JavaWeb-使用Filter过滤器进行权限检查

最新推荐文章于 2023-08-07 22:56:15 发布
最新推荐文章于 2023-08-07 22:56:15 发布
阅读量2.1k 收藏 14
点赞数 3
分类专栏: JavaWeb 文章标签: java-ee Filter 权限检查
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46680603/article/details/121319620
版权

文章目录

1. 什么是Filter过滤器

  1. Filter 过滤器它是 JavaWeb 的三大组件之一。三大组件分别是:Servlet 程序、Listener 监听器、Filter 过滤器。

  2. Filter 过滤器它是 JavaEE 的规范,也就是接口。

  3. Filter过滤器的作用是:拦截请求,过滤响应(只有少数高级操作才使用)。

拦截请求常见的场景有:权限检查、日记操作、事务管理等。

2. Filter初体验

要求:在你的 Web 工程下,有一个 admin 目录。这个 admin 目录下的所有资源(html页面、jpg图片、jsp文件等等)都必须是用户登录之后才允许访问。

思考:根据之前我们学过的内容,我们知道:用户登录之后都会把用户登录的信息保存到 Session 域中。所以要检查用户是否登录,可以判断 Session 中是否包含用户登录的信息即可。

// 传统方法:使用jsp 页面实现拦截
...
<%
	Object user = session.getAttribute("user");
	// 如果等于null,说明还没有登录
	if (user == null) {
		request.getRequestDispatcher("/login.jsp").forward(request, response);
		return;
	}
%>
...

但是上面这种基于 jsp 的方式只能拦截 jsp 文件,它无法实现对其他类型的文件的权限拦截,那么就要使用我们现在的Filter过滤器了。

Filter 的工作流程图
在这里插入图片描述
首先,我们需要创建一个类去实现Filter接口,其中需要我们重写 doFilter 方法,该方法是专门用于进行权限检查的,只有满足条件的请求才可以放行

package com.zjuedu.filter;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpSession;
import java.io.IOException;


public class AdminFilter implements Filter {

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    /**
     * doFilter 方法,专门用于拦截请求,过滤响应。可以做权限检查
     * @param request
     * @param response
     * @param chain
     * @throws IOException
     * @throws ServletException
     */
    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest req = (HttpServletRequest) request;
        HttpSession session = req.getSession();

        Object user = session.getAttribute("user");
        // 如果等于null,说明还没有登录
        if (user == null) {
            req.getRequestDispatcher("/login.jsp").forward(request, response);
            return;
        } else {
            // 让程序继续往下访问用户请求的资源【放行】
            chain.doFilter(request, response);
        }
    }

    @Override
    public void destroy() {

    }
}

然后,跟配置 Servlet 程序一样,需要在 web.xml 中配置该 Filter 过滤器:

<!-- filter标签用于配置一个filter过滤器 -->
<filter>
    <!-- 给 filter 起一个名称 -->
    <filter-name>AdminFilter</filter-name>
    <!-- 配置 filter 的全类名 -->
    <filter-class>com.zjuedu.filter.AdminFilter</filter-class>
</filter>
<!-- filter-mapping 配置 Filter 过滤器的拦截路径 -->
<filter-mapping>
    <!-- filter-name 表示当前的拦截路径给哪个 filter 使用 -->
    <filter-name>AdminFilter</filter-name>
    <!-- url-pattern 配置拦截路径
        / 表示请求地址为: http://ip:port/工程路径/ 映射到IDEA的 web 目录
        /admin/* 表示拦截的请求地址为 http://ip:port/工程路径/admin/*
    -->
    <url-pattern>/admin/*</url-pattern>
</filter-mapping>

此时配置完毕,客户端如果没有成功登录,只要访问任何 admin 目录下的内容都会被拦截。

小结:Filter 过滤器的使用步骤

  1. 编写一个类去实现 Filter 接口
  2. 实现过滤方法 doFilter()
  3. 到 web.xml 中去配置 Filter 的拦截路径

3. Filter的生命周期

Filter 的生命周期围绕着如下的顺序去执行方法【与Servlet基本一致】:

