Servlet过滤器使用实例(防止用户恶意登录)

最新推荐文章于 2022-05-06 20:41:46 发布
最新推荐文章于 2022-05-06 20:41:46 发布
阅读量2.2k 收藏 25
点赞数 6
分类专栏: JAVA 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45675449/article/details/110958954
版权

正常情况下,我们要请求一个网站内的不同资源文件时,需要我们先登录,然后才能执行部分权限,比如我们模拟要查询一个网站内的所有商品信息,步骤是先登录,登录成功后进入主页,然后查询相关信息,如下图

在这里插入图片描述
但是,我们也会遇到恶意登录的情况,就是跳过登录这一步,直接从地址栏中访问网站内的资源,如下图

在这里插入图片描述
在这里插入图片描述
虽然访问成功是概率性的,但是也是有这个可能的,既然有可能发生,那么对我们网站的安全就有很大的威胁,所以,我们可以使用过滤器来避免这种情况的发生

过滤器可以在用户通过浏览器向服务器发送请求时,将浏览器发送的请求进行拦截,过滤器也就相当于是浏览器和服务器之间传送信息的使者,信息传送的成功与否完全取决于它,我们可以在过滤器中定义规则来控制浏览器的请求是否可以发送至服务器,如果浏览器发送的请求满足我们定义的规则,我们可以将浏览器请求返回给服务器,这样就可以在服务器完成用户的请求,如果浏览器的请求不满足我们定义的规则,我们可以选择不将浏览器的请求返回给服务器,直接在过滤器中进行处理

实现思路:针对我们上述遇到的问题,我们首先要区分正常登录用户和恶意登录用户,当正常登录用户成功登录后我们可以为用户创建session对象,然后我们可以在过滤器中定义规则来判断该用户的session是否为空,如果不为空,说明该用户登录成功,我们可以将用户的请求返回给服务器,使用户成功访问到网站内的资源,如果为空,说明该用户没有登录或者登录失败,这时我们可以在过滤器中拦截该用户访问网站内其他资源的请求,然后将该请求重定向到其他网页或输出语句来提示用户

改进效果

在这里插入图片描述
在这里插入图片描述

代码部分

项目结构

其中LoginFilter.java是过滤器接口的实现类,我们在此类中定义请求拦截规则

在这里插入图片描述
LoginDao.java部分

package dao;

import java.sql.*;

import util.SqlServerConnection;
public class LoginDao {
	private Connection conn = null;
	private PreparedStatement pst = null;
	private ResultSet rst = null;
	
	public boolean login(String name,String password) {
		boolean result = false;
		try {
			conn = SqlServerConnection.sql_connection();
			pst = conn.prepareStatement("select * from tb_user where username=? and password=?");
			pst.setString(1, name);
			pst.setString(2, password);
			rst = pst.executeQuery();
			if (rst.next()) {
				result = true;
			}
		} catch (SQLException e) {
			// TODO Auto-generated catch block
			e.printStackTrace();
		}finally {
			SqlServerConnection.unconnect(rst, pst, conn);
		}
		return result;
	}
}

LoginFilter.java部分

package filter;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

public class LoginFilter implements Filter {

	@Override
	public void doFilter(ServletRequest arg0, ServletResponse arg1, FilterChain chain)
			throws IOException, ServletException {
		// TODO Auto-generated method stub
		HttpServletRequest request = (HttpServletRequest) arg0;
		HttpServletResponse response = (HttpServletResponse) arg1;
		
//		在网站中获取session对象,如果没有则返回null
		HttpSession session = request.getSession(false);
		
//		获取请求地址uri
		String uri = request.getRequestURI();
		
//		当访问login.html文件时获取到的URI为 /WebTest5/,允许带有‘Login’关键字的请求通过
		if (uri.equals("/WebTest5/") || uri.indexOf("Login") != -1) {
			chain.doFilter(arg0, arg1);
			return;
		}
//		允许访问登录失败页面
		if (uri.indexOf("error") != -1) {
			chain.doFilter(arg0, arg1);
			return;
		}
//		如果session不为空,表明该用户为正常登录用户且成功登录,允许用户请求通过
		if (session != null) {
			chain.doFilter(arg0, arg1);
			return;
		}
//		如果session为空,表明该用户不是正常登录用户或登录失败,将请求重定向到登录失败页面
		if (session == null) {
			response.sendRedirect("error.html");
			return;
		}
	}

