Java web过滤器验证登录防止未登录进入界面

Java web过滤器验证登录防止未登录进入界面

今天用ssh2写了个简单的系统，发现了一个问题，我这系统必须先登录成功才能进入主页，但我在浏览器里直接输入主页地址，发现也能进入，这个肯定不好，毫无安全性可言，后经查资料发现需要登录过滤器，就试了下，发现果然可以避免未经登录即可进入主页的危险，下面是我整理出的详细步骤：

1.首先写一个权限过滤filter类,实现Filter接口

import java.io.IOException;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import javax.servlet.http.HttpSession;

public class LoginFilter implements Filter {

@Override

public void init(FilterConfig filterConfig) throws ServletException {

// TODO Auto-generated method stub

}

@Override

public void doFilter(ServletRequest request, ServletResponse response,

FilterChain chain) throws IOException, ServletException {

// 获得在下面代码中要用的request,response,session对象

HttpServletRequest servletRequest = (HttpServletRequest) request;

HttpServletResponse servletResponse = (HttpServletResponse) response;

HttpSession session = servletRequest.getSession();

// 获得用户请求的URI

String path = servletRequest.getRequestURI();

//System.out.println(path);

// 从session里取员工工号信息

String empId = (String) session.getAttribute("empId");

/*创建类Constants.java，里面写的是无需过滤的页面

for (int i = 0; i < Constants.NoFilter_Pages.length; i++) {

ifTbipYc (path.indexOf(Constants.NoFilter_Pages[i]) > -1) {

chain.doFilter(servletRequest, servletResponse);

return;

}

}*/

// 登陆页面无需过滤

if(path.indexOf("/login.jsp") > -1) {

chain.doFilter(servletRequest, servletResponse);

return;

}

// 判断如果没有取到员工信息,就跳转到登陆页面

if (empId == null || "".equals(empId)) {

// 跳转到登陆页面

servletResponse.sendRedirect("/JingXing_OA/login.jsp");

} else {

// 已经登陆,继续此次请求

chain.doFilter(request, response);

}

}

@Override

public void destroy() {

// TODO Auto-generated method stub

}

}

2.然后在web.xml里配置需要登陆权限验证的JSP文件:

a.如果是某个具体的JSP文件(如a.jsp)需要登陆验证

login

com.jingxing.oa.filter.LoginFilter

login

/*

b.如果是某一个目录(如a/目录)整个目录下的文件都需要登陆验证:

login

com.jingxing.oa.filter.LoginFilter

login

/a/*

以上所述是给大家介绍的Java web过滤器验证登录防止未登录进入界面，希望对大家有所帮助，如果大家有任何疑问请给我留言，会及时回复大家的。在此也非常感谢大家对我们网站的支持！

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。