web.xml安全性认证优先过滤器执行导致的一个问题

最新推荐文章于 2022-12-02 15:00:19 发布
最新推荐文章于 2022-12-02 15:00:19 发布
阅读量123 收藏
点赞数
分类专栏: 技术总结 文章标签: security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012388656/article/details/84217816
版权
采用非安全认证对失去session后的处理方式是,在过滤器中设置 

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import org.apache.commons.logging.Log;
import org.apache.commons.logging.LogFactory;

import cn.com.newglobe.ibatis.model.Userinfo;


public class AuthFilter implements Filter {
	private static Log log = LogFactory.getLog(AuthFilter.class);

	public void init(FilterConfig filterConfig) throws ServletException {
		if (log.isDebugEnabled()) {
			log.debug("初始化权限过滤器。");
		}
	}

	public void doFilter(ServletRequest servletRequest,
			ServletResponse servletResponse, FilterChain filterChain)
			throws IOException, ServletException {
		System.out.println("初始化登录");
		/**
		 * 1,doFilter方法的第一个参数为ServletRequest对象。此对象给过滤器提供了对进入的信息(包括
		 * 表单数据、cookie和HTTP请求头)的完全访问。第二个参数为ServletResponse,通常在简单的过
		 * 滤器中忽略此参数。最后一个参数为FilterChain,此参数用来调用servlet或JSP页。
		 */
		HttpServletRequest request = (HttpServletRequest) servletRequest;
		/**
		 * 如果处理HTTP请求,并且需要访问诸如getHeader或getCookies等在ServletRequest中
		 * 无法得到的方法,就要把此request对象构造成HttpServletRequest
		 */
		HttpServletResponse response = (HttpServletResponse) servletResponse;
		response.setHeader("Pragma","No-cache");  
		response.setHeader("Cache-Control","no-cache");  
		response.setHeader("Cache-Control", "no-store");  
		response.setDateHeader("Expires",0);
		String currentURL = request.getRequestURI(); // 取得根目录所对应的绝对路径:
		HttpSession session = request.getSession();

		// 如果jsp就验证(login.jsp除外)

		if ((!currentURL.contains("/logon.jsp"))
				&& (!currentURL.contains("/logon/"))
				&& (!currentURL.contains("/forword.action"))
				&& (!currentURL.contains("/images/"))
				&& (!currentURL.contains("/CSS/"))
				&& (!currentURL.contains("/service/ledService"))
				&& (!currentURL.contains("/codeMaker"))) {
			if (log.isDebugEnabled()) {
				log.debug("对jsp文件进行权限验证。" + "请求的URL:" + currentURL);
			}
			//验证Session是否过期
//			if(request.isRequestedSessionIdValid()){
//			//session过期,转向session过期提示页,最终跳转至登录页面
//				response.sendRedirect(request.getContextPath() + "/logon/logOut.action");
//			return ;
//			}
			// 判断当前页是否是重定向以后的登录页面页面,如果是就不做session的判断,防止出现死循环
			 Userinfo user=(Userinfo) session.getAttribute("user");
			if (user == null) {
				response.sendRedirect(request.getContextPath() + "/logon/logOut.action");
				return;
			}
			// else {
			// Userinfo user=(Userinfo) session.getAttribute("user");
			// request.getSession().setAttribute("user",user);
			//                
			// }

		}
		// 加入filter链继续向下执行
		filterChain.doFilter(request, response);
		/**
		 * 调用FilterChain对象的doFilter方法。Filter接口的doFilter方法取一个FilterChain对象作 为它
		 * 的一个参数。在调用此对象的doFilter方法时,激活下一个相关的过滤器。如果没有另
		 * 一个过滤器与servlet或JSP页面关联,则servlet或JSP页面被激活。
		 */
	}

	public void destroy() {
	}

}

然而采用了安全认证,导致第一步会进行安全认证,web.xml会让失去session或者本身就没有session的用户的界面跳转到登陆界面login.jsp,可是地址栏上的URL却岿然不动,如果不做处理的话将会直接执行你输入的那个url的action,本想着在提交表单的时候操作那个url,不过安全认证让你无从下手,因为 
<form name="loginform" method="post" action="j_security_check">

<INPUT name="j_username" type="text">

<INPUT name="j_password" TYPE="password">

<input type="submit" value="登 录" >

</form>


这个安全认证的提交表单的方式让我止步,也许您还可以试试是否可以去看看 
 javax.security.auth.Subject;
javax.security.auth.callback.Callback;
javax.security.auth.callback.CallbackHandler;
javax.security.auth.callback.NameCallback;
javax.security.auth.callback.PasswordCallback;
javax.security.auth.login.FailedLoginException;
javax.security.auth.login.LoginException;
javax.security.auth.spi.LoginModule;

这个几个类的源代码,不过那却是非常痛苦的事了,苦思冥想,经一哥们指点,这个问题变得如此的简单,没有session后,页面跳转到了login.jsp,但是url却还在你输入的url中,故此 
var firstHref=window.location.href;
if(firstHref.indexOf('HbEip/login/login.jsp')==-1)
{
	window.location.href="<%=request.getContextPath()%>/login/login.jsp"
}

