利用过滤器禁止未登录的用户访问网站

最新推荐文章于 2023-01-25 18:18:01 发布
最新推荐文章于 2023-01-25 18:18:01 发布
阅读量1.2k 收藏 3
点赞数
分类专栏: java 文章标签: javaweb filter 非法登
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jlj_cs/article/details/44671505
版权

为了安全考虑,最近写的一个项目需要加一个限制,禁止未登录的用户访问网站,想到了用过滤器

第一版:

public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
		
		HttpServletRequest req = (HttpServletRequest) request;
		HttpServletResponse res = (HttpServletResponse) response;

		
		String requestURI = req.getRequestURI().substring(
				req.getRequestURI().lastIndexOf("/"),
				req.getRequestURI().length());
     
		// 如果第一次请求不为登录页面,则进行检查用session内容,如果为登录页面就不去检查.
		if (!"/login.html".equals(requestURI)
				&& !"/LoginServlet".equals(requestURI)) {
			// 取得session. 如果没有session则自动会创建一个,
			// 我们用false表示没有取得到session则设置为session为空.
			HttpSession session = req.getSession(false);
			// 如果session中没有任何东西.
			if (session == null || session.getAttribute("user") == null) {
				res.sendRedirect(req.getContextPath() + "/login.html");
				// 返回
				return;
			}

		}
		// session中的内容等于登录页面, 则可以继续访问其他区资源.
		chain.doFilter(req, res);

	}

结果登录页面的背景图片和验证码(图片)显示不出来,没有考虑首页需要访问其他资源。

第二版:

public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
		
		HttpServletRequest req = (HttpServletRequest) request;
		HttpServletResponse res = (HttpServletResponse) response;

		
		String requestURI = req.getRequestURI().substring(
				req.getRequestURI().lastIndexOf("/"),
				req.getRequestURI().length());
	       //得到session,如果没有,返回null 
               HttpSession session = req.getSession(false);
     
		if (session == null || session.getAttribute("user") == null) {
                 //如果请求的是图片,不做处理
		 if (requestURI.indexOf(".jpg") > 0 || requestURI.indexOf(".bmp") > 0
			     || requestURI.indexOf(".gif") > 0
			     || requestURI.indexOf(".img") > 0
			     || requestURI.equals("/GetAuthCodeServlet")) {
			    chain.doFilter(req, res);
			   }else if(!"/login.html".equals(requestURI)
						&& !"/LoginServlet".equals(requestURI)){
				   res.sendRedirect(req.getContextPath() + "/login.html");
					
					return;
			   }
		   }

		
		// session中的内容等于登录页面, 则可以继续访问其他区资源.
		chain.doFilter(req, res);

	}
登录时,总是验证码校验错误,后台打印一下发现所有资源访问了两遍,页面上显示的还是第一次生成的验证码,而判断是用第二次生成的验证码。
第三版:
public void doFilter(ServletRequest request, ServletResponse response,
   FilterChain chain) throws IOException, ServletException {
  
  HttpServletRequest req = (HttpServletRequest) request;
  HttpServletResponse res = (HttpServletResponse) response;
  
  String requestURI = req.getRequestURI().substring(
    req.getRequestURI().lastIndexOf("/"),
    req.getRequestURI().length());
        //得到session,如果没有,返回null 
               HttpSession session = req.getSession(false);
          
  if (session == null || session.getAttribute("user") == null) {
                 //如果session为空且请求的不是登陆页面资源,跳到登陆页面
    if(!"/login.html".equals(requestURI)
      && !"/LoginServlet".equals(requestURI)
      && !"/GetAuthCodeServlet".equals(requestURI)
      && !"/login.gif".equals(requestURI)
      && !"/login_bg.jpg".equals(requestURI)){
       res.sendRedirect(req.getContextPath() + "/login.html");
       return;
      }
     }
  // session中的内容等于登录页面, 则可以继续访问其他区资源.
  chain.doFilter(req, res);
 }
访问正常。


配置web.xml
<pre class="html" name="code"><filter> 
     <filter-name>LoginFilter</filter-name> 
     <filter-class>com.csr.filter.LoginFilter</filter-class> 
 </filter> 
 <filter-mapping> 
     <filter-name>LoginFilter</filter-name> 
     <url-pattern>/*</url-pattern> 
 </filter-mapping> 


 

 


 

                

        

        

    




    

      

        

            

              
                
                  JJ886600
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    3
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
servlet+jsp实现过滤器,防止用户登录访问

				
			

			

				

					沉默的鲨鱼的专栏
				

				

					05-05
					
					6万+
					
				

			

		

		

			
				
