通过Session和过滤器防止恶意登录

最新推荐文章于 2022-04-17 12:34:25 发布
最新推荐文章于 2022-04-17 12:34:25 发布
阅读量715 收藏 3
点赞数 1
分类专栏: Servlet 文章标签: servlet session web 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45608102/article/details/109219378
版权

web.xml配置文件

告知Tomcat当浏览器访问任意一个网站时,通过Protect过滤器进行过滤。

	<filter>
        <filter-name>Protect</filter-name>
        <filter-class>com.filter.Protect</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>Protect</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

过滤器

通过request获取uri,判断资源文件是否与登录有关,与登录有关则放行;再判断用户是否拥有Session令牌,有则放行,无则显示登录失败。

package com.filter;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpSession;
import java.io.IOException;

public class Protect implements Filter {
    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest)servletRequest;
        request.setCharacterEncoding("utf-8");
        HttpSession session = request.getSession(false);
        String uri = request.getRequestURI();
        if (uri.contains("Login")||"/UserSystem/".equals(uri)||uri.contains("login")){
            filterChain.doFilter(servletRequest,servletResponse);
            return;
        }
        if (session!=null){
            filterChain.doFilter(servletRequest,servletResponse);
        }else {
            request.getRequestDispatcher("/UserSystem/Login_error.html").forward(servletRequest,servletResponse);
        }
    }
}

用于登录的Servlet

通过调用UserDo类进行登录验证,当用户合法,给予用户一个Session令牌用于访问除登录界面外的其它资源文件。

package com.controller;

import com.Do.UserDo;

import javax.servlet.ServletContext;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

public class LoginServlet extends HttpServlet {
    protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        request.setCharacterEncoding("utf-8");
        response.setContentType("text/html;charset=utf-8");
        response.setCharacterEncoding("utf-8");
        String userName;
        String passWord;
        userName = request.getParameter("userName");
        passWord = request.getParameter("passWord");
        UserDo userDo = new UserDo();
        int result = userDo.login(userName,passWord);
        if (result==1){
            request.getSession();
            response.sendRedirect("/UserSystem/index.html");
        }else {
            response.sendRedirect("/UserSystem/Login_error.html");
        }
    }

    protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {

    }
}

访问数据库判断用户名是否合法

public int login(String userName,String passWord){
        int result = 0;
        Jdbc jdbc = new Jdbc();
        jdbc.GetConnection();
        String sql = "select count(*) from user where UserName=? and Passwd=?";
        PreparedStatement preparedStatement;
        preparedStatement = jdbc.prepareStatement(sql);
        try {
            preparedStatement.setString(1,userName);
            preparedStatement.setString(2,passWord);
            ResultSet resultSet = preparedStatement.executeQuery();
            while (resultSet.next()){
                result = resultSet.getInt("count(*)");
            }
        } catch (SQLException throwables) {
            throwables.printStackTrace();
        }finally {
            jdbc.Close();
        }
        return result;
    }
空雾峰
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Servlet过滤器使用实例(防止用户恶意登录
SmallSweets的博客
12-10 2150
正常情况下,我们要浏览一个网站内的不同信息,需要我们先登录,然后才能执行部分权限,比如我们模拟要查询一个网站内的信息,步骤是先登录登录成功后进入主页,然后查询相关信息,如下图 但是,我们也会遇到恶意登录的情况,就是跳过登录这一步,直接从地址栏中访问网站内的资源,如下图 虽然访问成功是概率性的,但是也是有这个可能的,既然有可能发生,那么对我们网站的安全就有很大的威胁,所以,我们可以使用过滤器来避免这种情况的发生 ...
通过session来拦截不合法用户请求
huangshulan的博客
03-08 1922
有两种方法,但是这两种方法都是基于Struts2.0的 方法1: 在web点xml中插入   UserFilter xxx.xxx.xxx.UserValidateFilter      UserFilter /admin/*   然后创建一个包(包名自取)遇上面的filter-class相互统一,在包内创建UserValidat
防止恶意登录机制
伢之国
05-02 1137
一般我们防止暴力破解用户密码的方法
java使用切面,通过session,过滤非法请求
KenThomas的博客
05-25 1205
@Aspect @Component public class ControllerAspect { //request获取方法1 @Autowired private HttpServletRequest request; @Around(value = "execution(* com.example.demo.controller.HelloSpringB...
java防止session伪造攻击_利用session防止用户未经登录而直接访问
weixin_30242741的博客
02-17 930
在编写项目的时候,突然想如果按常理出牌,不首先进入登录界面而直接访问网页内容,可不可以呢?如此一来便尝试了一下,整的可以直接进入管理员页面,获取完全的管理权限。于是在网上查看了一下解决方案,学习了一下。那么如何识别用户是否合法呢?就需要每次点开新的页面之前检查一下,但是如果每点开一个页面就需要登陆一回未免太不人性化了,这里就可以使用session来保存用户信息了。首先编写一个函数,因为可能有许多页...
Java web过滤器验证登录防止登录进入界面
09-01
在本场景中,我们关注的是如何使用过滤器来验证用户是否已经登录,以防止未授权的访问。以下是实现这一功能的详细步骤和知识点: 1. **创建过滤器类**: 首先,我们需要创建一个自定义的过滤器类,该类需要实现`...
java过滤器和验证码
08-27
过滤器提供了强大的中间件功能,可以灵活地处理请求和响应,而验证码则有效地防止了自动化攻击,保护了系统的安全。理解并熟练掌握这两者,对于开发高效、安全的Web应用至关重要。 作业 1. 实现一个字符集编码过滤...
java核心技术-java中监听器和过滤器的使用笔记
最新发布
05-27
Java核心技术中的监听器和过滤器是Web开发中的关键组件,主要应用于Servlet容器中,用于增强应用程序的功能和控制请求与响应的处理流程。本篇将详细阐述Java中的Filter(过滤器)及其使用方法。 1. **Filter(过滤...
详解如何在spring boot中使用spring security防止CSRF攻击
08-27
CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF 攻击可以盗用用户的身份,以用户的名义发送恶意请求,造成的问题包括:个人...
Java web含验证码及权限登录实例代码
08-30
在Java Web开发中,验证码和权限登录是两个关键的安全特性,用于防止恶意攻击和保护用户数据。本实例将演示如何在Java Web应用中实现这些功能,结合MyEclipse 10 IDE和MySQL数据库。 首先,创建Java Web项目。在...
JavaWeb-03-Servlet-15-过滤器防止用户恶意登陆
TSCCG的博客
08-21 1002