只需判断url是不是你登陆的login.jsp,不然的话就跳转了,得到这一解答后,汗了一大把,想到了要从过滤器修改,想过查看安全认证源码,肿么就没想到在jsp上直接跳转呢。学习了一把。
yysmid2
关注
专栏目录
【漏洞挖掘】——62、WEB-INF/web.xml 泄露
Fly_鹏程万里
10-20 1810
WEB-INF/web.xml信息泄露是一种常见的安全问题,通常发生在Web应用程序未被正确配置或管理的情况下,攻击者可以通过暴力破解或者其他手段访问WEB-INF目录下的web.xml文件从而获得Web应用程序的配置信息,例如:安全配置、数据库连接信息、API密钥等。
Web后端开发-使用Filter过滤器技术,实现访问量统计-方法二使用web.xml配置的方式
04-11
本篇文章将详细讲解如何通过使用`web.xml`配置文件来实现Filter过滤器,以实现对网站访问量的统计。这种方法是Java Web应用中的经典实践,适用于传统的基于Servlet的项目。 首先,我们需要了解Filter的基本概念。...
谨防JBuilder擅自修改web.xml导致应用错误
Rhett的专栏
11-02 1429
总结近来经验教训,Jbuilder X在应用中(以下发现的两个问题都与Struts相关),JBuilder会失常自动侦测检查web.xml,发现自己认为不妥的地方甚至会自动篡改,以致使ok的project无法正常运行。1.自动删除struts action servlet到encoding的映射。开发中文系统的朋友一般都通过web.xml对action这个servlet进行encoding,分
web.xmlsecurity-constraint安全认证标签说明
u012045045的博客
01-23 1万+
在做web项目时由于想给webRoot下的jsp文件进行安全保护,控制不允许直接对jsp的访问,于是找到了tomcat的安全认证机制,只需要在web.xml中进行一定的配置即可,非常方便。 1.因为使用了SpringMVC,这里先给出SpringMVC配置文件中的视图解析器配置 &lt;bean class="org.springframework.web.servlet.view.Inte...
java-web-Filter-登录验证之筛选器使用实例
草青工作室 的专栏
05-02 2042
java-web-Filter-登录验证之筛选器使用实例 一、简介: Filter也称之为过滤器,它是Servlet技术中最实用的技术,Web开发人员通过Filter技术,对web服务器管理的所有web资源:例如Jsp, Servlet, 静态图片文件或静态 html 文件等进行拦截,从而实现一些特殊的功能。例如实现URL级别的权限访问控制、过滤敏感词汇、压缩响应信息等一些高级功能。
web.xml文件中filter配置详解
热门推荐
MisshqZzz的博客
07-31 3万+
从J2EE1.3开始,Servlet2.3规范中加入了对过滤器的支持,过滤器能够对目标资源的请求和相应进行截取。过滤器的工作方式分为4种:request过滤器,include过滤器,forward过滤器,error过滤器过滤器的工作分为等我弄懂了再说。我们先说说Java如何处理filter请求public class AuthorityFilter implements Filter { //
JavaWeb web.xml配置详解
Record_Algorithm
12-02 2万+
=""=""=""=""
web.xml配置详解
m0_56921622的博客
01-28 6208
web.xml配置 获取配置文件中的参数 servlet import javax.servlet.ServletConfig; public void init(ServletConfig config) throws ServletException { super.init(config); // 利用ServletConfig的getInitParameter来获取参数 String testName = config.getInitParameter("testName");
详解Spring mvc的web.xml配置说明
08-31
例如,`org.springframework.web.filter.CharacterEncodingFilter`是一个预设的过滤器,用于确保请求和响应的字符编码一致。我们可以在`filter-mapping`标签中指定哪些URL应该经过此过滤器。 3. **处理请求...
jsp 从web.xml读取连接数据库的参数
10-29
`web.xml`是Java Web应用的核心配置文件,用于定义Web应用的各种配置信息,如Servlet映射、过滤器、监听器以及上下文参数等。通过`<context-param>`标签,可以定义一系列键值对形式的上下文参数,这些参数可以在整个...
web.xml中引入其他xml配置文件的步骤
12-28
例如,在示例中提到的`test.xml`包含了过滤器(`filter`)的相关配置: ```xml <filter-name>CasValidationFilter <filter-class>org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter ...
Struts2.5版本struts.xml与web.xml配置的更改方法
08-26
web.xml中的核心过滤器修改** 在Struts2.5版本中,核心过滤器的全类名发生了变化。原来的过滤器类名为`org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter`,但在2.5版本中,去掉了`ng`,新...
web.xml中配置如何配置登录过滤器
平小洁的博客
07-04 6419
1.web.xml配置 <filter> <filter-name>login_filter</filter-name> <filter-class> cn.com.trueway.sys.filter.LoginFilter </filter-class> <init-par...
jwt配合拦截器做安全验证-使用xml配置文件
qq_33517683的博客
11-15 786
一个项目,用到了jwt验证,使用拦截器拦截验证,为日后方便,决定将不需要拦截的路径写到xml文件中。     文件格式如下: 不需要拦截的url 城市 /city/cityByProvince /city/cityName /city/citys 区域 /district/cityByProvince /district/district
民族地区高校公共管理硕士社会保障课程教学问题研究.pdf
最新发布
10-12
民族地区高校公共管理硕士社会保障课程教学问题研究
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值