使用Filter进行 过滤非法登录用户

最新推荐文章于 2024-05-14 23:01:16 发布
最新推荐文章于 2024-05-14 23:01:16 发布
阅读量2.2k 收藏 1
点赞数
分类专栏: JavaEE 文章标签: filter redirect path session action struts
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/myxx520/article/details/3201627
版权

            很多时候,我们都需要做用户登录和登录用户的权限管理,如何防止没登录系统的用户访问不该访问的页面呢?

第一种解决办法,在没个用户登录相关的页面中判定相应的session是否为空,系统比较小该方法还可行? 系统比较大呢?上千个页面呢?难道也要在每个页面中去判断吗?这或许不太可取

第二种,引入filter

 

具体实现如下:

 

我们在Action中,利用request.getSession().setAttribute("user",user);

并讲请求分发到scuess.jsp

 

scuess.jsp中无需做任何session就能判定用户是否非法登录

嘿嘿,别忘了,在web.xml中还需要配置;

 

  1.  <filter>
  2.     <filter-name>loginFilter</filter-name>
  3.     <filter-class>com.lovexx.tools.LoginFilter</filter-class>
  4. </filter>
  5.    
  6. <filter-mapping>
  7.  <filter-name>loginFilter</filter-name>
  8.  <url-pattern>/scuess.jsp</url-pattern>
  9. </filter-mapping>

忘和j2ee爱好者多多交流,共同进步

 

在struts开发中,对特定目录下的页面进行过滤的时候,要注意别对action path 相对路径的aciton.do进行验证,否则会出错,

如我的web.xml中的配置如下

  1. <filter>
  2.     <filter-name>loginFilter</filter-name>
  3.     <filter-class>com.zq.tools.LoginFilter</filter-class>
  4.     <init-param>
  5.         <param-name>undo</param-name>
  6.         <param-value>/index.jsp</param-value>       
  7.     </init-param>
  8.   </filter>
  9.   <filter-mapping>
  10.     <filter-name>loginFilter</filter-name>
  11.     <url-pattern>/company/*</url-pattern>
  12.   </filter-mapping>

而struts-config.xml中的配置如下

  1. <action
  2.       attribute="loginForm"
  3.       name="loginForm"
  4.       path="/company/login"
  5.       scope="request"
  6.       type="com.zq.struts.action.LoginAction">
  7.       <forward
  8.         name="scuess"
  9.         path="/company/main.jsp"
  10.         redirect="true" />
  11.       <forward
  12.         name="fail"
  13.         path="/index.jsp"
  14.         redirect="true" />
  15.     </action>

那么在过滤company目录下的资源时候,company/login.do也会进行过滤,如果此时不做处理,则会出现死循环的现象

 

我是这样做的,但好像还是有一点不合理

 

  1. public void doFilter(ServletRequest arg0, ServletResponse arg1,
  2.             FilterChain arg2) throws IOException, ServletException {
  3.         // TODO Auto-generated method stub
  4.         HttpServletRequest request = (HttpServletRequest) arg0;
  5.         HttpServletResponse response = (HttpServletResponse) arg1;
  6.         Object recored = request.getSession().getAttribute("info");
  7.         System.out.println(recored);
  8.         System.out.println(request.getRequestURI());
  9.         if (!request.getRequestURI().equals("/cdsoft/company/login.do")) {
  10.             if (recored == null) {
  12.                 response.sendRedirect("/index.jsp");
  13.                 
  14.             }
  15.         }
  16.         arg2.doFilter(arg0, arg1);
  18.     }

 

也可以在web.xml配置Filter初始化参数,在Filter中得到初始化参数,并进行处理

 

转载请注明出处

Author:Jack Zhang


 

