Filer过滤器之权限过滤||||备忘

最新推荐文章于 2023-06-09 18:14:55 发布
最新推荐文章于 2023-06-09 18:14:55 发布
阅读量237 收藏
点赞数
分类专栏: filter过滤器 文章标签: filter 过滤器 自定义过滤器 java filter
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/f0rd_/article/details/82496958
版权

最近要搞安全漏洞检查.写好备忘

过滤 json和html后缀的url 

package com.wh.tms.service.impl;

import java.io.IOException;
import java.io.PrintWriter;
import java.util.HashMap;
import java.util.HashSet;
import java.util.List;
import java.util.Map;
import java.util.Set;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

import org.springframework.context.ApplicationContext;
import org.springframework.context.support.ClassPathXmlApplicationContext;
import org.springframework.stereotype.Component;

import com.alibaba.fastjson.JSONObject;
import com.wh.tms.constans.SystemCons;
import com.wh.tms.dao.sys.IMenuDAO;
import com.wh.tms.dao.sys.IRoleDAO;
import com.wh.tms.dao.sys.IRoleMenuDAO;
import com.wh.tms.dao.sys.IUserRoleDAO;
import com.wh.tms.entity.po.Menu;
import com.wh.tms.entity.po.Role;
import com.wh.tms.entity.po.RoleMenu;
import com.wh.tms.entity.po.User;
import com.wh.tms.entity.po.UserRole;

import tk.mybatis.mapper.entity.Example;

//@Component
public class RoleFilter implements Filter {

	ApplicationContext context = new ClassPathXmlApplicationContext("/spring/spring-dao.xml");
	IRoleDAO roleDao = context.getBean(IRoleDAO.class);
	IRoleMenuDAO roleMenuDao = context.getBean(IRoleMenuDAO.class);
	IMenuDAO menuDao = context.getBean(IMenuDAO.class);
	IUserRoleDAO userRoleDao = context.getBean(IUserRoleDAO.class);
	Map<Integer, Set<String>> map = new HashMap<>();

	@Override
	public void init(FilterConfig filterConfig) throws ServletException {
		List<Role> allRole = roleDao.selectAll();
		for (Role role : allRole) {
			Example example = new Example(RoleMenu.class);
			example.createCriteria().andEqualTo("roleId", role.getId());
			List<RoleMenu> roleMenus = roleMenuDao.selectByExample(example);

			Set<Integer> menuIds = new HashSet<Integer>();
			for (RoleMenu roleMenu : roleMenus) {
				menuIds.add(roleMenu.getMenuId());
			}
			// 获取菜单信息
			example = new Example(Menu.class);
			example.createCriteria().andIn("id", menuIds).andIsNotNull("permissionUrls");
			example.setOrderByClause("id asc");
			List<Menu> menus = menuDao.selectByExample(example);
			Set<String> menuUrl = new HashSet<String>();

			for (Menu menu : menus) {
				String[] split = menu.getPermissionUrls().split(",");
				for (String url : split) {
					menuUrl.add(url);
				}

			}

			map.put(role.getId(), menuUrl);

		}
	}

	@Override
	public void doFilter(ServletRequest arg0, ServletResponse arg1, FilterChain chain)
			throws IOException, ServletException {
		HttpServletRequest request = (HttpServletRequest) arg0;
		HttpServletResponse response = (HttpServletResponse) arg1;
		HttpSession session = request.getSession();
		String requestURI = request.getRequestURI();
		System.out.println("requestURI+++:" + requestURI);

		if (requestURI.indexOf("/login.html") > -1) {// 登录页面不过滤
			chain.doFilter(arg0, arg1);// 递交给下一个过滤器
		} else if (requestURI.indexOf("/login.json") > -1) {// 登录页面不过滤
			chain.doFilter(arg0, arg1);// 递交给下一个过滤器
		} else if (requestURI.indexOf("/index.html") > -1 || requestURI.indexOf("/welcome.html") > -1 || requestURI.indexOf("/menulist.json") > -1){
			chain.doFilter(arg0, arg1);
		}   else if (null != request) {
		