  1. 构造器方法:Web工程启动的时候就开始执行
  2. init 初始化方法:Web工程启动的时候就开始执行(紧随构造器方法)
  3. doFilter 过滤方法:每次拦截到请求就会执行
  4. destory 销毁方法:停止Web工程的时候就会执行

4. FilterConfig类

FilterConfig 类见明知意,它是 Filter 过滤器的配置文件类。
Tomcat 每次创建 Filter 的时候,同时也会创建该类对应的一个FilterConfig 类,这里包含了 Filter 配置文件的配置信息。

FilterConfig 类的作用就是获取 filter 过滤器的配置内容【与ServletConfig基本一致】

  1. 获取在 web.xml 中配置的 Filter 的别名 filter-name
  2. 获取在 web.xml 中配置的 init-param 初始化内容【常用】
  3. 获取 ServletContext 对象
<filter>
    <!-- 给 filter 起一个名称 -->
    <filter-name>AdminFilter</filter-name>
    <!-- 配置 filter 的全类名 -->
    <filter-class>com.zjuedu.filter.AdminFilter</filter-class>
    <!-- 配置 filter 的初始化参数 -->
    <init-param>
        <param-name>username</param-name>
        <param-value>root</param-value>
    </init-param>
    <!-- 配置 filter 的初始化参数 -->
    <init-param>
        <param-name>url</param-name>
        <param-value>jdcb:mysql://localhost:3306/test</param-value>
    </init-param>
</filter>

// 我们在AdminFilter类的init() 函数中做测试
@Override
public void init(FilterConfig filterConfig) throws ServletException {
     // 获取在web.xml 中为 Filter 设置的别名
     System.out.println("filter-name的值是:" + filterConfig.getFilterName());

     // 获取在web.xml 中配置的init-param初始化参数
     String username = filterConfig.getInitParameter("username");
     String url = filterConfig.getInitParameter("url");
     System.out.println("filter 初始化参数为:" + username);
     System.out.println("filter 初始化参数为:" + url);
     
     // 获取ServletContext 对象
     ServletContext servletContext = filterConfig.getServletContext();
     System.out.println(servletContext);
 }

启动Tomcat,输出结果为:
在这里插入图片描述

5. FilterChain过滤器链

FilterChain 就是过滤器链,当涉及到多个过滤器时,工作方式如同函数调用一样,如下图:
在这里插入图片描述

这里通过定义一个Filter1、Filter2 过滤器和目标资源 target.jsp 来演示过滤器链:

Filter1 过滤器:

public class Filter1 implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException { }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        System.out.println("Filter1 前置代码...");
        chain.doFilter(request, response);
        System.out.println("Filter1 后置代码...");
    }

    @Override
    public void destroy() { }
}

Filter2 过滤器:

public class Filter2 implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException { }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        System.out.println("Filter2 前置代码...");
        chain.doFilter(request, response);
        System.out.println("Filter2 后置代码...");
    }

    @Override
    public void destroy() { }
}

在web.xml文件中进行配置:

<!-- filter在xml中的配置顺序,决定了filter链中的先后顺序 -->
<filter>
    <filter-name>Filter1</filter-name>
    <filter-class>com.zjuedu.filter.Filter1</filter-class>
</filter>
<filter-mapping>
    <filter-name>Filter1</filter-name>
    <url-pattern>/target.jsp</url-pattern>
</filter-mapping>
<!-- filter在xml中的配置顺序,决定了filter链中的先后顺序 -->
<filter>
    <filter-name>Filter2</filter-name>
    <filter-class>com.zjuedu.filter.Filter2</filter-class>
</filter>
<filter-mapping>
    <filter-name>Filter2</filter-name>
    <url-pattern>/target.jsp</url-pattern>
</filter-mapping>

定义一个目标文件 target.jsp:

<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html>
<head>
    <title>Target</title>
</head>
<body>
    <%
        System.out.println("target.jsp执行了...");
    %>
</body>
</html>

现在,启动Tomcat服务器,访问URL【http://localhost:8080/15_filter/target.jsp】:
在这里插入图片描述
再次强调

  1. 在过滤器链中的工作方式非常类似函数调用,只有通过了所有的Filter,才能访问到最终的资源。如果中间某个Filter没有满足过滤条件,则后续的Filter也不会再继续工作,直接返回。
  2. Filter 在 web.xml 中配置的顺序决定了 Filter 在过滤器链中的前后位置。

