防止用户直接访问url的权限控制(使用过滤器)

最新推荐文章于 2023-10-12 15:52:15 发布
最新推荐文章于 2023-10-12 15:52:15 发布
阅读量6.4k 收藏 7
点赞数
分类专栏: JavaWeb开发

这是个过滤器的内容,


[java]
public void doFilter(ServletRequest request, ServletResponse response, 
            FilterChain chain) throws IOException, ServletException { 
        HttpServletRequest req = (HttpServletRequest) request; 
        HttpServletResponse resp = (HttpServletResponse) response; 
        String conString = ""; 
        conString = req.getHeader("REFERER");//获取父url--如果不是直接输入的话就是先前的访问过来的页面,要是用户输入了,这个父url是不存在的  
        if("".equals(conString) || null==conString){ //判断如果上一个目录为空的话,说明是用户直接输入url访问的  
            String servletPath = req.getServletPath();//当前请求url,去掉几个可以直接访问的页面  
            if(servletPath.contains("index.jsp") || servletPath.contains("admin/login.jsp")){ //跳过index.jsp和登陆Login.jsp  
                chain.doFilter(request, response); 
            } else { 
                resp.sendRedirect("/ejuornal/index.jsp");//跳回首页  
            } 
        } else { 
            chain.doFilter(request, response); 
        } 
    } 

public void doFilter(ServletRequest request, ServletResponse response,
   FilterChain chain) throws IOException, ServletException {
  HttpServletRequest req = (HttpServletRequest) request;
  HttpServletResponse resp = (HttpServletResponse) response;
  String conString = "";
  conString = req.getHeader("REFERER");//获取父url--如果不是直接输入的话就是先前的访问过来的页面,要是用户输入了,这个父url是不存在的
  if("".equals(conString) || null==conString){ //判断如果上一个目录为空的话,说明是用户直接输入url访问的
   String servletPath = req.getServletPath();//当前请求url,去掉几个可以直接访问的页面
   if(servletPath.contains("index.jsp") || servletPath.contains("admin/login.jsp")){ //跳过index.jsp和登陆Login.jsp
    chain.doFilter(request, response);
   } else {
    resp.sendRedirect("/ejuornal/index.jsp");//跳回首页
   }
  } else {
   chain.doFilter(request, response);
  }
 }下面是过滤器的配置文件


[html
<?xml version="1.0" encoding="UTF-8"?> 
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/javaee" xmlns:web="http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd" version="2.5"> 
  <display-name></display-name> 
  <welcome-file-list> 
    <welcome-file>index.jsp</welcome-file> 
  </welcome-file-list> 
  <filter> 
    <filter-name>FilterPages</filter-name> 
    <filter-class>com.ejuornal.filter.FilterPages</filter-class> 
  </filter> 
  <filter-mapping> 
    <filter-name>FilterPages</filter-name> 
    <url-pattern>*.jsp</url-pattern>   
  </filter-mapping> 
</web-app> 

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/javaee" xmlns:web="http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd" version="2.5">
  <display-name></display-name>
  <welcome-file-list>
    <welcome-file>index.jsp</welcome-file>
  </welcome-file-list>
  <filter>
   <filter-name>FilterPages</filter-name>
   <filter-class>com.ejuornal.filter.FilterPages</filter-class>
  </filter>
  <filter-mapping>
   <filter-name>FilterPages</filter-name>
   <url-pattern>*.jsp</url-pattern> 
  </filter-mapping>
</web-app>这时候再去直接输入url时就会在跳回首页。

 


但是有两个需要注意的问题,过滤器中的chain.doFilter(request, response);的使用------------错误如下:


