三种基于过滤器的权限设计:spring AOP、webwork、servlet filter

最新推荐文章于 2023-12-19 17:42:17 发布
最新推荐文章于 2023-12-19 17:42:17 发布
阅读量1.3k 收藏
点赞数
分类专栏: 框架&架构

Spring Filter过滤器,Spring拦截未登录用户权限限制(转)

  (2012-04-16 13:42:55)
转载
标签: 

it

 分类: SSH
实现的功能:判断用户是否已登录,未登录用户禁止访问任何页面或action,自动跳转到登录页面。
比较好的做法是不管什么人都不能直接访问jsp页面,要访问就通过action,这样就变成了一个实实在在的权限控制了。
那么就有3种方法可以解决楼主的问题
1,直接使用filter
2,直接使用webwork的interceptor,
3,将action交给spring管理,使用spring的Aop机制

让用户可以直接访问jsp本来就违反了mvc的本意了
1 直接使用filter
web.xml配置
Xml代码  收藏代码
  1. <filter>    
  2.     <filter-name>SecurityServlet</filter-name>    
  3.     <filter-class>com.*.web.servlet.SecurityServlet</filter-class>    
  4. </filter>    
  5. <filter-mapping>    
  6.     <filter-name>SecurityServlet</filter-name>    
  7.     <url-pattern>*.jsp</url-pattern>    
  8. </filter-mapping>    
  9. <filter-mapping>    
  10.     <filter-name>SecurityServlet</filter-name>    
  11.     <url-pattern>*.do</url-pattern>    
  12. </filter-mapping>   



SecurityServlet 类
Java代码  收藏代码
  1. package com.*.web.servlet;  
  2.   
  3. import java.io.IOException;  
  4. import javax.servlet.Filter;  
  5. import javax.servlet.FilterChain;  
  6. import javax.servlet.FilterConfig;  
  7. import javax.servlet.ServletException;  
  8. import javax.servlet.ServletRequest;  
  9. import javax.servlet.ServletResponse;  
  10. import javax.servlet.http.HttpServlet;  
  11. import javax.servlet.http.HttpServletRequest;  
  12. import javax.servlet.http.HttpServletResponse;  
  13. import javax.servlet.http.HttpSession;  
  14. public class SecurityServlet extends HttpServlet implements Filter  
  15.     private static final long serialVersionUID 1L;  
  16.   
  17.     public void doFilter(ServletRequest arg0, ServletResponse arg1, FilterChain arg2) throws IOException, ServletException  
  18.            HttpServletRequest request=(HttpServletRequest)arg0;     
  19.            HttpServletResponse response  =(HttpServletResponse) arg1;      
  20.            HttpSession session request.getSession(true);       
  21.            String usercode (String) request.getRemoteUser();// 登录人  
  22.            String user_role (String)session.getAttribute("role");//登录人角色  
  23.            String url=request.getRequestURI();     
  24.            if(usercode==null || "".equals(usercode) || user_role == null || "".equals(user_role))        
  25.                 //判断获取的路径不为空且不是访问登录页面或执行登录操作时跳转     
  26.                 if(url!=null && !url.equals(""&& url.indexOf("Login")<0 && url.indexOf("login")<0 ))     
  27.                     response.sendRedirect(request.getContextPath() "/login.jsp");     
  28.                     return     
  29.                                
  30.                 
  31.             arg2.doFilter(arg0, arg1);     
  32.             return    
  33.      
  34.     public void init(FilterConfig arg0) throws ServletException  
  35.      
  36.   
  37.  

配置中的filter-mapping,定义的是需过滤的请求类型,上面的配置即过滤所有对jsp页面和action的请求。过滤器的实现与 struts2、spring框架无关,在用户请求被相应前执行,在过滤器中,可使用response.sendRedirect("")等方法

跳转到需要的链接,如登录页面、错误页面等,不需要跳转时,arg2.doFilter(arg0, arg1);即可继续执行用户的请求。注意使用filter时避免连续两次跳转,否则会报 java.lang.IllegalStateException错误,具体配置方法网上有,除非必要,不建议使用/*(过滤所有访问)的配置方式,这样 配置,图片、js文件、css文件等访问都会被过滤


Spring拦截

Spring配置
Xml代码  收藏代码
  1. <bean id="springSessionInterceptor" class="com.*.web.servlet.SpringLoginInterceptor" >  
  2.      </bean>  
  3. <bean id="autoPorxyFactoryBean1"  
  4.         class="org.springframework.aop.framework.autoproxy.BeanNameAutoProxyCreator">  
  5.         <property name="interceptorNames">  
  6.             <list>  
  7.                 <value>springLoginInterceptor</value>  
  8.             </list>  
  9.         </property>  
  10.         <property name="beanNames" >  
  11.         <list>  
  12.             <value>*Controller</value>  
  13.             </list>  
  14.         </property>  
  15.     </bean>  