6. Filter的拦截路径

6.1 精确匹配

<url-pattern>/xxx.yyy</url-pattern>

以上路径表示,请求的地址必须为:http://ip:port:/工程路径/xxx.yyy 才可以拦截到。

6.2 目录匹配

<url-pattern>/admin/*</url-pattern>

以上路径表示,请求的地址必须为:http://ip:port:/工程路径/admin/* 才可以拦截到。

6.3 后缀名匹配

<url-pattern>*.html</url-pattern>


<url-pattern>*.do</url-pattern>


<url-pattern>*.action</url-pattern>

以上路径表示,请求的地址必须以:.html | .do | .action 结尾才可以拦截到。
注意:后缀名匹配,一定不要以 / 打头,否则会报错!

Filter 过滤器它只关心请求的路径是否匹配,不关心请求的资源到底是否存在!!!

铁头娃撞碎南墙
关注
  • 3
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
JavaWeb Servlet中Filter过滤器的详解
01-08
 Filter过滤器,对web服务器所有web资源进行过滤,从而实现一些特殊的功能(权限访问控制、过滤敏感词汇、压缩响应信息)。Filter能够对Servlet容器的请求和响应进行检查和修改,其本身不能生成请求request和响应...
javaweb中Filter(过滤器)的常见应用
09-03
在Java Web开发中,Filter过滤器)是一个强大的工具,它可以拦截HTTP请求和响应,对数据进行预处理或后处理,以实现各种功能。本文将深入探讨javaweb中Filter的常见应用,以及如何解决全站字符编码问题。 首先,...
拦截器对接口细粒度权限校验
ZHANGLIZENG的博客
08-07 706
细粒度接口权限校验,看这一篇就够了...
如何利用过滤器实现权限验证功能?
流年烟火
09-27 328
. 过滤的实现调用链所有过滤器都服从调用的过滤器链,并通过定义明确的接口得到执行。 一个执行过滤器的 Java 类必须执行这一 javax.servlet.Filter 接口。这一接口含有三个过滤器必须执行的方法: doFilter(ServletRequest, ServletResponse, FilterChain):这是一个完成过滤行为的方法。这同样是上游过滤器调用的方法。引入的Filt...
JavaWeb购物系统(八)购物系统权限验证(使用Filter过滤器拦截未登录用户非法访问)
喃灬疯的博客
11-02 599
功能 1. 拦截非登陆用户的请求操作 2. 拦截非登陆用户的Ajax操作
使用filter过滤器实现登陆权限验证
下雨天的程序生活专栏
10-28 1243
 用SERVLET过滤来实现权限控制 简介过滤是SERVLET2。3规范新有的功能,目前TOMCAT4,WEBLOGIC7都已支持。它能实现很多以前使用不便或很难实现的功能,在产品体系中,我们可以很好地使用SERVLET过滤,使得各个部件可以在保持系统统一权限控制的前提下,来实现各个独自的个性权限系统。下面先看下SERVLET过滤是如何工作的,如下图优点和传统架构相比,SERV
Filter实现权限过滤
m0_46671240的博客
11-04 469
有这么一个简单的要求:用户只有登录才能进入主页,一旦退出就无法进入主页,看似好像生来就该如此但代码层次却不简单:首先要判断用户登录状态–然后拦截判断.后面还会学习拦截器. web文件夹下新建一个文件夹名为sys,该文件夹新建两个jsp页面分别名为success,error,显示相应文本即可. web文件夹下新建一个JSP页面名为Login,内容如下: <form action="/servlet/login" method="post"> <input type="text" na
Java Web Filter 过滤器学习教程(推荐)
09-02
Java Web Filter过滤器是Servlet技术中的关键组件,它允许开发者在请求到达目标资源(如Servlet、JSP或静态文件)之前和之后进行拦截处理。这种技术对于实现多种高级功能非常有用,比如权限控制、内容过滤、日志记录...
(重温)JavaWeb–Filter 过滤器(JavaWeb 的三大组件之一)
12-21
Filter 过滤器它是 JavaWeb 的三大组件之一。三大组件分别是:Servlet 程序、Listener 监听器、Filter 过滤器 Filter 过滤器它是 JavaEE 的规范。也就是接口 Filter 过滤器它的作用是:拦截请求,过滤响应。  ...
JavaWeb开发技术-什么是Filter.pptx
07-06
Filter,即过滤器,是一种能够拦截HTTP请求和响应的机制,允许开发者在请求到达Servlet之前或Servlet响应返回给客户端之后进行处理。这种处理可以包括数据验证、日志记录、安全控制、字符编码转换等多种任务。 ...
filter 实现权限控制
11-27
这是用rbac来实现的,用于对权限的路径的控制
java filter 权限_Filter的应用--权限过滤
weixin_36212240的博客
02-24 327