[html] 
public void doFilter(ServletRequest request, ServletResponse response, 
            FilterChain chain) throws IOException, ServletException { 
        HttpServletRequest req = (HttpServletRequest) request; 
        HttpServletResponse resp = (HttpServletResponse) response; 
        String conString = ""; 
        conString = req.getHeader("REFERER");//获取父url 
        if("".equals(conString) || null==conString){ 
            String servletPath = req.getServletPath();//当前请求url 
            if(servletPath.contains("index.jsp") || servletPath.contains("admin/login.jsp")){ 
                chain.doFilter(request, response); 
            }else { 
                resp.sendRedirect("/ejuornal/index.jsp"); 
            }    
        } 
        <SPAN style="COLOR: #ff0000">chain.doFilter(request, response);</SPAN>   
    } 

public void doFilter(ServletRequest request, ServletResponse response,
   FilterChain chain) throws IOException, ServletException {
  HttpServletRequest req = (HttpServletRequest) request;
  HttpServletResponse resp = (HttpServletResponse) response;
  String conString = "";
  conString = req.getHeader("REFERER");//获取父url
  if("".equals(conString) || null==conString){
   String servletPath = req.getServletPath();//当前请求url
   if(servletPath.contains("index.jsp") || servletPath.contains("admin/login.jsp")){
    chain.doFilter(request, response);
   }else {
    resp.sendRedirect("/ejuornal/index.jsp");
   } 
  }
  chain.doFilter(request, response); 
 }
如果这样放的话会如下图的效果:

 

 \
 


有两个页面重合在一起,原因是:有两个chain.doFilter(request, response);的执行导致的。

也就是说咩执行一次chain.doFilter(request, response);就是一个请求的执行。

 

