,如客户端浏览、登录页面则不需要判断权限
     */

    protected boolean noFileUrl(String url, HttpServletRequest request) {
        if (url.indexOf("/index.jsp">= 0 || url.indexOf("login"> 0{
            return true;
        }
        return false;
    }

  /**
     * 判断该用户是否有权请求该url
     * @param royurl user拥有的授权的的url串集合
     * @param url 当前请求的url
     * @param reqmap 当前request的参数
     * @return 是否通过该url
     */

    protected boolean pass(Set royurl, String url, Map reqmap) {
        boolean match = true;
        for (Iterator iter = royurl.iterator(); iter.hasNext();) {
            // 获取资源
            match = true;
            String res_string = (String) iter.next();
            if (res_string.indexOf("*"> 0{
                res_string = res_string.substring(0, res_string.indexOf("*"));
                if (url.substring(0, res_string.length()).equalsIgnoreCase(res_string)) {
                    return true//增加通配符比较
                }
            }
            // 分割url与参数
            String[] spw = res_string.split("//?"); //用"//?" 转义后即可得到正确的结
            if (url.indexOf(spw[0]) < 0{//为了方便,没有写成spw[0].equals(url)
                match = false;
            }

            if (match && spw.length > 1{
                String[] spa = spw[1].split("//&"); // 分拆各参数
                for (int j = 0; j < spa.length; j++{
                    String[] spe = spa[j].split("="); // 分拆键与值
                    String key = spe[0];
                    String value = "";
                    if (spe.length > 1{
                        value = spe[1].trim();
                    }
                    // 轮询
                    String[] values = (String[]) reqmap.get(key);
                    if (values != null{
                        for (int k = 0; k < values.length; k++{
                            if (value.equalsIgnoreCase(values[k])) {
                                match = true;
                                break;
                            }
                            match = false;
                        }
                        if (!match) {
                            break;
                        }
                    }
                }
            }
            if (match) {
                break;
            }
        }
        return match;
    }

    @SuppressWarnings("unchecked")
       public static void main(String[] args) {
        UrlFilter filter = new UrlFilter();
        Set royurl = new HashSet();//可访问的URL集合
        royurl.add("/newsAction.do?typeId=1");
        royurl.add("/newsAction.do?typeId=2");

        //typeId为1时可以访问,true
        String url_1 = "/newsAction.do";
        Map reqmap_1 = new HashMap();
        reqmap_1.put("typeId"new String[]{"1"});
        System.out.println("match false:" + filter.pass(royurl, url_1, reqmap_1));
        
        //typeId为3时不可以访问,false
        String url_2 = "/newsAction.do";
        Map reqmap_2 = new HashMap();
        reqmap_2.put("typeId"new String[]{"3"});
        System.out.println("match false:" + filter.pass(royurl, url_2, reqmap_2));
        
        //url就不同,不可访问,false
        String url_3 = "/imageAction.do";
        Map reqmap_3 = new HashMap();
        reqmap_3.put("typeId"new String[]{"3"});
        System.out.println("match false:" + filter.pass(royurl, url_3, reqmap_3));
    }
}

 

配置 Servlet过滤器:
非常简单,只需要在web.xml中加入类似下面的代码就可将过滤器部署到应用程序。

<!--================ 权限 设置 ================-->      
     < filter >      
         < filter - name > Authentication </ filter - name >      
         < filter - class > utils.UrlFilter </ filter - class >      
         < init - param >      
             < param - name > onError </ param - name >      
             < param - value >/ index.jsp </ param - value >      
         </ init - param >      
     </ filter >      
      
     < filter - mapping >      
         < filter - name > Authentication </ filter - name >     
         <!--  只过滤 .jsp 结尾的url, 其余的如 . do , .html, .jpg, .css 等不作过滤 -->      
         < url - pattern >* . do </ url - pattern >      
     </ filter - mapping >  

其中<filter-Class>是过滤器的路径;<filter-mapping>定义了该过滤器只过滤以.do结尾的URL,当然你也可以稍做修改让它过滤.jsp文件。