xiaopaopao
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
asp.net 使用Response.Filter 过滤非法词汇
10-29
一般信息发布网站,论坛等均具有实现非法词汇过滤功能,即当用户录入非法词汇时,进行替换,使其无法显示到页面上,针对此种功能,通常采用的时,在读取时,在读到非法词汇后,进行替换。
过滤器过滤用户输入的非法字符
11-03
总的来说,`XssFilter.java` 和 `XssHttpServletRequestWrapper.java`是Web应用安全防护的关键组件,它们通过过滤非法字符,帮助防止XSS攻击,确保了用户数据的安全性。在实际开发中,结合其他安全框架和最佳实践,...
JavaEE中Filter实现用户登录拦截
weixin_33963594的博客
09-11 523
  实现思路是编写过滤器,如果用户登录之后session中会存一个user。如果未登录就为null,就可以通过过滤器用户重定向到登陆页面,让用户进行登陆,当然过滤器得判断用户访问的如果是登陆请求需要放行,如果不是就需要进行拦截并进行验证。登陆成功再session存存入user,这样过滤器每次都会通过。 1.首先编写验证登陆的过滤器 package danger.filter; im...
防止非法登录的模块(用过滤器过滤相应的文件夹)
乐天小葵
07-04 1146
package com.marvin.shop.filter; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletException; i
过滤器Filter和拦截器Interceptor实现登录校验
最新发布
fjf_666的博客
05-14 1074
过滤器Filter和拦截器Interceptor实现登录校验
使用Filter技术防止用户非法访问页面
yao_831的专栏
12-30 883
Filter概述Filter技术是servlet 2.3 新增加的功能,它新增加的功能包括:1.应用程序生命周期事件控制2.新的国际化3.澄清了类的装载规则;4.新的错误及安全属性;5.不赞成使用HttpUtils 类6.各种有用的方法7.阐明并扩展了几个servletDTD8.filter功能其中最重要的就是filter功能。它使用户可以改变一个request和修改一个response,Fi
过滤器Filter拦截未登录用户访问请求
弦断的马丁的博客
03-21 1299
1、代码 public class LoginFilter implements Filter { public void init(FilterConfig config) throws ServletException { } public void destroy() { } @Override public void doFilter(ServletRequest request, ServletResponse response, Filte
Filter非法拦截自动登录
我是泛滥
07-29 230
用户登录时,需要对一下几个方面放行 1、静态资源(statics目录下的资源) 2、指定页面(登录页面login.jsp、注册页面register.jsp等) 3、指定行为(登录操作、注册操作等) 4、登录状态(session作用域中的user对象不为空) @WebFilter("/*") //拦截所有 public class LoginAccessFilter implements Filter { public LoginAccessFilter() { } public v
使用filter对字符进行过滤
12-25
在Java Web开发中,`Filter`(过滤器)是一个至关重要的组件,它允许开发者在请求到达Servlet之前或离开Servlet之后对请求和响应进行处理。在本案例中,我们关注的是如何使用`Filter`来过滤字符,确保数据的安全性和...
PHP内置过滤器FILTER使用实例
10-25
通过结合使用验证和纠错过滤器,开发者可以确保从用户处获取的数据既安全又准确。例如,要清理并验证电子邮件地址,可以使用`FILTER_SANITIZE_EMAIL`和`FILTER_VALIDATE_EMAIL`: ```php $email = 'invalid@email#...
Spring Filter过滤器,Spring拦截未登录用户权限限制
生活需要用心
06-21 750
实现的功能:判断用户是否已登录,未登录用户禁止访问任何页面或action,自动跳转到登录页面。 比较好的做法是不管什么人都不能直接访问jsp页面,要访问就通过action,这样就变成了一个实实在在的权限控制了。 那么就有3种方法可以解决楼主的问题 1,直接使用filter 2,直接使用webwork的interceptor, 3,将action交给spring管理,使用sprin...
filter非法用户登录时需要注意的地方
小飘的专栏
06-30 1365
1、在web.xml里面配置的时候,最好别这样写*,因为这样写,意味着任何请求都会被拦截,下面举个例子:    拦截所有用户的请求,如果session中没有用户信息,则跳转到login.html具体代码如下:public void doFilter(ServletRequest paramServletRequest, ServletResponse paramServletR
Java Filter过滤器------对未登录用户访问地址的控制
cheng
08-07 2409
.一、什么是Filter过滤器二、 为什么要用Filter过滤器三、如何使用1. 重写过滤器的三个方法2.使用案例 一、什么是Filter过滤器 顾名思义,过滤器是处于客户端与服务器资源文件之间的一道过滤网,在访问资源文件之前,通过一系列的过滤器对请求进行修改、判断等,把不符合规则的请求在中途拦截或修改。也可以对响应进行过滤,拦截或修改响应。它是对web服务器管理的所有web资源,例: 静态图片文件、静态html文件、Servlet、Jsp等进行拦截,从而,实现一些特殊的功能。filter主要是用来对
防止未登录访问 可用过滤器Filter实现
bls_sky
05-11 626
在做开发时,遇到 防止未登录访问时需要自定义过滤器访问。在开发过成中遇到的问题有: 1.、死循环(解决办法:一定要对重定向的URL做判断) 2、过滤完之后的页面是空白显示(解决办法:忘记加doFilter了,加上doFilter之后问题可以解决) java代码 package com.zh.util; import java.io.IOException; import jav