閑庭信步
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
36-2 shiro越权 - shiro越权介绍
weixin_43263566的博客
04-15 137
Apache Shiro 是一个强大且易用的 Java 安全框架,负责执行身份验证、授权、密码和会话管理。无论是最小的移动应用程序还是最大的网络和企业应用程序,都可以通过使用 Shiro 的 API 快速、轻松地实现安全功能。
Spring @PostMapping 能在 URL 中带有参数吗
HONEY MOOSE
09-11 1823
有个比较简单的问题。Spring 的 @PostMapping 在使用 POST 提交的时候,能不能在 URL 中带参数?
Vue使用路由守卫,防止直接输入url越权访问
weiweiking6的博客
11-20 7822
最近在开发Vue+Springboot的前后端分离项目时,为了防止用户没有登录,直接输入网址越权访问登录后的网页,所以打算想个办法拦截,一开始打算在Springboot处写一个拦截器,但由于是前后端分离的模板,就打算在Vue处写个路由拦截器 Spring处的登录逻辑 前后端采用异步传输的方式,这里返回的Result是我自己编写的一个判断类,用以返回前端,前端获取返回的判断类,根据起变量的值进行逻辑判断。 status:默认为true,当controller判断成立时,不进行设置,不成立时设置为fals
面试中常问的SQL注入题
m0_46467017的博客
08-20 2258
如果一个字符的大小是一个字节的,称为窄字节;如果一个字符的大小是两个字节的,成为宽字节像GB2312、GBK、GB18030、BIG5、Shift_JIS等这些编码都是常说的宽字节,也就是只有两字节英文默认占一个字节,中文占两个字节。
UniApp开发安卓以及H5实现页面级权限管理,避免用户浏览器直接输入url访问页面
最新发布
2303_77072102的博客
10-12 2029
uni-app如何像vue-router中的beforeEach一样实现跳转拦截功能呢?为此uniapp官方提供了专门的API方法。
vue如何防止用户未登录,直接url访问页面?
qq_45530512的博客
06-17 2042
vue 如何防止用户未登录,直接url访问页面
servlet+jsp实现过滤器 防止用户未登录访问
01-20
总的来说,通过在Java Web应用程序中实现Servlet过滤器,我们可以有效地控制用户访问权限,确保只有已登录的用户才能访问敏感的后台页面,从而提高系统的安全性。这种方式是一种标准且灵活的解决方案,适用于大多数...
java权限控制
05-13
权限控制中,过滤器通常用来检查用户是否已登录,或者用户是否有足够的权限访问特定资源。通过实现`javax.servlet.Filter`接口并重写`doFilter()`方法,我们可以创建自定义的过滤器逻辑。 2. **权限控制的基本...
java中使用Filter控制用户登录权限具体实例
09-05
通过这种方式,我们可以实现一个基本的用户登录权限控制机制,防止未授权的用户直接访问受保护的页面。然而,这仅是一个简单的实现,实际项目中可能需要结合Session管理、Cookie验证、记住我功能、安全框架(如...
java禁止直接url访问图片
04-30
综上所述,Java禁止直接URL访问图片涉及多个方面,包括Web服务器配置、Java Servlet、权限验证、过滤器、防盗链技术以及CDN的使用等,这些都需要开发者深入理解和灵活运用。通过这些手段,我们可以有效地保护网络...
java web权限访问过滤器
09-02
本教程将详细讲解如何使用Java Web中的过滤器(Filter)来实现这样的访问控制过滤器是Servlet API的一部分,它允许我们在请求到达目标资源(如Servlet、JSP页面)之前或之后对请求和响应进行拦截处理。 首先,...
Filter控制页面的访问权限
12-04
Filter控制页面的访问权限Filter控制页面的访问权限Filter控制页面的访问权限
java url 权限过滤器
09-16
获得structs的相对权限 url实现权限控制
通过request.getHeader("referer")防止用户手动修改URL访问权限页面
回家换拖鞋的专栏
11-05 5127
在开发web程序的时候,有时我们需要得到用户是从什么页面连过来的,这就用到了referer。 它是http协议,所以任何能开发web程序的语言都可以实现,比如jsp中是: request.getHeader("referer"); php是$_SERVER['HTTP_REFERER']。其他的我就不举例了(其实是不会其他的语言)。 js的话就是这样做:javascript:docum
Java解id教程,快速解决java如何防止用户修改链接上的id随意删除数据
weixin_33445930的博客
03-16 692
电脑现已成为我们工作、生活和娱乐必不可少的工具了,在使用电脑的过程中,可能会遇到java如何防止用户修改链接上的id随意删除数据的问题,如果我们遇到了java如何防止用户修改链接上的id随意删除数据的情况,该怎么处理怎么才能解决java如何防止用户修改链接上的id随意删除数据带来的困扰呢,对于这样的问题其实我们只需要Postman1、将请求方式由get改成post。应get方式是host+参数名称...
js 禁止修改地址栏参数获取数据
a736755244的博客
12-03 2053
js 禁止修改地址栏参数 跳转新页面 获取数据
用地址栏传递参数的时候遇到的问题
linshichen的专栏
03-31 1516
今天在地址栏传递参数的时候遇到问题就是另一个地址获取不了参数,在格式正确的情况下要记得传递参数的=号左右两边不能留空格。
ASP.NET如何禁止直接通过Url访问某个类型的文件(非权限),不定时补充
sky 胡萝卜星星
12-01 1万+
Note:此处不是权限设置问题,此处不是权限设置问题,此处不是权限设置问题!只是出于数据或者网络安全,禁止扫描工具直接扫描到某些包含敏感信息的文件,尤其比如日志、配置等 默认ASP.NET已经考虑到了一些安全问题,比如.config后缀的配置文件,比如.cs的源代码文件,比如.log的日志文件,这些默认都是全局设置,但还有些NET没帮我们设置,比如.xml后缀,比如.txt后缀,这些文件里面往往
通过过滤器Filter来完成url访问权限限制
热门推荐
passport_daizi的博客
11-02 2万+
1.新建过滤器类: package com.xiami.manager.filter;import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.Servl
拦截器过滤器使用场景
05-28
拦截器和过滤器都是用来对请求进行拦截和处理的,它们的使用场景有相似之处,但也有不同。 拦截器的使用场景: 1. 权限控制:拦截器可以用来控制用户访问权限,比如检查用户是否登录,是否有访问某个资源的权限等。 2. 日志记录:拦截器可以用来记录请求日志,包括请求的 URL、请求参数、请求时间等信息,方便后续的统计和分析。 3. 性能监控:拦截器可以用来监控请求的性能,包括请求的响应时间、请求的并发量等信息,方便优化系统性能。 过滤器使用场景: 1. 编码转换:过滤器可以用来对请求和响应进行编码转换,比如将请求的编码从 ISO-8859-1 转换为 UTF-8。 2. 数据校验:过滤器可以用来校验请求的数据是否合法,比如检查请求参数的格式、长度等信息。 3. 防止 XSS 攻击:过滤器可以用来过滤请求中的特殊字符,防止 XSS 攻击。 总的来说,拦截器和过滤器都是用来对请求进行拦截和处理的,它们的使用场景有相似之处,但也有不同。开发者应该根据具体的业务需求和功能要求选择合适的拦截器和过滤器

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值