}

AllInfo.java部分

package servlet;

import java.io.IOException;
import java.io.PrintWriter;
import java.sql.*;

import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import util.SqlServerConnection;

@WebServlet("/AllInfo")
public class AllInfo extends HttpServlet {
	private static final long serialVersionUID = 1L;
       
    public AllInfo() {
        super();
        // TODO Auto-generated constructor stub
    }

	protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
		response.setContentType("text/html;charset=utf-8");
		PrintWriter out = response.getWriter();
		PreparedStatement pst = null;
		Connection conn = null;
		ResultSet rst = null;
		String output = "<tr><td>%s</td><td>%s</td><td>%s</td><td>%s</td><td>%s</td><td>%s</td><td>%s</td><td>%s</td></tr>";
		try {
			out.print("<center>");
			out.print("<table border='1'>");
			conn = SqlServerConnection.sql_connection();
			pst = conn.prepareStatement("select * from Product");
			rst = pst.executeQuery();
			while (rst.next()) {
				String a = rst.getString("p_type");
				String b = rst.getString("p_id");
				String c = rst.getString("p_name");
				String d = rst.getString("p_price");
				String e = rst.getString("p_quantity");
				String f = rst.getString("p_image");
				String g = rst.getString("p_description");
				String h = rst.getString("p_time");
				out.print(String.format(output, a,b,c,d,e,f,g,h));
			}
			out.print("</table>");
			out.print("</center>");
		} catch (SQLException e) {
			// TODO Auto-generated catch block
			e.printStackTrace();
		}
	}


}

LoginServlet.java部分

package servlet;

import java.io.IOException;
import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

import dao.LoginDao;

@WebServlet("/LoginServlet")
public class LoginServlet extends HttpServlet {
	private static final long serialVersionUID = 1L;
       
    public LoginServlet() {
        super();
        // TODO Auto-generated constructor stub
    }


	protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
		request.setCharacterEncoding("utf-8");
		response.setContentType("text/html;charset=utf-8");
		String name = request.getParameter("name");
		String password = request.getParameter("password");
		LoginDao loginDao = new LoginDao();
		boolean result = loginDao.login(name, password);
		if (result == true) {
//			当用户成功登录后,为用户创建session对象
			HttpSession session = request.getSession();
			response.sendRedirect("success.html");
		}else {
//			当用户登录失败,直接跳转到登录失败页面
			response.sendRedirect("error.html");
		}
	}

}

SqlServerConnection.java部分

package util;

import java.sql.*;

public class SqlServerConnection {
	static Connection conn;
	static String drive = "com.microsoft.sqlserver.jdbc.SQLServerDriver";
	static String url = "jdbc:sqlserver://localhost:1433;DatabaseName=ShopSystem";
	static String username = "sa";
	static String password = "sa";
	
	public static Connection sql_connection() {
		try {
//		注册驱动
			Class.forName(drive);
		} catch (ClassNotFoundException e) {
			// TODO Auto-generated catch block
			e.printStackTrace();
		}
		
		try {
//			创建连接对象
			conn = DriverManager.getConnection(url,username,password);
		} catch (SQLException e) {
			// TODO Auto-generated catch block
			e.printStackTrace();
			System.out.println("连接失败");
		}
		return conn;
	}

	public static void unconnect(ResultSet rst,PreparedStatement pst,Connection conn) {
		if (rst != null) {
			try {
				rst.close();
			} catch (SQLException e) {
				// TODO Auto-generated catch block
				e.printStackTrace();
			}
		}
		if (pst != null) {
			try {
				pst.close();
			} catch (SQLException e) {
				// TODO Auto-generated catch block
				e.printStackTrace();
			}
		}
		if (conn != null) {
			try {
				conn.close();
			} catch (SQLException e) {
				// TODO Auto-generated catch block
				e.printStackTrace();
			}
		}
	}

