基于Filter的安全认证方式

最新推荐文章于 2024-04-27 21:50:24 发布
最新推荐文章于 2024-04-27 21:50:24 发布
阅读量257 收藏
点赞数
分类专栏: JAVA笔记 文章标签: 过滤器 java servlet tomcat web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43625140/article/details/107437142
版权

1. 基于Filter的安全认证方式

  • 问题:基于session的安全认证方式存在一定的问题,例如对角色权限的认证都编码在了页面,一旦页面有很多,那我们必须在每个页面都去重复写角色权限认证逻辑,这样不便于维护和开发。因此我们可以通过Filter技术来控制整个模块的权限认证业务逻辑。

  • 原理:在对网站资源进行请求时,请求会先经过过滤器的过滤,如果过滤器放行才允许访问资源。

  • 工具:IDEA2018 + Tomcat8.0.45

  • 技术:Servlet + Filter + Session

  • 项目:Security_Filter

在这里插入图片描述

1.1 login.jsp

<%--
    @Description 系统登录页面
    @Author 周威
    @Date 2020-07-04 - 16:40
--%>
<%@ page language="java" contentType="text/html;charset=utf-8" %>
<html>
    <head>
        <title>登录</title>
        <meta http-equiv="Content-Type" content="text/html;charset=utf-8"/>
        <meta name="author" content="周威"/>
    </head>
    <body>
        <div>
            <h2>------------Welcome To Login Page---------</h2>
            <form action="${ pageContext.request.contextPath }/User/UserServlet.do" method="post">
                <p>UserName:<input name="username" type="text"></p>
                <p>PassWord:<input name="password" type="password"></p>
                <p><input type="submit" value="登录"></p>
            </form>
        </div>
    </body>
</html>

1.2 user_index.jsp

<%--
    @Description 用户首页
    @Author 周威
    @Date 2020-07-04 - 16:36
--%>
<%@ page language="java" contentType="text/html;charset=utf-8" %>
    <html>
        <head>
            <title>用户首页</title>
            <meta http-equiv="Content-Type" content="text/html;charset=utf-8"/>
            <meta name="author" content="周威"/>
        </head>
    <body>
        Welcome ${ sessionScope.userName }
    </body>
</html>

1.3 web.xml

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee http://xmlns.jcp.org/xml/ns/javaee/web-app_4_0.xsd"
         version="4.0">

    <!-- 配置欢迎页面 -->
    <welcome-file-list>
        <welcome-file>login.jsp</welcome-file>
    </welcome-file-list>

    <!-- 配置User模块过滤器 -->
    <filter>
        <filter-name>UserFilter</filter-name>
        <filter-class>zw.security.filter.UserFilter</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>UserFilter</filter-name>
        <url-pattern>/User/*</url-pattern>
    </filter-mapping>

    <!-- 配置User模块登录控制器 -->
    <servlet>
        <servlet-name>UserServlet</servlet-name>
        <servlet-class>zw.security.servlet.UserServlet</servlet-class>
    </servlet>
    <servlet-mapping>
        <servlet-name>UserServlet</servlet-name>
        <url-pattern>/User/UserServlet.do</url-pattern>
    </servlet-mapping>
    
</web-app>

1.4 UserFilter.java

package zw.security.filter;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import java.io.IOException;

public class UserFilter implements Filter
{
    public void init(FilterConfig config) throws ServletException
    {

    }

    public void doFilter(ServletRequest req, ServletResponse resp, FilterChain chain) throws ServletException, IOException
    {
        //1.获取HttpServlet相关对象
        HttpServletRequest request = (HttpServletRequest) req;
        HttpServletResponse response = (HttpServletResponse) resp;
        HttpSession session = request.getSession();

        //2.获取请求地址
        StringBuffer requestURL = request.getRequestURL();

        //3.判断是否是请求的User模块下的资源
        if(requestURL.toString().indexOf("/User") != -1)
        {
            //4.判断是否是请求User模块下的登录验证资源(有时还要放行User模块下的静态资源,如js,css,images)
            if(requestURL.toString().indexOf("/UserServlet.do") != -1)
            {
                chain.doFilter(request, response);
            }
            else
            {
                //5.取出Session中的用户角色信息
                String role = (String) session.getAttribute("role");

                //6.判断用户角色是否可以访问User模块下的资源
                if(role != null && "admin".equals(role))
                    chain.doFilter(request, response);
                else
                    response.sendRedirect("../login.jsp");
            }
        }
        else
            chain.doFilter(request, response);