我们可能经常会用到这一功能,比如有时,我们不希望用户没有进行登录访问后台的操作页面,而且这样的非法访问会让系统极为的不安全,所以我们常常需要进行登录才授权访问其它页面,否则只会出现登录页面,当然我的思路:
一种是在jsp页面进行session的判断,如果不存在该用户的session,就跳转到登录页面,否则执行jsp页面代码,但是你会发现这样做逻辑也简单,但是非常麻烦,如果有很多个jsp,那么就要

			
		

	



                

              
                



	

		

			

				
					
过滤器Filter拦截登录用户访问请求

				
			

			

				

					弦断的马丁的博客
				

				

					03-21
					
					1300
					
				

			

		

		

			
				
1、代码


public class LoginFilter implements Filter {
    public void init(FilterConfig config) throws ServletException {
    }

    public void destroy() {
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, Filte

			
		

	



                


  
              

                


	

		

			

				
					
如何用过滤器拦截登录直接访问资源页面

				
			

			

				

					xiaozhuzhuyang的博客
				

				

					01-28
					
					1623
					
				

			

		

		

			
				
如何用cookie和过滤器拦截登录直接访问资源页面



			
		

	





	

		

			

				
					
jsp实现网站浏览过滤器(没有登录就不能访问其他网页)

				
			

			

				

					LCreator的博客
				

				

					01-02
					
					2067
					
				

			

		

		

			
				
在我们制作一个网站项目,或是一个系统的时候,假如我们没有对这个系统做一些过滤的时候,我们只要记住这个网站里面的一些服务的网址,直接在浏览器里面输入这个网址就能访问这个访问了,那么登录功能还有什么用呢???还有的是有些服务可能要vip才能用的,没有一些浏览的过滤。没有登录访问网站其他页面,网站的服务,网站系统就会很乱,很不安全。大家都能进,不合逻辑。


在jsp解决这个问题,用sessio

			
		

	



		

			
		



	

		

			

				
					
过滤器实现对登录用户访问JSP页面,进行控制。

				
			

			

				

					u011266252的博客
				

				

					08-06
					
					2810
					
				

			

		

		

			
				
package filter;


import java.io.IOException;
import java.io.PrintWriter;


import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.ser

			
		

	





	

		

			

				
					
如何通过过滤器来实现没有登录则无法访问

				
			

			

				

					有机盐的博客
				

				

					07-26
					
					405
					
				

			

		

		

			
				
首先在web.xml文件中加入
<!-- 过滤器 -->
  <filter>
    <filter-name>loginfilter</filter-name>
    <filter-class>com.organicsalt.filter.LoginFilter</filter-class>
  </filter>

  <filter-mapping>
    <filter-name>lo

			
		

	





	

		

			

				
					
详解JavaEE使用过滤器实现登录(用户自动登录 安全登录 取消自动登录用户禁止登录)

				
			

			

				

					09-02
				

			

		

		

			
				
下面我们将详细探讨如何利用过滤器实现这些功能。  首先,自动登录通常涉及到cookie和session的使用。当用户登录成功后,系统可以将用户名和加密后的密码(或者某种认证标识)存储在cookie中,这样在用户下次访问时...

			
		

	





	

		

			

				
					
JSP使用过滤器防止Xss漏洞

				
			

			

				

					10-17
				

			

		

		

			
				
我们可以利用这个特性,创建一个自定义的过滤器类,如`XssFilter`,它继承自`javax.servlet.Filter`接口,并实现其`doFilter()`方法。在这个方法里,我们将请求包装成一个特殊的`HttpServletRequest`子类,例如`...

			
		

	





	

		

			

				
					
url重写和禁止某个用户访问(jsp)

				
			

			

				

					09-12
				

			

		

		

			
				
在JSP中,我们可以通过Session对象来跟踪已登录用户,一旦发现某个用户需要被限制,我们可以在Filter中检查Session状态,如果该用户被标记为禁止访问,则返回403 Forbidden错误。  封杀用户可能基于多种原因,比如...

			
		

	





	

		

			

				
					
java禁止直接url访问图片

				
			

			

				

					04-30
				

			

		

		

			
				
综上所述,Java禁止直接URL访问图片涉及多个方面,包括Web服务器配置、Java Servlet、权限验证、过滤器、防盗链技术以及CDN的使用等,这些都需要开发者深入理解和灵活运用。通过这些手段,我们可以有效地保护网络...

			
		

	





	

		

			

				
					
六个有用的java过滤器

				
			

			

				

					08-11
				

			

		

		

			
				
这些过滤器可以帮助开发者实现诸如缓存控制、用户登录验证、字符编码统一、资源访问控制等功能,从而提高系统的安全性、稳定性和用户体验。在实际项目开发过程中,开发者可以根据自己的需求选择合适的技术方案来构建...