}

web.xml部分

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/javaee" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_4_0.xsd" id="WebApp_ID" version="4.0">
  <display-name>WebTest5</display-name>
  <welcome-file-list>
    <welcome-file>login.html</welcome-file>
    <welcome-file>index.html</welcome-file>
    <welcome-file>index.htm</welcome-file>
    <welcome-file>index.jsp</welcome-file>
    <welcome-file>default.html</welcome-file>
    <welcome-file>default.htm</welcome-file>
    <welcome-file>default.jsp</welcome-file>
  </welcome-file-list>
  <filter>
  <!-- 过滤器名称 可以随便定义 -->
	<filter-name>logfilter</filter-name>
	<!-- 过滤器url 格式为: 包名.类名 -->
	<filter-class>filter.LoginFilter</filter-class>
  </filter>
  <filter-mapping>
  <!-- 过滤器名称 要和上面相同 -->
	<filter-name>logfilter</filter-name>
	<!-- 请求哪个资源文件时调用过滤器  /* 代表网站内所有资源文件 -->
	<url-pattern>/*</url-pattern> 
  </filter-mapping>
</web-app>

error.html部分

<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title>Insert title here</title>
</head>
<body>
<center>
	<h1 style="color:red">登录失败,请重新登录</h1>
	<form action="LoginServlet" method="post">
		用户名:<input type="text" name="name"><br/>&nbsp;&nbsp;&nbsp;码:<input type="password" name="password"><br/>
		<input type="submit"><br/>
	</form>
</center>
</body>
</html>

login.html部分

<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title>Insert title here</title>
</head>
<body>
<center>
	<form action="LoginServlet" method="post">
		用户名:<input type="text" name="name"><br/>&nbsp;&nbsp;&nbsp;码:<input type="password" name="password"><br/>
		<input type="submit"><br/>
	</form>
</center>
</body>
</html>