			Object object = request.getSession().getAttribute(SystemCons.session_key);
			if (null != object) {
				response.setCharacterEncoding("UTF-8");
				response.setContentType("application/json; charset=utf-8");
				PrintWriter out = null;
				User user = (User) object;
				System.out.println("user_______:" + user);
				Example example = new Example(UserRole.class);
				example.createCriteria().andEqualTo("uid", user.getId());
				List<UserRole> userRoleList = userRoleDao.selectByExample(example);
				if (userRoleList != null) {
					UserRole userRole = userRoleList.get(0);
					Set<String> set = map.get(userRole.getRoleId());
					String uri = requestURI.substring(5, requestURI.length());
					boolean contains = set.contains(uri);
					if (!contains) {
						System.out.println("该用户没有权限");

						try {
							JSONObject res = new JSONObject();
							res.put("code", "-1");
							res.put("msg", "您没有权限");
							out = response.getWriter();
							out.append(res.toString());
						} catch (Exception e) {
							e.printStackTrace();
						} finally {
							if (out != null) {
								out.close();
							}
						}
					} else {
						chain.doFilter(arg0, arg1);
					}
				} else {
					try {
						JSONObject res = new JSONObject();
						res.put("code", "-1");
						res.put("msg", "您没有权限");
						out = response.getWriter();
						out.append(res.toString());
					} catch (Exception e) {
						e.printStackTrace();
					} finally {
						if (out != null) {
							out.close();
						}
					}
				}

			} else {
				response.sendRedirect("login.html");
				//request.getRequestDispatcher("login.html").forward(request, response);
				//chain.doFilter(arg0, arg1);
			}
		}

//		chain.doFilter(arg0, arg1);
	}

	@Override
	public void destroy() {

	}

}

这里要注意的是 重定向和 过滤器链会有冲突 只能取一个,最下面注掉的就是冲突的地方

init初始化获取全部角色所拥有的权限url,这里之前用autowired注入,注入不进来,换成bean注入解决

然后是web.xml

<filter>
		<filter-name>characterEncodingFilter</filter-name>
		<filter-class>xxx.xxx.xxx.RoleFilter</filter-class>
		<init-param>
			<param-name>encoding</param-name>
			<param-value>UTF-8</param-value>
		</init-param>
	</filter>
	<filter-mapping>
		<filter-name>characterEncodingFilter</filter-name>
		<url-pattern>*.json</url-pattern>
	</filter-mapping>
	<filter-mapping>
		<filter-name>characterEncodingFilter</filter-name>
		<url-pattern>*.html</url-pattern>
	</filter-mapping>

 

 