    }

    public void destroy()
    {

    }

}

1.5 UserServlet.java

package zw.security.servlet;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import java.io.IOException;

/**
 * @ClassName UserServlet
 * @Description 用户登录处理Servlet类
 * @Author 周威
 * @Date 2020-07-04 - 16:04
 */
public class UserServlet extends HttpServlet
{
    protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException
    {
        doPost(request, response);
    }

    protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException
    {
        //1.设置request和response缓冲区字符集
        request.setCharacterEncoding("UTF-8");
        response.setCharacterEncoding("UTF-8");

        //2.获取用户表单提交的用户名和密码
        String userName = request.getParameter("username");
        String passWord = request.getParameter("password");

        //3.进行用户登录认证,理论上要查询数据库,这里模拟存在一个username=root,password=root,role=admin的用户
        if(userName != null && passWord != null && "root".equals(userName) && "root".equals(passWord))
        {
            HttpSession session = request.getSession();

            //4.认证成功,将用户信息存入session
            session.setAttribute("userName", userName);
            session.setAttribute("passWord", passWord);
            session.setAttribute("role", "admin");

            //5.重定向到index.jsp页面
            response.sendRedirect("/User/user_index.jsp");
        }
        else
        {
            //6.认证失败,去login.jsp页面登录
            response.sendRedirect("/login.jsp");
        }
    }
}

1.5 测试

  • 首先我们启动tomcat,直接在地址栏输入http://127.0.0.1:8080/Security_Filter/index.jsp发现自动跳转到登录页面