JavaWeb-03-Servlet-15-过滤器防止用户恶意登陆 1.恶意登陆问题 以之前做的在线考试管理系统项目为例。(传送门:在线考试管理系统) 如果有人通过浏览器地址栏,绕过登陆验证,直接访问网站中的资源文件,那么网站中的数据就不安全了。 为了防止这种恶意登陆的情况发生,我们可以使用【令牌机制】。 2.令牌机制 令牌机制就是加一个密保,给所有合法用户一个令牌。 当用户访问资源文件时,需要先验证是否持有令牌: 有令牌,提供服务 没有令牌,拒绝提供服务 在我们的开发中,习惯于将HttpSessio
通过session实现非登录用户的拦截(亲测)
weixin_45768768的博客
04-28 826
实现非登录用户的拦截 近期在做网页登录页面时总想到非登录用户直接访问我登陆后要跳转的页面是不是太不安全了,所以我也查了很多的资料,大部分是filter拦截以及web.xml的设置,对新手我觉得非常不友好,但是我最后用session实现了,在此我分享给大家 首先通俗的说一下什么是sessionSession就是记录客户状态的机制,不同的是Cookie保存在客户端浏览器中,而Session保存在服务...
使用IDEA时,让JSP如何防止用户跳过登录界面
GhostPaints的博客
10-18 1220
最近在练习写javaweb项目,在写好了登录界面的时候,突然想到:如果有人更改地址栏,直接跳过登录界面该怎么办?于是找了很多资料,通过这些资料不断试错,找到了可行的方法。 这是我的工程文件目录,登录的jsp是“index.jsp”,判断登录是否成功是“success.jsp”。“MyFilter”就是自己设置的拦截器,防止用户跳过登录界面。 MyFilter代码如下: public c...
第一个shell脚本-监测恶意登录远程服务器
weixin_34162629的博客
04-22 220
最近学习到linux系统日志和计划任务,下班回家的地铁上有了灵感,尝试编写了自己的第一个脚本,监测如果有恶意登录服务器的话,发邮件通知管理员。暂时还没学习到如何发邮件给管理员,目前只是命令行的提醒和日志记录;脚本的内容也比较简单,都是学习过的基本知识,活学活用。1、首先编写一个脚本:定义一个变量LT,变量的值为lastb命令列出的行数(即无效登录的次数,如有恶意登录的话行数会变多);执行一个if判...
java 登录过滤_Java过滤器,用户登陆验证过滤等
weixin_34044889的博客
02-12 231
1.简单的过滤:java文件代码:package com.yang.juping;import java.io.IOException;import javax.servlet.Filter;import javax.servlet.FilterChain;import javax.servlet.FilterConfig;import javax.servlet.ServletException...
登录拦截使用Filter过滤器实现
柯小帅的博客
04-17 1598
一、过滤器的作用和概述 1.1 简述 人—>检票员(filter)—> 电影院。 注意:配置多个filter的时候,要设置编号id,值越小,优先级越高,越先执行。 在3.0之后新增@WebFilter注解,当使用注解配置多个Filter时,用户无法控制其执行顺序,此时Filter过滤的顺序是按照Filter的类名来控制的,按自然排序的规则。 1.2 使用场景 场景:权限控制、用户登录(非前端后端分离场景)等,过滤非法登录 1.3 依赖支持 <!--spring boot的启动类 --&g
使用Filter进行 过滤非法登录用户
记录学习的点点滴滴
11-01 2204
            很多时候,我们都需要做用户登录登录用户的权限管理,如何防止登录系统的用户访问不该访问的页面呢?第一种解决办法,在没个用户登录相关的页面中判定相应的session是否为空,系统比较小该方法还可行? 系统比较大呢?上千个页面呢?难道也要在每个页面中去判断吗?这或许不太可取第二种,引入filter 具体实现如下: 我们在Action中,利用reques
实现sessionfilter_关于使用session过滤器实现登录拦截
weixin_39953673的博客
01-14 588
首先在web.xml中配置,配置方法与字符拦截器大同小异,配置如下:SessionFiltcom.ed.web.admin.action.LoginFilterencodingutf-8forceEncodingtrueSessionFilt要拦截的页面和普通过滤器配置没什么区别,就是多了两个初始化参数,两个参数的作用分别是:encoding----->用来指定一个具体的字符集forceEn...
JavaWeb项目 Filter 登录页面过滤器防止信息泄露
星辰里的月光
11-16 473
Filter过滤器登录注册 **对登录注册进行过滤,不能通过url直接访问相关页面,必须进行登录成功后才可以访问 ** 大家请看图:注意地址栏 代码:Filter.java package com.chaz.servlet; import java.io.IOException; import javax.servlet.FilterChain; import javax.servlet.F...
管理员和普通用户登录过滤器
05-16
管理员和普通用户登录过滤器是一种在登录系统时对用户身份进行验证的机制。在这种机制中,系统会根据用户的身份信息判断其是否是管理员或普通用户,然后给予不同的权限。 实现这种机制的方法有很多,以下是其中一种可能的实现方式: 1. 在用户登录页面,添加一个下拉列表框,允许用户选择登录身份(管理员或普通用户)。 2. 当用户填写完用户名和密码后,系统根据用户选择的身份信息,查询数据库中的用户表,判断该用户是否存在,并且是否是管理员或普通用户。 3. 如果用户不存在或者身份信息不正确,则返回登录页面,并给出相应的提示信息。 4. 如果用户存在并且身份信息正确,则将用户的身份信息保存在 Session 中,并跳转到相应的管理页面或用户主页。 在后续的操作中,系统可以根据用户的身份信息对一些操作进行权限控制,例如只允许管理员进行用户管理操作,而不允许普通用户进行此类操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值