因为项目比较长,需要一步步进行实现,所以分解成一个一个需求。一:需求一1.需求一可以看某人的权限,同时,可以对这个用户进行权限的修改。2.程序实现3.程序目录4.User.java1 packagecom.web;23 importjava.util.List;45 public classUser {6 privateString userName;7 private Lista...
javaWeb之利用Filter(过滤器)实现用户访问权限
奋斗的哼哼
07-22 5291
自定义的过滤器 package bzu.cn.mvcproject.filter; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletEx...
【Java】Android动态权限相关问题梳理
devnn的专栏
08-27 3860
Android 6.0开始,对敏感权限需要动态申请,首先我们需要引入android.support.v4的兼容包,然后使用ActivityCompat这个类来处理权限。 其实Activity自身也可以处理动态权限,不需要额外引入ActivityCompat。
java服务-springboot拦截器实现用户登录Token及权限校验
码者人生的技术博客
05-30 4389
springboot拦截器主要目标: 拦截请求,验证请求的用户对访问的资源是否有访问权限; 需要排除一些不在权限控制范围内的url,如swagger的接口文档列表; 需要排除的url,在配置文件中进行配置; 双拦截器
手把手教你使用Java注解配合过滤器实现权限控制(超级简单)
墨 尘
06-17 2576
过滤器: 首先我们先定义一个过滤器Filter 实现HandlerInterceptor 接口。 package com.mlb.filter; import org.springframework.web.servlet.HandlerInterceptor; import org.springframework.web.servlet.ModelAndView; import javax.servlet.http.HttpServletRequest; import javax.servl..
java之Filter用法(实现请求的拦截过滤,以及权限判断)
不疯癫不成活
08-04 4546
Filter实现登陆权限的过滤实例
Filter过滤器笔记1
weixin_30321709的博客
01-12 276
Filter:过滤器     Filter主要用于对用户请求进行预处理,也可以对HttpServletResponse进行后处理,是个典型的处理链。使用Filter的完整流程是:Filter对用户请求进行预处理,接着将请求交给Servlet进行处理并生成响应,最后Filter再对服务器响应进行后处理 创建Filter的步骤:   1.创建Filter处理类   2.在web.xml...
Filter实现权限控制
yh_zeng2的博客
06-23 770
PermissionAccessFilter.java: package edu.filter; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.S
JavaWeb 中过滤器使用
最新发布
05-17
在JavaWeb中,过滤器(Filter)是一种可以对web资源进行过滤的组件,用于对HTTP请求进行拦截和响应处理。主要作用是:统一字符集编码设置、防止跨站脚本攻击、验证用户登录信息等。其使用方式如下: 1.定义一个类实现Filter接口,并实现其doFilter方法; 2.在web.xml中配置过滤器,并指定对哪些URL进行拦截处理; 3.在doFilter方法中,可以对request、response等对象进行操作,也可以将请求转发到指定的资源或者放行请求。 以下是一个简单的例子: ```java public class MyFilter implements Filter { public void doFilter(ServletRequest req, ServletResponse resp, FilterChain chain) throws IOException, ServletException { HttpServletRequest request = (HttpServletRequest) req; HttpServletResponse response = (HttpServletResponse) resp; request.setCharacterEncoding("UTF-8"); response.setCharacterEncoding("UTF-8"); chain.doFilter(request, response); } } // 在web.xml中配置过滤器 <filter> <filter-name>myFilter</filter-name> <filter-class>com.example.MyFilter</filter-class> </filter> <filter-mapping> <filter-name>myFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

铁头娃撞碎南墙

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值