  • 我们使用username=root,password=root进行登录,发现可以访问到index.jsp

-无事小神仙-
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于JAVA安全电子商务-project
06-15
4. **身份验证与授权**:使用Java过滤器Filter实现用户登录验证,确保只有经过认证的用户才能访问特定资源。Spring Security框架可以简化权限控制,提供角色基础的访问控制(RBAC)。 5. **支付网关集成**:...
webservice 安全认证请求头信息
08-10
Web服务领域,WebService安全认证是确保数据传输安全的关键环节。标题“WebService安全认证请求头信息”直指问题的核心,即在调用WebService时,如何通过请求头来传递必要的安全凭证,以验证客户端的身份。这通常...
认证Filter实战
实践求真知
09-06 158
一定义认证Filter package lee; import javax.servlet.*; import javax.servlet.http.*; import javax.servlet.annotation.*; import java.io.*; @WebFilter(filterName="authority" , urlPatterns={"/*"} ...
Jwt加filter实现app认证
我的博客
07-19 690
导入jwt依赖 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.11.2</version> </dependency> token实体类 @Data public class TokenDto implements Serializable { /
SpringBootWeb案例3--登录认证--登录校验--过滤器Filter
最新发布
m0_59281987的博客
04-27 1091
/定义一个类,实现一个标准的Filter过滤器的接口@Override //初始化方法, 只调用一次System.out.println("init 初始化方法执行了");@Override //拦截到请求之后调用, 调用多次System.out.println("Demo 拦截到了请求...放行前逻辑");//放行@Override //销毁方法, 只调用一次System.out.println("destroy 销毁方法执行了");
Filter笔记(三)—登录验证
Synchro 明净翼 的博客
09-02 3475
经常会遇到这种情况:访问某个网站的时候弹出一个页面,提示你必须先登录才能访问资源。 使用Filter可以写出这种类似于登录验证的小功能 这个例子中,正确的用户名和密码是"123456"和"000000"。   先看Filter实现类的代码 package javaweb.web.filter; ​ import javax.servlet.*; import javax.servlet...
java web 使用Tomcatfilter写一个验证是否登录的功能
Tang的博客
07-18 309
使用Filter写一个验证登录功能 实现思路 首先我们要创建一个类继承Filter 之后去实现init(), doFilter(),destroy()三个方法 之后在doFilter中也就是执行过滤的方法中写入判断验证的功能,还需要区分拿一些 地址是不需要过滤的也需要过滤出去,最后对不满足条件的访问地址让它重定向指定 的位置。 package Work.Filter; import javax....
Filter用作安全登陆
make__It的博客
12-19 351
Filter用作安全登陆   上一篇文章写到用springmvc拦截器来做登陆验证(http://blog.csdn.net/make__it/article/details/78840576),但是它有不足的地方。 这篇用filter来做安全登陆,何为安全登陆,简单点说就是登陆之后才能访问页面,不登陆什么页面都访问不了。也可以看出springmvc的拦截器之拦截对controller的访问,
Java开发之spring security实现基于MongoDB的认证功能
08-28
Java开发中,Spring Security是一个强大的安全框架,用于处理应用程序的安全需求,如认证授权。在传统的JDBC环境中,Spring Security提供了内置的支持来处理基于数据库的用户认证。然而,随着NoSQL数据库的广泛...
天地一体化网络中基于令牌的安全高效漫游认证方案
01-14
针对天地一体化网络中卫星和地面实体通信链路时延长、不稳定的问题,提出一种基于令牌的两方漫游认证方案。...和已有的方案相比,该方案在保证漫游认证安全性同时,显著减少了认证和密钥协商过程的计算和通信开销。
搭建Springboot整合shiro安全框架+Redis+Swagger+Filter超详细
07-08
在本教程中,我们将深入探讨如何利用Spring Boot整合Shiro安全框架,以实现用户认证授权,同时结合Redis进行会话管理,以及使用Swagger为API提供文档化接口,最后通过Filter实现自定义的请求处理。以下是对这些...
利用filter实现安全登录
weixin_41113108的博客
03-18 182
说到安全登录,是很重要的。有时候用户没有进行登录,在地址栏里输入我们系统里某个页面地址仍旧可以进入,对我们来说是很不安全的,为此想到了安全登录,就是如果你不登录是不能够进入其他的页面的,只能停留在登录页面。首先想到的是利用springmvc自带的拦截器,但是我发现只能拦截到处理器的请求,在地址栏里输入一个地址这个拦截器根本检测不到(可能是版本的原因)。那就用我们的终极必杀器,过滤器,任何请求你都必...
使用filter,进行用户登陆验证。
u010074019的专栏
01-14 3193
过滤器Filter),在web项目中用来验证用户是否登陆,我个人感觉是非常适合的(前提是你不想使用security这种的安全认证框架)。 之前在网上看到了一些关于使用filter来进行登陆验证的文章,都不太全面,有的根本就是在误导开发者,故在此写下此文章,供初级开发者学习。 想实现登陆过滤,只需完成两个工作,一个是配置文件(web.xml),一个是filter实现类的业务逻辑。
一个简单的Filter安全级别与过滤器
杨鑫newlife的专栏
04-03 1244
/*  * 一个简单的Filter安全级别与过滤器  *这个代码的功能是使用Lucene的Filter对于规定级别的文档  *进行过滤,不予显示  *这里级别为0的就将被过滤掉  * */ package filter; import java.io.IOException; import java.util.BitSet; import org.apache.
使用filter过滤器实现登陆权限验证
流浪学习
08-06 1052
今天公司要做用户权限 用到的是jsp过滤器方面的知识,没有用过在网上找写相关的资料. 过滤的实现 调用链 所有过滤器都服从调用的过滤器链,并通过定义明确的接口得到执行。一个执行过滤器Java 类必须执行这一 javax.servlet.Filter 接口。这一接口含有三个过滤器必须执行的方法: doFilter(ServletRequest, ServletResponse,...
Spring Security 自定义拦截器Filter实现登录认证
qq_34898847的博客
11-16 6153
Spring Security 自定义拦截器Filter 实现登录认证
Filter的线程安全问题
qq_44638460的博客
01-26 989
6)Filter的线程安全问题: 和Servlet一样,为了提高性能,Filter也采取多线程模式。即:每一个线程来应答一个用户浏览器,而且这个线程和用户要访问 的目标Servlet的线程是同一个线程。说得更准确一点,当用户访问某个资源需要经过过滤器时,服务器中一个线程为了应答这个客户请求,先调用过滤器中 的doFilter方法,再根据是否有chain.doFilter的指令,决定是否调用目标资源...
shiro 认证filter 的原理
热门推荐
xiaoliuliu2050的专栏
02-08 1万+
正常情况下,如果我们只是简单的用户名,密码登录,则我们做认证 只要配置默认认证过滤器就好了, 如下: 1   配置文件配置登录认证 <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <property name="loginUrl" va
filter java
04-28
Filter是基于Java EE标准实现的规范,可以与任何Java Web框架一起使用。 FilterWeb开发中扮演了重要角色,可以对HTTP请求和响应进行过滤和定制,以达到安全、数据验证、字符编码、http压缩、性能优化、访问控制等...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值