环境:MyEclipse6.5 + Tomcat 6.x + Oracle 10g
问题:因为相关的JSP页面可以通过URL进行访问,即使没有登录,那么如何判断用户是否登录,从而阻止通过URL的非正常访问呢?用户登录的信息如何保存呢?
初步解决方法:利用Cookie保存用户登录信息,利用Filter来判断用户是否登录
-----------------------------------------------------------------------------------------------------------------------
首先,利用Cookie保存用户登录信息:
用户通过login.jsp进行登录,在处理登录信息的Servlet中添加生成Cookie的语句,对用户登录进行标记。
//生成name为username的Cookie,其Value为user
Cookie userCookie = new Cookie( "username", "user" );
//将该Cookie的有效时间设为20秒
userCookie.setMaxAge( 20 );
//这个Cookie对站点中所有目录下的访问路径都有效
userCookie.setPath( "/" );
//添加Cookie对象
response.addCookie( userCookie );
上面的几行语句,生成了名称为username的Cookie,它的值是user。这样如果用户登录成功,那么就会建立上面的Cookie,这里username是这个Cookie的名称,跟登录用户名无关,并且这个Cookie跟具体的登录信息无关,只是表示如果登录成功,那么我就建立一个名称为username的Cookie。相当于是保存了一个登录成功的标记,供后面判断是否有用户登录使用。将Cookie的有效期设定为20秒,登录超过20秒,Cookie失效,不能够继续操作,除非重新登录。
其次,为了避免通过URL绕开登录的非法访问,可以利用Filter,对所有通过URL的访问进行合法性判断。具体的代码如下:
import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.RequestDispatcher;
import javax.servlet.ServletContext;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpSession;
public class LoginFilter implements Filter
{
protected FilterConfig filterConfig;
public void init( FilterConfig arg0 )throws ServletException
{
this.filterConfig = arg0;
}
public void destroy()
{
this.filterConfig = null;
}
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException
{
HttpServletRequest sr = ( HttpServletRequest )request;
HttpSession session = sr.getSession();
String user = ( String )session.getAttribute( "username" );
Cookie userCookie = getCookieValue( sr.getCookies(), "username" );
//SessionListener sl = new SessionListener();
//判断用户是否登录
if( null == userCookie )
{
//判断当前页面是否为login.jsp
String url = sr.getRequestURL().toString();
if( -1 == url.indexOf( "login" ) )
{
ServletContext sc = filterConfig.getServletContext();
RequestDispatcher rd = sc.getRequestDispatcher( "/login.jsp" );
try
{
rd.forward( request, response );
return;
}
catch( ServletException se )
{
filterConfig.getServletContext().log( se.getMessage() );
}
catch( IOException e )
{
filterConfig.getServletContext().log( e.getMessage() );
}
}
}
chain.doFilter( request, response );
}
protected Cookie getCookieValue( Cookie[] cookies, String name )
{
//判断是否存在Cookie
if( null != cookies )
{
for( Cookie c : cookies )
{
if( c.getName().equals( name ) )
{
return c;
}
}
}
return null;
}
}
在上面的Filter中,通过判断当前Cookie中是否有名为username的Cookie来判断用户是否已经登录,如果不存在名为username的Cookie,那么判断当前页面是否为login.jsp,也就是我的登录页面,如果不是话就需要重新定位到login.jsp,迫使用户进行登录。
通过上面的程序建立Filter之后,还需要在对应的web.xml文件中配置Filter,具体如下:
<filter>
<filter-name>LoginFilter</filter-name>
<filter-class>com.pan.hrsystem.normal.LoginFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>LoginFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
这段配置表示对于所有的URL访问都进行过滤,这样用户企图通过URL绕开login的时候,都会被定位到login.jsp。
上面的解决方案比较粗糙,或许还存在很多值得商榷的地方。当然,除了使用Cookie,也可以使用session或者全局bean来保存用户的信息,在网上也有很多这方面的讨论。也可以将JSP页面转移到WEB-INF目录下,来阻止通过URL的直接访问,如果这样,还需要进行一些其他相关的操作。
上面的内容主要参考了:
http://blog.csdn.net/wpabbs/archive/2008/08/21/2806677.aspx
以及李宁《Java Web开发技术大全》。
每天动动手,做一点儿开发的工作,Life isbeautiful!