自定义filter过滤器拦截未登录(非法)请求

在JAVA的WEB工程中我们可以将JSP页面文件放在WEB-INFO中限制用户进行URL直接访问,但静态资源如js、css文件却是需要被外部直接访问的,直接对外暴露又不太安全,可以通过自定义过滤器处理

所属分类 JAVA

相关标签 过滤器处理请求

关于filter过滤器

filter过滤器,用于过滤到servlet的request,它可以改变一个request和修改一个response。

filter不是servlet,不能产生response。

filter能够在一个request到达servlet之前预处理request,也可以在离开servlet时处理response。

为什么使用filter

WEB工程中有些页面本身是对外开放的,但是我们实际上又会要求登录才可见。

虽然WEB-INFO目录可以禁止页面直接访问资源(WEB-INFO目录只能通过servlet去访问)。

如果我们将资源页面文件放在WEB-INFO下也可以达到无法访问,但是这就对我们前端编码造成很大的困扰。

WEB-INF是受保护目录,WEB-INF里面的文件只可以由servlet去访问,不能通过url地址栏去请求访问。

所以,我们应该通过别的方式来动态判断处理资源文件是否应该被访问

#web.xml配置

一个登录状态检查校验器,检查所有的向jsp文件发起的请求,并排除登录/登出/首页的访问拦截。

<filter>
    <filter-name>checkLoginStatusFilter</filter-name>
    <filter-class>com.mebugs.filter.CheckLoginStatusFilter</filter-class>
    <init-param>
        <param-name>exceptPath</param-name>
        <param-value>login.jsp;logout.jsp;index.jsp</param-value>
    </init-param>
    <filter-mapping>
        <filter-name>checkLoginStatusFilter</filter-name>
        <url-pattern>*.jsp</url-pattern>
    </filter-mapping>
</filter>

自定义过滤器类

依赖于服务端保存了登录后新生成的sessionID,且服务端需要实现超时注销和登出注销session的能力。

/*
 * 文件名:CheckLoginStatusFilter.java
 * 描述:检查是否处于登录状态
 * check the request sessionID login status
 * @author   mebugs
 * @version  1.0
 */
public class CheckLoginStatusFilter implements Filter{
    //定义除外的访问PATH
    private String exceptPath;
    
    //初始化参数,获取web.xml中配置的忽略校验地址
    public void init(FilterConfig config) throws ServletException     { 
        this.exceptPath = config.getInitParameter("exceptPath");
    }
    
    public void destroy(){
        //销毁方法
    }
    
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { 
        HttpServletRequest httpRequest = null;
        if (request instanceof HttpServletRequest){
            httpRequest = (HttpServletRequest)request;
        }
        HttpServletResponse httpResponse = null; 
        if (response instanceof HttpServletResponse){
            httpResponse = (HttpServletResponse)response;
        } 
        if (null == httpRequest || null == httpResponse) {
            return;
        } 
        String requestURI = httpRequest.getRequestURI();
        String contextPath = httpRequest.getContextPath();
        String sessionID = httpRequest.getSession().getId();
        String userName = null;
        //Constants.SEMICOLON分号,针对配置多种排除的地址的时候
        String[] exceptPathList =  this.exceptPath.split(Constants.SEMICOLON);
        for (int i = 0; i < exceptPathList.length; i++){
            if (requestURI.endsWith(exceptPathList[i]){
                //如果请求是忽略的地址
                chain.doFilter(request, response);
                return;
            }
        }
        if(null != sessionID){
            userName = (String) httpRequest.getSession().getAttribute("username");
        }
        if (null != userName){
            //检查浏览器sessionID与服务器中缓存的登录后sessionID是否一致
            if(sessionID.equals(UserSessionData.sessionMap.get(userName)){
                //登录状态 sessionID一致
                chain.doFilter(request, response);
                return;
            }
        }
        
        //其他场景通通非法
        httpResponse.setStatus(911);
        httpResponse.setHeader("sessionstatus", "timeout");
        httpResponse.addHeader("loginPath", contextPath + "/login.jsp");
        httpResponse.setCharacterEncoding("UTF-8");
        httpResponse.setContentType("text/html");
        PrintWriter out = httpResponse.getWriter();
        out.println("<script>");
        out.println("top.location.href = '" + contextPath + "/login.jsp'");
        out.println("</script>");
        return;
    }
}

结尾小结

通过自定义过滤器可以更加人性化的对客户端发起的请求进行过滤。

对于资源请求限制为已登录用户才能访问,这样可以避免绝大多数非法攻击。

米虫

做一个有理想的米虫,伪全栈程序猿,乐观主义者,坚信一切都是最好的安排!

本站由个人原创、收集或整理,如涉及侵权请联系删除

本站内容支持转发,希望贵方携带转载信息和原文链接

本站具有时效性,不提供有效、可用和准确等相关保证

本站不提供免费技术支持,暂不推荐您使用案例商业化

发表观点

提示

昵称

邮箱

QQ

网址

当前还没有观点发布,欢迎您留下足迹!

同类其他

JAVA

Struts2拦截器检测非法请求踢出登录

常规的WEB工程前后台都会设置相关校验规则,并且保持一致。因此服务端收到不符合校验的参数表示该请求存在恶意篡改行为,应当限制并踢出登录

Spring、SpringMVC和SpringBoot

Spring就像一个大家族,里面包含了很多衍生产品,其中最为出名的就是SpringMVC和SpringBoot,那么这三者之间是什么关系呢?SpringMVC和SpringBoot又专门用来做什么呢?

Eclipse中操作Git进行代码关联/拉取/推送

Eclipse可以直接通过GitRepositories直接创建本地项目与Git仓库关联,clone代码,同步、拉取以及推送代码,对于曾经经常使用SVN插件的小伙伴上手会相对容易。

一文理解SpringMVC框架核心

SpringMVC框架是围绕DispatcherServlet(前端控制器)展开的,本文描述SpringMVC的优点、各个核心类(角色)作用,并说明用户请求数据到最终视图返回完整的数据传输过程

JAVA线程池源码解析与使用

频繁的创建与销毁线程是非常浪费系统资源的行为,多线程编程中是必要考虑到线程复用,线程池就是实现线程复用的一种方式,看看JAVA的线程池如何让使用都有哪些关键参数

Servlet生命周期及数据流转过程

Spring家族大行其道的今天,很多人可能未必还记得JAVA中原生Servlet对象的一些知识,实际上SpringMVC就是基于Servlet进行的封装,记录Servlet对象生命周期及数据流转过程

选择个人头像

昵称

邮箱

QQ

网址

评论提示

  • 头像:系统为您提供了12个头像自由选择,初次打开随机为你选择一个
  • 邮箱:可选提交邮箱,该信息不会外泄,或将上线管理员回复邮件通知
  • 网址:可选提交网址,评论区该地址将以外链的形式展示在您的昵称上
  • 记忆:浏览器将记忆您已选择或填写过得信息,下次评论无需重复输入
  • 审核:提供一个和谐友善的评论环境,本站所有评论需要经过人工审核