1.filter保护
2.servlet控制器。通过配置保护视图,如使用RequestDispatcher的Servlet控制器来访问资源;
3.系统的安全角色。借助于标准安全约束的资源保护,如通过在web.xml文件配置安全角色来限制对浏览器的直接访问;
4./WEB-INF/系统资源保护。一种简单通用的做法就是把资源置于Web应用的/WEB-INF/目录下,用户不能直接访问/WEB-INF/目录及它的子目录,因此也就不能访问它下面的资源,而Servlet控制器可以做到。这是"全部可以/全部不能"的一个控制方法,因为这种方法配置的全部资源不允许被浏览器直接访问
5.同步控制令牌其实并不能完全算是对资源的访问控制。同步控制令牌的主要目的是防止重复提交,在对费用很敏感的页面有很大的用途。