SpringLoginInterceptor实现类
Java代码  收藏代码
  1. package com.web.servlet;  
  2.   
  3. import javax.servlet.http.HttpServletRequest;  
  4. import javax.servlet.http.HttpServletResponse;  
  5. import javax.servlet.http.HttpSession;  
  6.   
  7. import org.aopalliance.intercept.MethodInterceptor;  
  8. import org.aopalliance.intercept.MethodInvocation;  
  9. import org.apache.log4j.Logger;  
  10. import org.apache.struts.action.ActionMapping;  
  11.   
  12. public class SpringLoginInterceptor implements MethodInterceptor  
  13.     private static final Logger log Logger  
  14.     .getLogger(SpringLoginInterceptor .class);  
  15.   
  16.     @Override  
  17.     public Object invoke(MethodInvocation invocation) throws Throwable  
  18.         log.info("拦截开始!");  
  19.         Object[] args invocation.getArguments();    
  20.         HttpServletRequest request null 
  21.         HttpServletResponse response null 
  22.         ActionMapping  mapping null 
  23.         for (int 0 args.length i++     
  24.           if (args[i] instanceof HttpServletRequest) request (HttpServletRequest)args[i];     
  25.           if (args[i] instanceof HttpServletResponse) response (HttpServletResponse)args[i];     
  26.           if (args[i] instanceof ActionMapping) mapping (ActionMapping)args[i];     
  27.          
  28.         if (request != null && mapping != null 
  29.             String url=request.getRequestURI();     
  30.             HttpSession session request.getSession(true);       
  31.             String usercode (String) request.getRemoteUser();// 登录人  
  32.             String user_role (String)session.getAttribute("user_role");//登录人角色  
  33.               
  34.             if (usercode == null || usercode.equals(""))  
  35.                 if url.indexOf("Login")<0 && url.indexOf("login")<0  
  36.                       
  37.                     return mapping.findForward("loginInterceptor");  
  38.                    
  39.                 return invocation.proceed();   
  40.              
  41.             else  
  42.                 return invocation.proceed();  
  43.              
  44.          
  45.         else  
  46.             return invocation.proceed();  
  47.          
  48.      
yaowanpengLiferay
关注
专栏目录
SpringBoot】7、SpringBoot中实现未登录拦截
Asurplus
04-16 20万+
我们需要在项目中对未登录的用户进行拦截,使其登录后才能访问 1、创建 LoginInterceptor.java,实现 HandlerInterceptor 接口 @Component public class LoginInterceptor implements HandlerInterceptor { @Override public boolean preHandle(H...
SpringMVC之拦截器
weixin_64987028的博客
04-09 7286
一、什么是拦截器? SpringMVC的处理器拦截器,类似于Servlet开发中的过滤器Filter,用于对处理器进行预处理和后处理。依赖于web框架,在实现上基于Java的反射机制,属于面向切面编程(AOP)的一种运用。由于拦截器是基于web框架的调用,因此可以使用Spring的依赖注入(DI)进行一些业务操作,同时一个拦截器实例在一个controller生命周期之内可以多次调用。 二、拦截器与过滤器 2.1 什么是过滤器Filter) 依赖于servlet容器。在实现上基于函数回调...
AOP下的权限控制实现
公主笔记(快乐的蓝精灵)
05-21 566
OOP应用开发面临的问题  面向对象技术很好地解决了软件系统中角色划分的问题。借助于面向对象的分析、设计和实现技术,开发者可以将问题领域的“名词”转换成软件系统中的对象,从而很自然地完成从问题到软件的转换。  但是,问题领域的某些需求却偏偏不是用这样的“名词”来描述的。比如遇到这样的问题:需要对系统中的某些方法进行权限检验,这种需要权限检验的方法散布在40多个类中。面对这种需求,应该怎么办呢?最直
spring权限控制,过滤器
weixin_34216107的博客
02-17 80
spring过滤器可以实现登录状态问题 1.创建一个AccessFilter类,基础代码 package com.ujia.util.access; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import org.springfra...