f0rd_
关注
专栏目录
Directshow中Filter开发基础
智慧的鱼
05-26 1万+
摘要:关于开发自己的Filter,我以前写过一篇文章,《利用Directshow开发自己的filter》,里面详细介绍了开发filter一些步骤,这里我想介绍一些filter的基础知识,可以让你更好的理解filter。本篇文档主要包括下面一些内容1filter的连接2filter间的数据流动3pin连接时数据格式的动态改变4Threads and Critical Sections5质量控制管理6
shiro执行多个过滤器_解决springboot整合shiro后过滤器执行顺序的问题
weixin_39824223的博客
12-19 761
1.问题如下:springboot 整合shiro 后出现了 对静态资源(js,css,jpg)的也会进行拦截,但是我们的配置如下,,@BeanpublicShiroFilterFactoryBean shiroFilter(DefaultWebSecurityManager securityManager, MyFormAuthenticationFilter myFormAuthenticat...
过滤器过滤器配置
06-03 4216
java 代码一、使浏览器不缓存页面的过滤器     import javax.servlet.*;    import javax.servlet.http.HttpServletResponse;    import java.io.IOException;       /**   * 用于的使 Browser 不缓存页面的过滤器   */   public class ForceNoCach
mybatis中关于example类详解
热门推荐
luluyo的博客
08-15 7万+
这几天刚接触example,很多内容都是破碎的,写一篇博文加深理解。 一、什么是example类 mybatis-generator会为每个字段产生如上的Criterion,如果表的字段比较多,产生的Example类会十分庞大。理论上通过example类可以构造你想到的任何筛选条件。在mybatis-generator中加以配置,配置数据表的生成操作就可以自动生成example了。具...
PyPI 官网下载 | django-filer-1.1.0.tar.gz
01-31
Django-filer是一个用于Django项目的文件管理器,它提供了丰富的文件和图像管理功能,包括上传、组织、预览和处理。它设计成可与其他Django应用无缝集成,尤其适用于需要强大文件和图片管理能力的网站和应用。1.1.0...
PyPI 官网下载 | django-filer-2.1rc2.tar.gz
01-27
5. **权限控制**:支持基于Django的权限系统,可以限制用户对文件的操作权限。 6. **国际化支持**:支持多语言,方便不同地区用户的使用。 7. **媒体库**:提供一个强大的媒体库,可以浏览和选择已上传的文件和图像...
Python库 | cmsplugin-filer-html5video-0.1.tar.gz
03-01
6. **权限控制**:可能具备对视频文件的访问权限管理,允许管理员控制哪些用户或用户组可以查看、编辑或删除视频。 7. **SEO优化**:考虑到搜索引擎优化,可能提供元数据的添加和管理,如视频标题、描述和关键字,...
filter过滤器
最新发布
记录java学习日常~
06-09 2341
Filter过滤器)是指在计算机中对数据进行筛选、过滤和修改的一种组件或模块,主要用于在数据传输和处理的过程中对数据进行处理或拦截。在Web开发中,FilterJava Servlet规范中的一部分,它可以拦截客户端请求和服务器响应,并对它们进行处理、过滤和转换。权限控制:根据用户身份和权限,拦截非法请求或重定向到认证页面。表单验证:对表单提交的数据进行验证,确保数据的完整性和正确性。编码转换:对请求和响应的编码进行转换,以解决乱码问题。
LayUI就是个垃圾项目
tonyyl的专栏
08-02 2万+
想让自己的一套的组件被广大开发者采用,是一件很谨慎的事情,你要确保你所有的组件都能正常使用,满足大多数开发者的需求。如果出现了某一个组件功能不足,不得不引入另一套组件,这个就非常尴尬了,关键是对于开发者非常不友好。LayUI,国人高手开发的这么个组件库,就是这样个东西。。。。我们这个项目引入这个组件库,还得从另外一个项目说起。当时的开发人员自己随便引入组件库,引入了这个据说中文文档最全的组件库,当
layui table设置前台过滤转义
weixin_39276619的博客
08-13 2756
过滤器(Filter)和拦截器(Interceptor)的区别
Rico's Blogs
07-10 5212
本文介绍主要介绍了Java Web Filter 与 Struts2 Interceptor 及其之间的联系与区别。
Filter 验证当前访问用户是否登录
千里之行,始于足下
03-01 4833
当用户访问网站页面时,系统会检测用户是否是合法登录用户,没登录的用户会被转跳到登录页面或者返回登录提示信息,反之用户可以正常访问 具体思路如下:     利用filter 过滤所有用户的请求,用户的请求url为登录或注册页面则视为正常访问,当用户登录时为当前用户创建session,将用户名保存在session里面,当用户访问路径为网站页面时检查当前用户session 是否存在,如果sessio
HuaWei ❀ 策略路由概述
无糖可乐没有灵魂
06-12 411
策略路由概述 路由策略使用不同的匹配条件和匹配模式选择路由和改变路由属性,在特定的场景中,路由策略的六种过滤器也能单独使用来实现路由过滤,若设备支持BGP to IGP功能,还能在IGP引入BGP路由时,使用BGP私有属性作为匹配条件; 1、路由策略原理 如上图所示,一个路由策略中包含N(N>=1)个节点Node,路由进入路由路由策略后,按节点序号从小到大依次检查各个节点是否匹配,匹配条件由If-match子句定义,涉及路由信息的属性和路由策略的六种过滤器; 当路由与该节点的所有If-match子句
SpringBoot+Shiro学习(七):Filter过滤器管理
weixin_34258782的博客
12-16 1267
先从我们写的一个自定义Filter来看: public class RoleOrFilter extends AuthorizationFilter { @Override protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) t...
10路由策略-前缀列表
YwlPy的博客
09-30 4293
10路由控制-前缀列表 标签(空格分隔):HCIP 文章目录10路由控制-前缀列表路由策略IP-Prefix List小技巧--不接设备产生静态路由前言 01路由过滤实施 02修改路由属性 03路由实施 04路由控制 05对流量行为的控制需求分析 06控制网络流量可达性 07调整网络流量路径-单协议简单场景 路由策略 定义: 通过一系列工具或方法对路由进行各种控制的"策略" 影响路由的产生,发布,选择等,进而影响报文的转发路径 目的: 作用 结果 对路由进行过滤 要不要这条路
BGP过滤器原理和实验(华为设备)
tushanpeipei的博客
01-18 3009
概述: 过滤器,也就是匹配路由条目的工具 目前提供以下五种过滤器供BGP使用: • 访问控制列表ACL(Access Control List) • 地址前缀列表(IP-Prefix List) • AS路径过滤器(AS-Path-Filter) • 团体属性过滤器(Community-Filter) • 扩展团体属性过滤器(Extcommunity-Filter) 在路由控制笔记归纳ACL、前缀列表在BGP中的使用;这里主要归纳新增加的三种过滤器: • AS路径过滤器: • 团体属性过滤器: • 拓展团体
guided filer
04-29
导向滤波器是一种图像滤波技术,通过对图像进行分层和分解,可以增强图像细节和边缘的保留,同时有效地去除图像噪声。导向滤波器的基本思想是根据图像的结构信息和属性,调整滤波器的系数,以避免在滤波过程中过度...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值