权限控制-禁止普通登录用户通过直输URL方式访问系统中其它自己不具备权限的模块

最新推荐文章于 2023-05-23 23:23:08 发布
最新推荐文章于 2023-05-23 23:23:08 发布
阅读量2.4k 收藏
点赞数
分类专栏: Java 文章标签: Java-filter

1.描述

一个普通用户,只有单点登录的权限,通过一些工具获取到系统的其它模块的URL ,在地址栏直接输入,访问,我们在一些按钮做了一些控制,但是部分不具有操作机会的页面还是会展现出来,不影响功能,但是也需要做优化处理

2.代码(JAVA)

@WebFilter(urlPatterns = { "/*" })//(采用注解方式配置filter)
public class MainFilter implements Filter{

    @Override
    public void destroy() {
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        this.do_filter_inner(request, response, chain);
        
    }

    private void go_timeout_proc(ServletResponse response) throws IOException{
        HttpServletResponse res = (HttpServletResponse) response;
        res.sendRedirect("超时跳转页面");
    }

    private void do_filter_inner(ServletRequest request,
            ServletResponse response, FilterChain chain) throws IOException,
            ServletException {
        // 编码处理,
        this.do_encode(request, response);//
    
        //手动输入的不合规范的URL路径,没有权限,在此限制
        if(!this.do_pass_right(request, response)){
            this.go_righterr_proc(response);//跳转到提示页
            return;
        }
    
        //其他的filter处理


        //超时处理
        this.go_timeout_proc(response);
    
    }

    private boolean do_pass_right(ServletRequest request, ServletResponse response) throws IOException{
        HttpServletRequest httpRequest = (HttpServletRequest) request;
        
        String conString = "";
        //获取父url
        conString = httpRequest.getHeader("REFERER");
        
        if("".equals(conString) || null==conString){
            //当前请求url
            String servletPath = httpRequest.getServletPath();
            //index页,(本工程是部署到Tomact下,并在ROOT目录下配置index文件可通过ip直接访问,所以需放行index页,超时页也要放行)
            if(servletPath.contains("index.jsp") || servletPath.contains("login.jsp")|| servletPath.contains("timeout.jsp")){
                //没有父url的但是可放行的url路径,此处放行的如有必要可自行在
                //"index.jsp"放行,
                return true; //返回true为允许通过
            }else {
                //没有获取到父 url ,判断为非法访问,无系统权限,返回fasle,,做错误权限拦截
                Debug.info("父URL:["+conString+"]为null,不是系统内部访问,无权限");
                return false;
            }
        }
        
        return true;//返回true,,只要是有父url的,都不做处理,继续前行,后续处理
        
    }
    private void go_righterr_proc(ServletResponse response) throws IOException{
        HttpServletResponse res = (HttpServletResponse) response;
        res.sendRedirect("/**/right_error.jsp");//跳转到权限错误提示页
    }

    @Override
    public void init(FilterConfig arg0) throws ServletException {
        
        
    }

 

 

3.可参考原文链接

https://blog.csdn.net/HeavenPurpleHeart/article/details/50231609

 

