Java web过滤器验证登录防止未登录进入界面
今天用ssh2写了个简单的系统,发现了一个问题,我这系统必须先登录成功才能进入主页,但我在浏览器里直接输入主页地址,发现也能进入,这个肯定不好,毫无安全性可言,后经查资料发现需要登录过滤器,就试了下,发现果然可以避免未经登录即可进入主页的危险,下面是我整理出的详细步骤:
1.首先写一个权限过滤filter类,实现Filter接口
importjava.io.IOException; importjavax.servlet.Filter; importjavax.servlet.FilterChain; importjavax.servlet.FilterConfig; importjavax.servlet.ServletException; importjavax.servlet.ServletRequest; importjavax.servlet.ServletResponse; importjavax.servlet.http.HttpServletRequest; importjavax.servlet.http.HttpServletResponse; importjavax.servlet.http.HttpSession; publicclassLoginFilterimplementsFilter{ @Override publicvoidinit(FilterConfigfilterConfig)throwsServletException{ //TODOAuto-generatedmethodstub } @Override publicvoiddoFilter(ServletRequestrequest,ServletResponseresponse, FilterChainchain)throwsIOException,ServletException{ //获得在下面代码中要用的request,response,session对象 HttpServletRequestservletRequest=(HttpServletRequest)request; HttpServletResponseservletResponse=(HttpServletResponse)response; HttpSessionsession=servletRequest.getSession(); //获得用户请求的URI Stringpath=servletRequest.getRequestURI(); //System.out.println(path); //从session里取员工工号信息 StringempId=(String)session.getAttribute("empId"); /*创建类Constants.java,里面写的是无需过滤的页面 for(inti=0;i<Constants.NoFilter_Pages.length;i++){ if(path.indexOf(Constants.NoFilter_Pages[i])>-1){ chain.doFilter(servletRequest,servletResponse); return; } }*/ //登陆页面无需过滤 if(path.indexOf("/login.jsp")>-1){ chain.doFilter(servletRequest,servletResponse); return; } //判断如果没有取到员工信息,就跳转到登陆页面 if(empId==null||"".equals(empId)){ //跳转到登陆页面 servletResponse.sendRedirect("/JingXing_OA/login.jsp"); }else{ //已经登陆,继续此次请求 chain.doFilter(request,response); } } @Override publicvoiddestroy(){ //TODOAuto-generatedmethodstub } }
2.然后在web.xml里配置需要登陆权限验证的JSP文件:
a.如果是某个具体的JSP文件(如a.jsp)需要登陆验证
<!--配置登陆过滤器--> <filter> <filter-name>login</filter-name> <filter-class>com.jingxing.oa.filter.LoginFilter</filter-class> </filter> <filter-mapping> <filter-name>login</filter-name> <url-pattern>/*</url-pattern> </filter-mapping>
b.如果是某一个目录(如a/目录)整个目录下的文件都需要登陆验证:
<!--配置登陆过滤器--> <filter> <filter-name>login</filter-name> <filter-class>com.jingxing.oa.filter.LoginFilter</filter-class> </filter> <filter-mapping> <filter-name>login</filter-name> <url-pattern>/a/*</url-pattern> </filter-mapping>
以上所述是小编给大家介绍的Javaweb过滤器验证登录防止未登录进入界面,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对毛票票网站的支持!