为保证系统的安全性,我们通常情况下,在每一个页面都要检测用户是否已经登录或者登录是否已经过期,在以往的情况下,我们是对每个登录的页面进行Session验证,这样虽然达到了所必要的效果,但是复杂性大大增强,而且还很容易漏掉一些页面的验证。
在J2EE中,有了Filter这个强大的责任链模式,我们再也不用费脑费手费脚的一个个的写验证了,仅仅是写一个自动验证的AuthFilter类,再在配置文件里面配置一下就OK了。是不是很简单?不会吗?看下面的Code:
首先,我们创建一个AuthFilter类来实现Filter父类,在这里我们需要重写父类的DoFilter方法,来实现对用户登录的验证,看下面的代码:
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException {
//强制转换HttpServletRequest和HttpServletResponse对象,目的是获取Session对象和进行页面重定向
HttpServletRequest req=(HttpServletRequest)request;
HttpServletResponse resp=(HttpServletResponse)response;
String requestURI=req.getRequestURI().substring(req.getRequestURI().lastIndexOf("/", req.getRequestURI().length()));
//登陆页就不需要进行验证了
if(!"login.jsp".equals(requestURI)){
//括号里的false决定对象的创建权呢,可不要小看
HttpSession session=req.getSession(false);
if(req.getSession()==null||req.getAttribute("user_info")==null){
resp.sendRedirect(req.getContextPath()+"/login.jsp");
return;
}
}
//继续访问其他资源
chain.doFilter(req, resp);
}
<filter>
<filter-name>AuthFilter</filter-name>
<filter-class>com.cx.drp.util.filter.AuthFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>AuthFilter</filter-name>
<url-pattern>*.jsp</url-pattern>
</filter-mapping>
<filter-mapping>
<filter-name>AuthFilter</filter-name>
<url-pattern>/servlet/*</url-pattern>
</filter-mapping>
有了AuthFilter和web.XML,你是否就高枕无忧了呢?答案是FALSE!如果你的页面中含有验证码等内容,AuthFilter也会将验证码给过滤掉的,怎么去解决这个问题呢?
方法一,修改web.xml配置文件,将验证码放在其它的目录下,不要放到/servlet目录下。方法二,在AuthFilter中过滤掉就OK了,具体的代码,你懂的~~