《权限控制系列2》------防止用户跳过登录页面和Session时长问题

最新推荐文章于 2024-05-03 16:18:54 发布
最新推荐文章于 2024-05-03 16:18:54 发布
阅读量2.8k 收藏 2
点赞数 1
分类专栏: 1、JavaEE 文章标签: session 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhoukun1008/article/details/55060349
版权

前言

  1. 上一篇文章,小编主要介绍了Jquery的Ztree动态菜单的生成问题,这只是表面上控制住了用户的权限,相信任何AO系统都有登录页面,假如用户跳过登录页面直接访问系统的资源,岂不是很危险。下面小编继续介绍一下粗粒度的权限控制,利用Session判断用户是否登录。

需要解决的问题

  1. 每次请求都需要判断用户是否已经登录。
  2. 用户登录后Session信息不能永久在服务器上存着。

总体思路

存放session信息
  • 用户登录系统后,我们根据用户id查询用户所拥有的角色,再根据角色id查询用户所拥有的权限,我们将用户信息,角色信息、权限信息存到Session中去。
过滤请求
  • 添加一个全局的过滤器,拦截一些有必要的请求,每次请求都要从过滤器中拿出Session中的用户信息,判断用户是否已经登录,假如用户没有登录,我们就导航到登录页面,让用户重新登录。假如用户Session信息过期,我们也提醒用户重新登录。

存放Session信息代码

//将ElecUser对象放置到Session中
request.getSession().setAttribute("globle_user", elecUser);
//将Hashtable中存放的角色信息,放置到Session中
request.getSession().setAttribute("globle_role", ht);
//将权限的字符串(格式:aa@ab@ac@ad@ae)存放到Session中
request.getSession().setAttribute("globle_popedom", popedom);

过滤器代码

public class SystemUtils implements Filter {

    List<String> list = new ArrayList<String>();
    public void init(FilterConfig arg0) throws ServletException {
    //这些初始化页面,没有用户Session信息,需要放行
    list.add("/index.jsp");
    list.add("/system/elecMenuAction_menuHome.do");
    //5秒倒计时的页面
    list.add("/error.jsp");
    list.add("/system/elecMenuAction_logout.do");
}

public void doFilter(ServletRequest req, ServletResponse            res,FilterChain chain) throws IOException, ServletException {
    HttpServletRequest request = (HttpServletRequest) req;
    HttpServletResponse response = (HttpServletResponse) res;
    //获取访问servlet的路径
    String path=request.getServletPath();

    /**添加粗颗粒权限控制*/
    //没有Session需要放行的连接
    if(list.contains(path)){
        //放行
        chain.doFilter(request, response);
        return;
    }
    //判断Session是否存在
        ElecUser elecUser = (ElecUser)request.getSession().getAttribute("globle_user");
    //Session中存在数据,放行,指定对应的URL的页面
    if(elecUser!=null){
        //放行
        chain.doFilter(request, response);
        return;
    }
    //如果Session中不存在数据,重定向到error.jsp的页面上
    response.sendRedirect(request.getContextPath()+"/error.jsp");
  }
}
  • -

过滤器配置

<filter>
    <filter-name>SystemUtils</filter-name>
    <filter-class>com.dmsd.utils.SystemUtils</filter-class>
</filter>
<filter-mapping>
    <filter-name>SystemUtils</filter-name>
    <url-pattern>*.do</url-pattern>
    <url-pattern>*.jsp</url-pattern>
</filter-mapping>
  • 注意,小编用的有Struts2,一定将次过滤器的配置放到Struts核心过滤器的前面。