			
		

	





	

		

			

				
					
权限过滤器,防止登录直接进入页面

				
			

			

				

					molkor的博客
				

				

					07-05
					
					1693
					
				

			

		

		

			
				
1

			
		

	





	

		

			

				
					
javaweb中添加过滤器,限制访问某些页面

				
			

			

				

					◇″淡定。
				

				

					10-25
					
					5592
					
				

			

		

		

			
				
问题:
在javaweb开发中,

			
		

	





	

		

			

				
					
17. JSP - 使用过滤器控制访问登录权限

				
			

			

				

					Bi-Hu的博客
				

				

					06-09
					
					647
					
				

			

		

		

			
				
用户访问网站时,有些页面或 Servlet 在不登录的情况下是可以访问的,例如首页、登录页面等。除此之外大部分资源是必须登录后才能访问的。此时,可以定义一个权限过滤器,对每一个访问该应用的请求进行过滤:若具有访问权限,则直接跳转到相应资源即可;若不具有访问权限,则跳转到登录页面。修改一下之前写过的登录功能,当用户没有登录时,不能访问login_success页面。
讲下思路:
实现过滤器,...

			
		

	





	

		

			

				
					
过滤器检测用户是否登陆

				
			

			

				

					qq_42676998的博客
				

				

					09-22
					
					1134
					
				

			

		

		

			
				
–情景:系统中的某些页面只有在正常登陆后才可以使用,用户请求这些页面时要检查 session 中有无该用户信息,但在所有必要的页面加上session的判断相当麻烦的事情

–解决方案:编写一个用于检测用户是否登陆的过滤器,如果用户登录,则重定向到指的登录页面

–要求:需检查的在 Session 中保存的关键字; 如果用户登录,需重定向到指定的页面(URL不包括 ContextPath); 不...

			
		

	





	

		

			

				
					
java 避免登录_javaweb 简单验证过滤器防止登录直接进入主页

				
			

			

				

					weixin_42429120的博客
				

				

					02-13
					
					299
					
				

			

		

		

			
				
---LoginFilter.javaimport java.io.IOException;import javax.servlet.Filter;import javax.servlet.FilterChain;import javax.servlet.FilterConfig;import javax.servlet.ServletException;import javax.servlet....

			
		

	





	

		

			

				
					
SpringBoot-过滤器的使用(在访问页面时过滤掉登录用户使其不能访问相应页面)

				
			

			

				

					maohe的博客
				

				

					01-25
					
					2544
					
				

			

		

		

			
				
SpringBoot过滤器的使用,判断用户是否登录以确定是否有访问页面的权限。

			
		

	





	

		

			

				
					
过滤器检验用户是否登录

				
			

			

				

					javazw123的专栏
				

				

					03-24
					
					5959
					
				

			

		

		

			
				
<br />过滤器可以实现用户身份验证的功能,如果用户没有登录,则跳转到登陆页面:<br />本例实现:<br /> <br />过滤器类:<br /> <br />package com.start.util;<br />import javax.servlet.*; <br />import javax.servlet.http.HttpServletRequest; <br />import javax.servlet.http.HttpServletResponse; <br />import ja

			
		

	





	

		

			

				
					
java使用过滤器和监听器防止用户重复登录

				
			

			

				

					weixin_50216991的博客
				

				

					10-04
					
					2015
					
				

			

		

		

			
				
任务描述

相信很多小伙伴都使用QQ聊天工具,那是否遇到过这样的场景呢?当在一台电脑上已经登录QQ,此时因为某些原因需要在另一台电脑再登录相同号码的QQ,登录成功后会发现之前电脑上的QQ下线了。这就是QQ限制了同一个号码在电脑上不能重复登录,我们的Web程序也可以进行重复登录的限制,那么本次任务就是用过滤器和监听器来解决重复登录问题。具体任务如下:

1、登录时不能访问主界面。

2、登录后,登录信息存储到session中。

3、监听器监听session属性值变化。

4、一个浏览器中已经登录,如果在另

			
		

	





	

		

			

				
					
利用过滤器禁止登录用户访问网站,该怎么实现?

					
最新发布

				
			

			

				

					04-22
				

			

		

		

			
				
一种解决方案是在服务器端设置一个过滤器,当用户请求某些需要登录才能查看的页面时,过滤器会检查用户是否已经登录。如果用户登录,则会跳转到登录页面,否则则允许用户访问。具体的实现可以使用Java Servlet中的...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值