Spring Shiro流程简析 基于过滤器权限管理
我家有猫已长成的博客
02-01 658
Spring Shiro流程简析 基于过滤器权限管理 简介。
访问控制功能 —— Servlet FilterSpring Interceptor、AOP的区别?
雪人奥特曼的博客
03-04 386
在项目开发中,类似权限这样的访问控制功能,我们该选择三者(AOPServlet FilterSpring Interceptor)中的哪个来实现呢?
Struts2+Spring+Ibatis整合教程:入门与开发流程
3. 设置拦截器(Interceptor)和过滤器Filter)以协调各个框架的工作。 **第四部分:Q&A** 这部分可能涉及在整合和使用过程中遇到的问题及解答,包括错误调试、性能优化、安全设置等常见问题。 通过学习这个...
小白的spring入门笔记
h13245的博客
05-09 358
目录前情回顾基础(IOC(控制反转),DI(依赖注入))Spring框架概述什么是Springspring核心spring优点spring体系结构IOC入门,控制反转构建maven依赖目标类配置文件测试结果DI入门,依赖注入daoservice配置文件测试结果核心API装配Bean基于XML实例化方式Bean种类作用域生命周期属性依赖注入构造方法setter方法p命名空间【了解】SpEL【了解】集合注入装配Bean基于注解AOP(切面编程),JdbcTemplateAOPAop介绍什么是AOPAOP实现原理
基于JAVA的宠物网站的设计与实现
Eureka926的博客
04-22 1360
源码及资料: http://www.byamd.xyz/sss.html 摘 要 本系统是采用Java技术来构建的一个基于Web技术的B/S结构的宠物网站,该网站建立在Spring和Struts2框架之上,前台使用JSP作为开发语言,后台使用MySQL数据库管理系统对数据进行管理,开发环境选用MyEclipse,应用服务器采用Tomcat。 宠物网站系统为广大用户实现便捷的购买宠物的功能,实现宠物商店的网络化管理。网站前台系统主要负责与用户打交道,实现用户的注册、登录、宠物预览、提交订单等功能。网站后台
spring mvc拦截器之拦截未登录
醒悟wjn的博客
04-16 7195
spring mvc拦截器 1.在web.xml中配置DispatcherServlet 配置好DispatcherServlet之后,DispatcherServlet会接受所有请求,包括静态资源的请求。 spring org.springframework.web.servlet.DispatcherServlet 1 spring /
JAVA登录拦截器,查看用户是否登录过,未登录禁止访问页面
05-25
JAVA登录拦截器,查看用户是否登录过,未登录禁止访问页面
过滤器实现权限过滤
实践求真知
06-16 678
目录 一需求 二实战 一需求 用户登录后才能进入主页,用户注销后不能进入主页。 二实战 1定义常量 package com.cakin.constant; /** * @ClassName: Constant * @Description: 常量类 * @Date: 2020/6/16 * @Author: cakin */ public class Constant { /** * 保存用户Session */ public static ...
SpringBoot 实现过滤器拦截请求
记录工作开发中遇到的技术难点,方便自己查看,也希望可以帮助到他人...
08-26 2510
用户在前端登录,后端将用户信息存储在session中,通过拦截每个接口请求,判断用户是否登录,若session中存在用户信息,则放行请求,若session中不存在用户信息,则拦截请求。
Springboot管理系统数据权限过滤(三)——0业务入侵实现部门数据权限过滤
最新发布
朗朗的博客
12-19 1757
上一章,讲解了SQL拦截器的,做了一个简单的SQL改造。本章要实现:以下简单用一个图说明了整个处理过程,红色框住的部分,就是本章要实现的内容:DataScope.java DataScope对象里面设置了用于数据权限规则数组。在SQL拦截器中将从这些数据权限规则中获取条件表达式。 DataPermissionRule.java 这里定义了一个权限解析接口,如此即可以扩展很多不同类型的权限,如:对部门过滤,本章我们仅实现对部门权限过滤。(若要实现对如预算科目、项目等过滤,可实现该接口,另外还得单独实现对这些数
SpringBoot-过滤器的使用(在访问页面时过滤掉未登录的用户使其不能访问相应页面)
maohe的博客
01-25 2644
SpringBoot过滤器的使用,判断用户是否登录以确定是否有访问页面的权限
springsecurity的登录实现和拦截
weixin_42053164的博客
07-14 1257
好久没复习springsecurity了,想要回忆它是如何拦截“注册”和“登录”功能的,我一开始能想到:注册页面的获取和注册不会拦截;访问需要权限的功能会被拦截,并且返回登录界面,然后用户进行登录操作。那么这时的认证url是否会被拦截呢?如果被拦截,需要已登录,那么就陷入了死循环了!显然不会被拦截,那么系统就要专门实现一个认证功能,然后把用户对象放入session中。我大致就能想到这一步了。 后来看了教程代码,发现它专门有个登录标签!看来认证功能也要拦截,不过不是返回登录界面,而是需要实现自定义的用户认证
springsecurity登录功能拦截_Spring Security 自带防火墙!你都不知道自己的系统有多安全
weixin_39757122的博客
11-26 1411
之前有小伙伴表示,看 Spring Security 这么麻烦,不如自己写一个 Filter 拦截请求,简单实用。自己写当然也可以实现,但是大部分情况下,大家都不是专业的 Web 安全工程师,所以考虑问题也不过就是认证和授权,这两个问题处理好了,似乎系统就很安全了。其实不是这样的!各种各样的 Web 攻击每天都在发生,什么固定会话攻击、csrf 攻击等等,如果不了解这些攻击,那么做出来的系统肯定也...
springboot基于过滤器 实现用户权限控制
qq_38669394的博客
06-23 3701
springboot 的过滤器实现主要有两个类 1.过滤器注册类 package com.newland.common.autoconfigure; import com.newland.common.filter.SessionFilter; import org.springframework.boot.web.servlet.FilterRegistrationBean; import org.springframework.context.annotation.Bean; import o
Spring Security 3.0入门与部署教程:Spring AOPServlet集成
Spring Security是一种强大的开源安全框架,专为基于Spring框架的Java Web应用设计,它利用Spring AOP(面向切面编程)和Servlet过滤器来实现全面的身份验证和访问控制。作为初学者的理想选择,Spring Security 3.0 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值