控制Session在服务器上的时间

在web.xml中添加配置,存在时间为10分钟。

<session-config>
        <session-timeout>10</session-timeout>
</session-config>

小结

  • 以上还是粗粒度的权限控制,假如某用猜出来了某个功能的地址,然后改用户在浏览器中直接访问,用户依然可以非法操控某些没有权限的页面,那么我们怎么防止用户这种行为操作那,怎样细粒度的操控权限哪?请看小编的下一篇博文。
周坤_66
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 14
    评论
专栏目录
使用session防止登录用户直接转到结果界面
utoceran的博客
12-30 841
用户第一次登录成功后,在session中存储相关信息,在FilterLogin中进行过滤,当判断结果一致,即可转到结果界面。
KODExplorer 芒果云-资源管理器
07-16
- install 检测 加入过,(只判断用到的函数) 加入多语言 - zip压缩没有权限 提示红色,false 统一查找 - 登录成功后 验证码输错清除 - 非root用户拖拽到文件夹问题 - 非root解压问题 不能解压 - list oexe ...
session 防止不登陆直接登陆到其他页面
feng250的博客
01-08 537
在JSP 页面上部加入
2024年网安最新ctfshow-WEB-web11( 利用session绕过登录验证)_ctfshow web11
最新发布
2401_84297796的博客
05-03 390
ctf.show WEB模块第11关用session中保存的密码进行登录验证, 将 session中保存的密码清空即可绕过页面中直接给了源码, 很明显是让我们进行代码审计, 源码中将我们输入的密码与 session中保存的密码进行匹配, 两个password相同即可登录成功。
jsp利用session记录登陆状态,保证用户的使用连贯性,并且防止登录用户绕过登陆页
伊宪勇的专栏
03-03 6555
继上篇博文进行改进,上篇博文只是利用标记传递值来防止登录用户绕过登陆页,尽管可以使用,但是有些影响了用户的使用连贯性,需要多次登陆。 今天采用另一种更好的办法达到了过滤器Filter的效果,并且只有当用户点击退出按钮或者session周期停止或者用户关闭浏览器,网站释放用户登录信息。
2021-2022计算机二级等级考试试题及答案No.1241.docx
10-26
19. break语句用于立即退出循环或switch语句,而continue语句则过当前循环剩余部分并继续下一轮循环。 20. BufferedReader类使用了缓冲区技术,以提高读取效率。 21. 局域网具有有限覆盖范围、高传输速率和易于...
PHP开发实战1200例(第1卷).(清华出版.潘凯华.刘中华).part2
06-14
实例060 控制登录用户权限 91 实例061 网页框架的制作 92 实例062 图片验证码 93 实例063 健康生活提醒 95 2.5 循环控制 96 实例064 员工生日列表 96 实例065 员工详细信息浏览 97 实例066 员工信息的批量删除 98 ...
PHP开发实战1200例(第1卷).(清华出版.潘凯华.刘中华).part1
06-14
实例060 控制登录用户权限 91 实例061 网页框架的制作 92 实例062 图片验证码 93 实例063 健康生活提醒 95 2.5 循环控制 96 实例064 员工生日列表 96 实例065 员工详细信息浏览 97 实例066 员工信息的批量删除 98 ...
jQuery基于ajax实现页面加载后检查用户登录状态的方法
10-20
主要介绍了jQuery基于ajax实现页面加载后检查用户登录状态的方法,结合实例形式较为详细分析了jQuery结合ajax进行表单登陆验证操作的具体步骤与相关操作技巧,需要的朋友可以参考下
java项目防止跨站访问防止越过登录直接访问
无道的博客
04-07 5054
java项目防止跨站访问防止越过登录直接访问
登录不同权限转不同页面
热门推荐
Java小白的博客
06-23 1万+
登录不同权限转不同页面
laravel使用中间件实现禁止未登录用户访问页面(转载至snow_small)
qq_26582901的博客
09-17 1222
1、生成中间件 [root@localhost MRedis]# php artisan make:middleware CheckLogin Middleware created successfully. 2、实现中间件,在app\http\middleware\CheckLogin.php public function handle($request, Closure $ne...
Android WebView 与登录状态保持一致,建立SESSION会话
yaochangliang的博客
01-19 1万+
在登陆界面获取验证码的候:new Thread(){ @Override public void run() { try { SharedPreferences spf = getSharedPreferences("Cookie", Context.MODE_PRIVATE);
松下PBX电话系统用户指南:KX-TDE系列功能详解
5. **用户界面和图形化操作**:用户可以透过直观的图形用户界面(GUI)进行操作,如 zg Himalaya ᳝和个人电脑(PC)的交互,以及与PC上的CA软件的连接,例如CA Call Accounting 功能。 6. **兼容性和兼容性选项**...
评论 14
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值