通过Session和过滤器防止恶意登录

最新推荐文章于 2022-04-17 12:34:25 发布
最新推荐文章于 2022-04-17 12:34:25 发布
阅读量747 收藏 3
点赞数 1
分类专栏: Servlet 文章标签: servlet session web 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45608102/article/details/109219378
版权

web.xml配置文件

告知Tomcat当浏览器访问任意一个网站时,通过Protect过滤器进行过滤。

	<filter>
        <filter-name>Protect</filter-name>
        <filter-class>com.filter.Protect</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>Protect</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

过滤器

通过request获取uri,判断资源文件是否与登录有关,与登录有关则放行;再判断用户是否拥有Session令牌,有则放行,无则显示登录失败。

package com.filter;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpSession;
import java.io.IOException;

public class Protect implements Filter {
    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest)servletRequest;
        request.setCharacterEncoding("utf-8");
        HttpSession session = request.getSession(false);
        String uri = request.getRequestURI();
        if (uri.contains("Login")||"/UserSystem/".equals(uri)||uri.contains("login")){
            filterChain.doFilter(servletRequest,servletResponse);
            return;
        }
        if (session!=null){
            filterChain.doFilter(servletRequest,servletResponse);
        }else {
            request.getRequestDispatcher("/UserSystem/Login_error.html").forward(servletRequest,servletResponse);
        }
    }
}

用于登录的Servlet

通过调用UserDo类进行登录验证,当用户合法,给予用户一个Session令牌用于访问除登录界面外的其它资源文件。

package com.controller;

import com.Do.UserDo;

import javax.servlet.ServletContext;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

public class LoginServlet extends HttpServlet {
    protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        request.setCharacterEncoding("utf-8");
        response.setContentType("text/html;charset=utf-8");
        response.setCharacterEncoding("utf-8");
        String userName;
        String passWord;
        userName = request.getParameter("userName");
        passWord = request.getParameter("passWord");
        UserDo userDo = new UserDo();
        int result = userDo.login(userName,passWord);
        if (result==1){
            request.getSession();
            response.sendRedirect("/UserSystem/index.html");
        }else {
            response.sendRedirect("/UserSystem/Login_error.html");
        }
    }

    protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {

    }
}

访问数据库判断用户名是否合法

public int login(String userName,String passWord){
        int result = 0;
        Jdbc jdbc = new Jdbc();
        jdbc.GetConnection();
        String sql = "select count(*) from user where UserName=? and Passwd=?";
        PreparedStatement preparedStatement;
        preparedStatement = jdbc.prepareStatement(sql);
        try {
            preparedStatement.setString(1,userName);
            preparedStatement.setString(2,passWord);
            ResultSet resultSet = preparedStatement.executeQuery();
            while (resultSet.next()){
                result = resultSet.getInt("count(*)");
            }
        } catch (SQLException throwables) {
            throwables.printStackTrace();
        }finally {
            jdbc.Close();
        }
        return result;
    }
空雾峰
关注
专栏目录
java防止用户越权访问文件_防止越权访问(添加过滤器
weixin_39517520的博客
02-28 899
packagecom.xxx.resFilter;importjava.io.IOException;importjava.util.ArrayList;importjava.util.List;importjavax.servlet.Filter;importjavax.servlet.FilterChain;importjavax.servlet.FilterConfig;importjava...
Servlet过滤器使用实例(防止用户恶意登录
SmallSweets的博客
12-10 2275
正常情况下,我们要浏览一个网站内的不同信息,需要我们先登录,然后才能执行部分权限,比如我们模拟要查询一个网站内的信息,步骤是先登录登录成功后进入主页,然后查询相关信息,如下图 但是,我们也会遇到恶意登录的情况,就是跳过登录这一步,直接从地址栏中访问网站内的资源,如下图 虽然访问成功是概率性的,但是也是有这个可能的,既然有可能发生,那么对我们网站的安全就有很大的威胁,所以,我们可以使用过滤器来避免这种情况的发生 ...
通过session来拦截不合法用户请求
huangshulan的博客
03-08 1987
有两种方法,但是这两种方法都是基于Struts2.0的 方法1: 在web点xml中插入   UserFilter xxx.xxx.xxx.UserValidateFilter      UserFilter /admin/*   然后创建一个包(包名自取)遇上面的filter-class相互统一,在包内创建UserValidat
防止恶意登录机制
伢之国
05-02 1173
一般我们防止暴力破解用户密码的方法
java使用切面,通过session,过滤非法请求
KenThomas的博客
05-25 1244
@Aspect @Component public class ControllerAspect { //request获取方法1 @Autowired private HttpServletRequest request; @Around(value = "execution(* com.example.demo.controller.HelloSpringB...
java防止session伪造攻击_利用session防止用户未经登录而直接访问
weixin_30242741的博客
02-17 1001
在编写项目的时候,突然想如果按常理出牌,不首先进入登录界面而直接访问网页内容,可不可以呢?如此一来便尝试了一下,整的可以直接进入管理员页面,获取完全的管理权限。于是在网上查看了一下解决方案,学习了一下。那么如何识别用户是否合法呢?就需要每次点开新的页面之前检查一下,但是如果每点开一个页面就需要登陆一回未免太不人性化了,这里就可以使用session来保存用户信息了。首先编写一个函数,因为可能有许多页...
Java web过滤器验证登录防止登录进入界面
09-01
在本场景中,我们关注的是如何使用过滤器来验证用户是否已经登录,以防止未授权的访问。以下是实现这一功能的详细步骤和知识点: 1. **创建过滤器类**: 首先,我们需要创建一个自定义的过滤器类,该类需要实现`...
java核心技术-java中监听器和过滤器的使用笔记
最新发布
05-27
Java核心技术中的监听器和过滤器Web开发中的关键组件,主要应用于Servlet容器中,用于增强应用程序的功能和控制请求与响应的处理流程。本篇将详细阐述Java中的Filter(过滤器)及其使用方法。 1. **Filter(过滤...
你真的了解Filter过滤器 ?
12-21
在Java Web开发中,Filter过滤器是一个至关重要的概念,它属于JavaWeb的三大核心组件之一,另外两个是Servlet程序和Listener监听器。Filter的主要职责在于对HTTP请求进行预处理以及对响应进行后处理,而并非直接生成...
java过滤器和验证码
08-27
过滤器提供了强大的中间件功能,可以灵活地处理请求和响应,而验证码则有效地防止了自动化攻击,保护了系统的安全。理解并熟练掌握这两者,对于开发高效、安全的Web应用至关重要。 作业 1. 实现一个字符集编码过滤...