linkai87
关注
专栏目录
JAVA后端登录权限控制
m0_70547268的博客
03-20 1485
以spring拦截器实现登录权限控制
JAVAWEB开发之权限管理(一)——权限管理详解(权限管理原理以及方案)、不使用权限框架的原始授权方式详解
热门推荐
07-13 9万+
知识清单 1.了解基于资源的权限管理方式 2. 掌握权限数据模型 3. 掌握基于url权限管理(不使用Shiro权限框架的情况下实现权限管理) 4. shiro实现用户认证 5. shiro实现用户授权 6. shiro与企业web项目整合开发的方法 权限管理原理知识 什么是权限管理 只要有用户参与的系统一般都要有权限管理,权限管理实现对用户访问系统控制。按照安全规则或安全策
前端常见的安全问题及防范措施
m0_56069948的博客
02-23 1万+
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 前言 随着互联网的高速发展,信息安全问题已经成为行业最为关注的焦点之一。总的来说安全是很复杂的一个领域,在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,还时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。这篇文章会介绍一些常见的安全问题及
java项目普遍存在的一个bug,用户直接可以通过url访问本人没有权限的页面
如风
12-29 7304
1、问题描述: java项目普遍存在的一个bug,即使在项目做了权限限制,但是在用户正常登录后,可以利用其他工具获取他本人没有权限访问的路径,然后在浏览器直接打开页面,这样就对项目安全造成很大的威胁,这种问题在很多项目都存在,但处理方式各有不同。 2.问题原因:  一般项目都是在用户登录时与登录成功后对项目功能点的展示上,但对用户登录后“不合法”的访问不能控制 3、解决思路:
Maven项目学习(二)SSM项目避免用户跳过登录操作利用url地址直接进行操作系统数据
VEclipses的博客
02-03 1485
因为浏览器的url是可以让人任意输入网址进行访问的,在一个项目,我们不可能让用户不进行操作就能利用url直接访问系统,因此这篇文章主要讲如何避免这个问题。 首先,解决上述的问题,我们利用拦截器技术就可以解决。 在进行实验之前,我们首先要知道拦截器与过滤器的区别是什么?先啰嗦一下 在我们需要对用户的某个请求进行干预,而这种干预称为拦截,是通过拦截器拦截的! 而过滤器是用来过滤网站某些资源的...
通过过滤器防止用户通过url访问不在权限内的菜单
iamlzyoco的博客
04-15 1075
解决方案:在web层配置过滤器: public void doFilter(ServletRequest request, ServletResponse response,FilterChain chain) throws IOException, ServletException { HttpServletRequest req = (HttpServletRequest) ...
java访问权限控制
weixin_43222122的博客
03-07 959
访问权限控制 面向对象的核心思想之一就是封装,只把有限的方法和成员公开给别人,这也是迪米特法则的内在要求,使外部类调用方对方法体内的实现细节知道尽可能少,如何实现封装呢?需要使用那些关键字来限制类外部对类内部属性和方法的随意访问,这些关键字就是访问权限控制符。 java访问权限包括四个等级,权限控制严格程度由低到高,如下表所示。 访问权限控制及可见范围 访问权限控制符 任何地方 包外子类 包 内 类 内 public OK OK OK OK..
浅谈vue后台管理系统权限控制思考与实践
10-17
Vue 后台管理系统权限控制是构建复杂Web应用不可或缺的一部分,它确保了用户只能访问他们被授权的功能和数据。在本文,我们将深入探讨如何在Vue框架下实施有效的权限控制系统,以及解决相关安全问题。 首先,...
springBoot权限模块
05-12
它通过在用户登录时生成一个持久化的token,存储在用户的浏览器cookie,下次访问时,系统可以通过这个token来自动登录用户。 6. **异常处理**:Spring Security提供了统一的异常处理机制,当认证或授权失败时,...
php权限无需验证的控制器,Thinkphp6用间件实现多个控制器判断用户登录权限
weixin_35128928的博客
03-17 1736
在做后台管理时,需要判断用户是否登录,是否具备控制器的action操作权限。实现此功能的办法很多选择,开发过程会依赖所使用的框架来构造实现逻辑,因此每个程序的框架在代码安排上有不同。本文描述thinkphp6框架下的实现思路,仅供参考。首先来概括一下思路方法。用户登录后,把账号信息保存session和cookie里。Session保存的信息用作在程序的各个业务环节下获取当前账号信息。Cooki...
java web url 权限_JavaWeb权限设计原理
weixin_34439193的博客
02-13 265
每个系统都有权限设计,本篇主要将初始的权限设计的原理,不依赖任何框架,以直观的角度剖析web的权限设计。权限设计的原理知识什么是权限管理只要有用户参与的系统一般都有权限管理,权限管理实现对用户访问系统控制。按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。权限管理包括用户认证和用户授权两部分。用户认证概念用户认证-----用户访问系统系统需要验证用户身份的合法性。常用的验证...
java防止url直接输入访问,如何防止“其他”域访问URL
weixin_42621217的博客
03-16 626
我有一个Node / React应用程序从API提取数据 .在服务器端( server.js ),我有一个“内部”URL,它从API获取数据,然后将其作为JSON返回 . 像这样:server.get('/api/data', (req, res) => {Promise.resolve(getAPIData()).then(data => {res.writeHead(200, ...
java安全漏洞-防止用户直接访问url
u011041009的博客
11-05 1562
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Ma...
java基础---访问权限控制
爱上在路上
04-27 616
1.进行访问权限控制的原因: (1)是防止用户接触那些他们不应碰的工具。对于数据类型的内部机制,那些工具是必需的。但它们并不属于用户接口的一部分,用户不必用它来解决自己的特定问题。所以将方法和字段变成“私有”(private)后,可极大方便用户。因为他们能轻易看出哪些对于自己来说是最重要的,以及哪些是自己需要忽略的。这样便简化了用户对一个类的理解。 (2)允许库设计者改变类的内部工作机制,同时
Java --- 云尚办公之权限管理模块
最新发布
qq_46093575的博客
05-23 1585
🤣、JWT是JSON Web Token的缩写,即JSON Web令牌,是一种自包含令牌。是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。🤣、JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上。🤣、JWT最重要的作用就是对 token信息的防伪作用。
Nginx实例:限制目录和URL以及IP访问控制
zccmp20的专栏
10-19 7179
Nginx实例:限制目录和URL以及IP访问控制
cas-client单点登录客户端拦截请求和忽略/排除不需要拦截的请求URL的问题
u013452335的博客
11-13 4700
博客 学院 下载 图文课 论坛 APP 问答 商城 VIP会员 活动 招聘 ITeye GitChat     写博客 赚零钱 传资源 关注和收藏在这里 文章评论 写评论 dazhangfengxiao#6楼 亲测可用,谢谢! 3个月前 l714417743#5楼 cas4.0测试无效,还是自己尝试重写吧 3个月前 zhanf...
系统管理:关于后台用户没有菜单访问权限但是通过链接直接访问的问题
weixin_43315722的博客
04-03 812
问题情景:用户A,只有菜单a,菜单b的访问权限,但是通过菜单c的链接直接访问菜单c,这种情况如何解决 用户登录时,前端会拿到这个用户所有菜单的路由权限,当该用户通过链接跳转到他没有菜单路由的菜单时,前端会通过该路由到该用户拥有的菜单路由列表里查询,如果没有该路由权限,则直接给该用户跳到404页面 ...
URL访问限制的 配置
weixin_30420305的博客
05-05 544
关闭[访问目录] web服务器默认是打开该访问目录的权限的。 要关闭显示目录文件权限 只需把配置项Directory的Options后的Indexes去掉即可,或者在Indexes前加一个减号。 Indexes选项表示访问该目录时,如果该目录下有index.html,则定向访问该文件,否则展示目录下的文件列表。 转载于:https://www.cnblogs.com/te...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值