struts2过滤器与拦截器组合使用过滤拦截非法请求
u010342973的博客
06-15 1003
我们在写网站的时候总想控制一些用户的权限,使有权限的用户才能访问一些页面。这个想法简单的实现可以通过自写Struts2中的拦截器来实现,比如,没有登录用户访问一些页面或者请求进行拦截,跳转到登录页面,在拦截器站中配置自己写的拦截器,在action中引用拦截器站。 还有一个问题就是网站中只想给用户留一个入口进行访问,不能使用户输入任意地址都能跳转到页面。这种实现方式有两种:一:将index页面和
struts2 s2-045漏洞检测 &临时解决方案
TUDP
03-08 7627
struts2 漏洞检测代码      (文件上传代码和 exce命令来均自网络 懒得自己写)      public static String upload(String url,String filePath){        String fdfsPath = "";        try {            DefaultHttpClient httpclient
Filter过滤器 &(登录功能拦截例子)
lwj_07的博客
06-29 3001
Filter:简单来说就是设立在客户端和服务器之间的一个拦截关卡,当发现客户端请求的资源或者服务器响应给客户端的资源不规范(比如:敏感字符等)就会拦截该资源还有一个作用就是:可以在拦截关卡这里存放一些权限控制在里面 注意1:这个实现的Filter是 javax.servlet包下的Filter注意2:只要Filter的拦截路径是/* 那么客户端访问的路径资源或者服务器响应的资源 都是会先被拦截下来的,然后放不放行看代码 代码演示: eg:当我们没有Filter拦截的时候我们开启服务器访问hello.jsp资
JavaWeb购物系统(八)购物系统权限验证(使用Filter过滤器拦截未登录用户非法访问)
喃灬疯的博客
11-02 612
功能 1. 拦截非登陆用户的请求操作 2. 拦截非登陆用户的Ajax操作
使用Filter实现用户自动过滤javaweb
06-13
在JavaWeb中,可以使用Filter来实现用户自动过滤Filter是Servlet规范中的一种组件,它能够对请求和响应进行过滤和修改,可以用于实现各种功能,如用户自动过滤、字符编码转换、权限控制等。 下面是一个简单的用户自动过滤Filter的示例代码: ```java @WebFilter(filterName = "userFilter", urlPatterns = {"/*"}) public class UserFilter implements Filter { private List<String> blacklist = Arrays.asList("hack", "attack", "sql", "xss"); public void init(FilterConfig config) throws ServletException { // 初始化 } public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletRequest req = (HttpServletRequest) request; String uri = req.getRequestURI(); String method = req.getMethod(); if ("POST".equals(method) && uri.contains("user")) { String username = req.getParameter("username"); String password = req.getParameter("password"); if (checkBlacklist(username) || checkBlacklist(password)) { // 检测到黑名单,返回提示信息 response.getWriter().write("您的输入包含非法字符,已被系统拦截!"); return; } } chain.doFilter(request, response); } public void destroy() { // 销毁 } private boolean checkBlacklist(String input) { if (input == null || input.isEmpty()) { return false; } for (String str : blacklist) { if (input.contains(str)) { return true; } } return false; } } ``` 上述代码中,我们定义了一个名为UserFilterFilter,并将其配置为拦截所有请求(urlPatterns={"/*"})。在doFilter方法中,我们首先获取请求的URI和请求方法,如果是POST请求并且URI包含"user",则说明用户正在进行登录或注册操作,需要对用户名和密码进行校验。我们调用checkBlacklist方法来检查用户名和密码中是否包含黑名单中的关键词,如果包含,就直接返回提示信息,否则调用chain.doFilter方法将请求传递给下一个Filter或Servlet。checkBlacklist方法的实现与前面的示例相同,不再赘述。 需要注意的是,Filter必须在web.xml或使用注解@WebFilter进行注册和配置。在上述示例中,我们使用了注解@WebFilter来注册Filter,这需要在Web项目中使用Servlet 3.0或以上版本的容器才能生效。如果使用的是Servlet 2.5或以下版本的容器,就必须在web.xml中配置Filter,例如: ```xml <filter> <filter-name>userFilter</filter-name> <filter-class>com.example.UserFilter</filter-class> </filter> <filter-mapping> <filter-name>userFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> ``` 这样,我们就完成了一个简单的用户自动过滤Filter的实现。需要注意的是,这只是一个示例,实际应用中可能需要更加复杂和完善的校验机制,以确保系统的安全性和稳定性。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值