filter 中 把 login 页面给解放出来

假如 filter 验证了整个webroot/下的权限。

简单的 session 判断验证。

但是login .jsp 和 login servlet 都在 验证之列。

 

if(null==session.getAttribute("_LOGIN_USER_")&&!"/login".equals(req.getServletPath())){
   request.getRequestDispatcher(onErrorUrl).forward(request,response);
  }else{
   chain.doFilter(request, response);
   
  }

//判断session里的对象_login_user_是否为空。

//判断访问的servlet 是否为 loginServlet 对应的url "/login"

// 符合if条件的即为越权,用 RequestDispatcher 在服务器端返回login.jsp即onErrorUrl的资源。

//否者 允许访问其他资源。