JavaWeb-03-Servlet-15-过滤器防止用户恶意登陆
TSCCG的博客
08-21 1066
JavaWeb-03-Servlet-15-过滤器防止用户恶意登陆 1.恶意登陆问题 以之前做的在线考试管理系统项目为例。(传送门:在线考试管理系统) 如果有人通过浏览器地址栏,绕过登陆验证,直接访问网站中的资源文件,那么网站中的数据就不安全了。 为了防止这种恶意登陆的情况发生,我们可以使用【令牌机制】。 2.令牌机制 令牌机制就是加一个密保,给所有合法用户一个令牌。 当用户访问资源文件时,需要先验证是否持有令牌: 有令牌,提供服务 没有令牌,拒绝提供服务 在我们的开发中,习惯于将HttpSessio
通过session实现非登录用户的拦截(亲测)
weixin_45768768的博客
04-28 895
实现非登录用户的拦截 近期在做网页登录页面时总想到非登录用户直接访问我登陆后要跳转的页面是不是太不安全了,所以我也查了很多的资料,大部分是filter拦截以及web.xml的设置,对新手我觉得非常不友好,但是我最后用session实现了,在此我分享给大家 首先通俗的说一下什么是sessionSession就是记录客户状态的机制,不同的是Cookie保存在客户端浏览器中,而Session保存在服务...
使用IDEA时,让JSP如何防止用户跳过登录界面
GhostPaints的博客
10-18 1308
最近在练习写javaweb项目,在写好了登录界面的时候,突然想到:如果有人更改地址栏,直接跳过登录界面该怎么办?于是找了很多资料,通过这些资料不断试错,找到了可行的方法。 这是我的工程文件目录,登录的jsp是“index.jsp”,判断登录是否成功是“success.jsp”。“MyFilter”就是自己设置的拦截器,防止用户跳过登录界面。 MyFilter代码如下: public c...
第一个shell脚本-监测恶意登录远程服务器
weixin_34162629的博客
04-22 247
最近学习到linux系统日志和计划任务,下班回家的地铁上有了灵感,尝试编写了自己的第一个脚本,监测如果有恶意登录服务器的话,发邮件通知管理员。暂时还没学习到如何发邮件给管理员,目前只是命令行的提醒和日志记录;脚本的内容也比较简单,都是学习过的基本知识,活学活用。1、首先编写一个脚本:定义一个变量LT,变量的值为lastb命令列出的行数(即无效登录的次数,如有恶意登录的话行数会变多);执行一个if判...
java 登录过滤_Java过滤器,用户登陆验证过滤等
weixin_34044889的博客
02-12 268
1.简单的过滤:java文件代码:package com.yang.juping;import java.io.IOException;import javax.servlet.Filter;import javax.servlet.FilterChain;import javax.servlet.FilterConfig;import javax.servlet.ServletException...
session登录机制
前端说
05-22 9844
github 地址:戳这里 session 概念 指一类用来在客户端与服务器之间保持状态的解决方案 这种解决方案的存储结构 特点 由于 Session 是以文本文件形式存储在服务器端的,所以不怕客户端修改 Session 内容。(也可以用其他存储方式比如redis) Session对象是有生命周期的 Session实例是轻量级的,所谓轻量级:是指他的创建和删除不需要消耗...
Springboot过滤器禁止ip频繁访问功能实现
p1830095583的博客
03-29 1268
在开发 Web 项目的时候,经常需要过滤器来处理一些请求,包括字符集转换什么的,记录请求日志什么的等等。在之前的 Web 开发中,我们习惯把过滤器配置到 web.xml 中,但是在 SpringBoot 中,兵没有这个配置文件,该如何操作呢? 1.编写一个过滤器: import lombok.extern.slf4j.Slf4j; import javax.servlet.*; import javax.servlet.annotation.WebFilter; import javax.servlet
实现sessionfilter_通用的用户登录过滤器SessionFilter)
weixin_29204205的博客
02-05 1301
本系列文章导读:功能描述用于检查用户是否登录了系统,如果未登录,则重定向到指的登录页面。使用方法在 java web 项目的 web.xml 文件中添加如下代码,对每个参数都进行了详细的说明。SessionFiltercom.hmw.filter.SessionFilter将当前登录的用户的信息保存在 session 中时使用的key,如果没有配置此参数,则该过滤器不起作用sessionKeyus...
利用过滤器chain.doFilter(req,resp)实现伪单点登录以及登录拦截
My52Hz
10-07 1757
单点登录(SingleSignOn),简称为SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。 因为开发需要,自己看了一些与单点登录相关的资料,想要实现这个功能,不过鼓捣了几天也没有弄成功,后来自己另辟蹊径利用过滤器实现了相应的功能。话不多说,,代码如下: public void doFilter(Servle...
登录拦截使用Filter过滤器实现
柯小帅的博客
04-17 1679
一、过滤器的作用和概述 1.1 简述 人—>检票员(filter)—> 电影院。 注意:配置多个filter的时候,要设置编号id,值越小,优先级越高,越先执行。 在3.0之后新增@WebFilter注解,当使用注解配置多个Filter时,用户无法控制其执行顺序,此时Filter过滤的顺序是按照Filter的类名来控制的,按自然排序的规则。 1.2 使用场景 场景:权限控制、用户登录(非前端后端分离场景)等,过滤非法登录 1.3 依赖支持 <!--spring boot的启动类 --&g
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值