 

转自:http://www.blogjava.net/yangaiyou/archive/2007/08/29/140854.html

cthlcm
关注
Java Tomcat内存马——filter内存马
m0_61506558的博客
11-17 657
至此,invoke()部分的所有流程我们都分析完毕了,接着继续往上看,也就是doFilter()方法。这个doFilter()方法也是由最近的那个invoke()方法调用的。如图,我们把断点下过去。如果师傅们这个invoke()方法可用的话,可以断点下这里,如果不可用的话可以下到后面doFilter()方法。这里我们要重点关注前文说过的这个变量,那它是什么呢?我们跟进这个方法。使用创建了一个过滤链,将进行传递。我们在方法走一下流程。
【安全记录】基于Tomcat的Java内存马初探
君行路的博客
08-22 479
文章目录1. 前言2. 基础知识2.1 servletfilter2.2 servletfilter 的生命周期2.3 Tomcat 的 Container – 容器组件2.4 Tomcat中的启动加载顺序3. 内存马技术实现介绍3.1 获取上下文对象 ServletContext3.1.1 通过当前 request 对象获取 ServletContext3.1.2 通过 `Thread.currentThread().getContextClassLoader()` 获取 StandardCo
J2EE学习笔记(五)之Servlet中的Filter过滤器
Yolanda_NuoNuo的专栏
08-15 1605
一、Filter简介上一话提到了Servlet原理,当我们在运行一个JSP页面的时候,其实JSP页面会被编译成Servlet文件,Servlet文件来处理和响应用户的请求。Filter过滤器可以认为是Servlet的一种“加强版”,可以对用户的请求进行预处理,也可以对HttpServletResponse进行后处理。二、案例一——字符编码什么时候需要用到Filter呢? 来举一个小栗子~~~我们在
Filter in servlet
weixin_34307464的博客
03-18 172
1.概念    过滤作用,对从客户端向服务器端发送的请求进行过滤,也可以对服务器端返回的响应进行处理。它使用户可以改变一个request和修改一个 response.。Filter 不是一个servlet,它不能产生一个response,但是它能够在一个request到达servlet之前预处理request,也可以在 response离开servlet时处理response。换句话说,filt...
使用servlet过滤器和监听器
意大利香肠
04-23 669
1. Servlet过滤器基础 Servlet过滤器是Servlet的一种特殊用法,主要用来完成一些通用的操作。比如编码的过滤,判断用户的登陆状态等等。Servlet过滤器的适用场合: A.认证过滤 B.登录和审核过滤 C.图像转换过滤 D.数据压缩过滤 E.加密过滤 F.令牌过滤 G.资源访问触发事件过滤 Servlet过滤器接口的构成: 所有的Servlet过滤器类都必须实现javax.ser
HttpServlet 的过滤器Filter和监听器Listener
xzr1117的博客
04-27 364
过滤器:Filter(重点) 实现Filter接口,重写里面的方法 import javax.servlet.*; import java.io.IOException; public class CharaFilter implements Filter { //初始化 服务启动就开启 @Override public void init(FilterConfig filterConfig) throws ServletException { } @
J2EE (三) Filter详解
weixin_34085658的博客
05-25 98
简介 Filter这个词第一个看到时以为是化学里面的漏斗呢,因为所学专业经常在实验室里面做一些实验,对于这个印象也比较深刻,作为常识大家也知道利用沙子/漏斗/纱布,可以将浑浊的水过滤为很干净的水,看下面如: 计算机中这样定义:Filter 技术是servlet 2.3 新增加的功能。servlet2.3是sun公司于2000年10月发布的,它的开发者包括许多个人和公司...
内存马初探-Filter
qq_31065143的博客
04-18 1238
内存马初探-Filter Tomcat简介 tomcat其实质上就是一个大点的servlet容器,那什么是容器呢,我觉得其实就是一个类。在tomcat中各个容器之间嵌套。而这些容器都是有生命周期的java类,都继承了共同的接口Lifecycle,所以Lifecycle就是这些容器的顶层接口。下面来谈谈存在哪些容器。 容器 init()方法:初始化容器组件,它必须在启动容器之前调用。它会创建许多对象。 start():启动容器,比如启动一个Server。 stop():停止执行 destroy():销毁这个