success.html部分

<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title>Insert title here</title>
</head>
<body>
<center>
	<h1 style="color:green">登录成功</h1>
	<a href="AllInfo">查看所有商品</a>
</center>
</body>
</html>
SmallSweets
关注
  • 6
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Servlet过滤器示例及分析----日志过滤器
AzureL
08-07 620
该例子有一个简单的过滤器,用于在一个文本中记录请求URL。 按照规范,过滤器累的名称必须以Filter结束。@WebFilter(filterName="LoggingFilter",urlPatterns="/*", initParams={ @WebInitParam(name="logFileName",value="log.txt"),
Servlet过滤器实例
08-06
实例的目标是设计并实现一个简单的Servlet过滤器,用于检查用户登录状态。具体来说,当用户通过正常的登录流程进入系统后,服务器会在用户的会话(Session)中存储一个表示已登录用户的对象(命名为"user")。...
3 种保护您的网站免受恶意攻击的方法
Bluehost_China的博客
05-06 611
3 种保护您的网站免受恶意攻击的方法
servlet过滤器实例经典过滤器
11-05
servlet过滤器实例经典过滤器,手把手交你配置过滤器,五大常用过滤器源码,走过路过的同事们注意了!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
java Filter过滤器
fanzhongyun的专栏
10-30 137
[color=gray] 过滤器是能够对目标资源的请求和响应进行截取的。 举个例子来说,比如现在有一个目标资源,这个目标资源正好是要被一个过滤器过滤的。那么当你访问这个目标资源的时候,这个过滤器将会截取你的这个请求并交给这个过滤器的实现类来做一些逻辑或业务的处理。 [/color] 有过一点WEB开发的人员都知道,若在jsp上提交带中文参数的请求之后,这个参数到达服务端再直接取出来的时...
servlet 过滤器 基本小 例子
zs博客
09-12 439
web.xml  里面的文件需要加入            filerTest       testservlet.FilerTest                filerTest        /servletTest          /servletTest  需要哪些方法 那些页面 等需要走这个filter     用逗号隔开 如  /servletTes
servlet过滤器简单示例
程柯梦想
11-02 379
servlet过滤器的执行顺序 在一个大型项目中往往有多个servlet过滤器,但是这些servlet过滤器的执行顺序是怎样的呢? 请看一下例子: 创建两个简单的servlet文件 package filter; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.Filter
JSP过滤器防止Xss漏洞的实现方法(分享)
10-19
首先,我们来理解Servlet过滤器的工作原理。Servlet过滤器Java Servlet API的一部分,它们允许开发者在HTTP请求到达Servlet之前或之后拦截并处理请求。通过实现`javax.servlet.Filter`接口,我们可以创建自定义的...
servlet四个有用的过滤器
09-16
### 二、四个有用的Servlet过滤器实例 #### 1. **中文转码过滤器** 虽然在给定的部分内容中没有直接提供中文转码过滤器的具体代码实现,但我们可以大致推断其功能。该过滤器主要用于处理中文字符的编码问题,确保...
Servlet过滤器
07-28
本篇文章将深入探讨Servlet过滤器使用,包括验证非法文字、验证登录以及统一编码等实例。 首先,我们来理解Servlet过滤器的基本工作原理。根据Java Servlet规范,过滤器通过实现`javax.servlet.Filter`接口来创建...
servlet 过滤器做的简单登陆demo
07-12
servlet 过滤器做的简单登陆demo 初学者的简单例子。
filter过滤器防止恶意注入
07-19
简单过滤器防止恶意攻击 java中的用法
过滤器 java servlet
10-08
- **权限控制**:通过过滤器实现登录检查,未登录用户访问特定页面时,可以重定向到登录页面。 - **日志记录**:记录HTTP请求的详细信息,帮助调试和分析系统行为。 - **性能监控**:统计请求处理时间和资源消耗,...
Servlet过滤器案例-自动登录
Dream_Mr.wang的专栏
12-05 4621
使用过滤器实现自动登录 登录的jsp页面 My JSP 'login.jsp' starting page 用户名: 密码: 有效期:1小时 10分钟 2分钟 处理登录请求的servlet pa
常用Servlet过滤器用例
q503385724的博客
12-31 298
解决POST请求参数中文和输出中文的乱码过滤器 过滤器代码 package com.study.java.filter; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import ja...
Servlet过滤器,监听器入门案例
opt1997的博客
03-19 301
简介:梳理一下基础知识点的入门案例,具体的详解可以看相应链接中的文章。 目录 web项目基本结构 Servlet入门案例 过滤器 监听器 1.web项目基本结构 web项目新建后,有一个src目录,是专门用来存Java文件的。 此外还要一个web目录(或webapp或WebContent),里面有一个MATA-INF文件夹,该文件夹用来存放一些项目相关的元数据(用来描述数据的数据)。除此之外,...
servlet_12 过滤器实例
BeyondLCG的博客
01-18 366
Servlet可以动态地拦截请求和响应,以变换或修改请求或响应中的信息。 可以将一个或多个Servlet过滤器添加到一个或一组Servlet,调用Servlet前会先调用所有的Servlet过滤器Servlet过滤器是用于Servlet编程的java类,作用: 1.在客户端的请求访问后端资源前,会拦截这些请求 2.在服务器响应返回客户端前,拦截这些响应 Servlet通过web部署描
Servlet中通过拦截器实现用户自动登录
weixin_30834783的博客
05-17 546
  智商不够,努力来凑,第一次写博客,总结下这几天学习的用户记住用户名和自动登录的知识。   自动登录是基于servlet中的过滤器实现的,主要的流程就是用户在前端输入请求之后,servlet的拦截器会拦截所有的请求(看设置,这里设置的是/* 即为拦截所有的请求),当拦截器拦截拦截到请求的过程中,进行校验,如果用户勾选了自动登录按钮,则浏览器的cookie中查找放入cookie的用户信息,获取到...
Servlet过滤器简介与案例
上进的小仓鼠
02-05 602
Servlet过滤器过滤器概念过滤器作用过滤器的配置方式web.xml配置及各节点说明注解配置多个过滤器的执行顺序与原理图过滤器方法1、public void init(FilterConfig filterConfig)2、public void doFilter (ServletRequest, ServletResponse, FilterChain)3、public void destroy()过滤器案例 过滤器概念       &nbsp
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值