j2ee Servlet 过滤器
JavaJstl的专栏
11-03 692
package info.servlet; import info.util.UrlHelper; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.s
J2ee Filter & Listener
liudaoru - 悟
11-09 199
做j2ee的东西两年了,今天才搞明白Filter和Listener的区别,真是汗颜,以后应该少用所谓的框架,害人不浅啊。。。   从我的理解来看Listener相当于j2ee容器给我们提供的main函数的切入点,可以让我们做一些系统初始化的工作,需要实现的类是:javax.servlet.ServletContextListener。   而Filter则是对每次请求(可以通过filter-m...
在J2EE中,使用Servlet过滤器,需要在web.xml中配置()元素
木头人i
03-04 8281
题目 (多选)在J2EE中,使用Servlet过滤器,需要在web.xml中配置()元素 A. <filter> B. <filter-mapping> C. <servlet-filter> D. <filter-config> 答案 A. B 解析 Servlet过滤器的配置包括两部分: 第一部分是过滤器在Web应用中的定义,由<filte...
servlet中的Filter过滤器
qq_38176719的博客
06-16 275
web.xml中元素执行的顺序listener->filter->struts拦截器->servlet。 1.过滤器的概念 Java中的Filter 并不是一个标准的Servlet ,它不能处理用户请求,也不能对客户端生成响应。 主要用于对HttpServletRequest 进行预处理,也可以对HttpServletResponse 进行后处理,是个典型的处理链。 优点:过滤链的好处是,执
页面访问过滤器 java J2EE
随笔_博客
09-13 365
定义:在对项目中的资源发起请求时,可以通过配置的过滤规则,对指定的资源请求进行拦截,执行完过滤器中的逻辑之后,再根据 写法:①实现Filter接口,②实现init,doFilter,destroy方法,③在web.xml中配置过滤器 //配置文档方式↓ &lt;filter&gt; &lt;filter-name&gt;Filter&lt;/filter-name&gt; &lt;fi...
第六章 Reactive Web框架 —— Spring Cloud技术初探系列
热门推荐
Tison个人博客
06-25 1万+
前言 随着对Spring Cloud研究的深入,发现其实在Spring 5之后,它已经包含了一套完整的服务端技术栈,这一套就是它的Reactive Web框架。它从Web容器、请求处理框架等都提供了技术实现,是一套非常值得学习的服务端框架。 6.1 Reactive简介 Reactive Streams 是 JVM 中面向流的库标准和规范,它包含以下特性: 处理可能无限数量的元素 按顺序处理 组...
Java Web笔记 – Servlet中的Filter过滤器的介绍和使用 编写过滤器
forlab的专栏
08-06 180
http://www.itzhai.com/java-web-notes-servlet-filters-in-the-filter-writing-the-introduction-and-use-of-filters.html 1、过滤器介绍: 在Servlet规范2.3中定义了过滤器,它能够对Servlet容器的请求和响应对象进行检查和修改。 Servlet过滤器本身并不生成请求和响应...
跟小博老师一起学Servlet ——Servlet之过滤器实现和应用
weixin_33736649的博客
02-27 138
2019独角兽企业重金招聘Python工程师标准>>> ...
servlet中的Filter接口(过滤器接口)
想要成为大佬的彪彪
06-10 3100
一.介绍 (1)来自于Servlet规范下接口,在Tomcat中存在于servlet-api.jar包 (2)Filter接口实现类由开发人员负责提供,Http服务器不负责提供 (3) Filter接口在Http服务器调用资源文件之前,对Http服务器进行拦截 二.具体作用 1.拦截Http服务器,帮助Http服务器检测当前请求合法性. 2.拦截Http服务器,对当前请求进行增强操作. 三.Filter接口实现类开发步骤 其开发步骤一共有三步: (1)创建一个Java类实现Fi.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值