前面也说过,过滤和拦截是一个项目安全的基础,一个项目必须要有基本的拦截功能。 试想 如果 一个普通用户可以毫无阻拦的进入你的后台管理,那根本毫无安全性可言。下面我们就来看看过滤器如何制作。
首先,新建一个继承Filter接口的JAVA类 其功能代码如下:
- import java.io.IOException;
- import javax.servlet.Filter;
- import javax.servlet.FilterChain;
- import javax.servlet.FilterConfig;
- import javax.servlet.ServletException;
- import javax.servlet.ServletRequest;
- import javax.servlet.ServletResponse;
- import javax.servlet.http.HttpServletRequest;
- import javax.servlet.http.HttpServletResponse;
- import javax.servlet.http.HttpSession;
- public class FrontAuthFilter implements Filter {
- public void destroy() {
- }
- public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse,
- FilterChain filterChain) throws IOException, ServletException {
- /**
- * 1,doFilter方法的第一个参数为ServletRequest对象。此对象给过滤器提供了对进入的信息(包括
- * 表单数据、cookie和HTTP请求头)的完全访问。第二个参数为ServletResponse,通常在简单的过
- * 滤器中忽略此参数。最后一个参数为FilterChain,此参数用来调用servlet或JSP页。
- */
- HttpServletRequest request = (HttpServletRequest) servletRequest;
- /**
- * 如果处理HTTP请求,并且需要访问诸如getHeader或getCookies等在ServletRequest中
- * 无法得到的方法,就要把此request对象构造成HttpServletRequest
- */
- HttpServletResponse response = (HttpServletResponse) servletResponse;
- String currentURL = request.getRequestURI(); //取得根目录所对应的绝对路径:
- String targetURL = currentURL.substring(currentURL.indexOf("/", 1),
- currentURL.length()); //截取到当前文件名用于比较
- HttpServletRequest req = (HttpServletRequest) request;
- String url = req.getRequestURL().toString();
- HttpSession session = request.getSession(false);
- if (!"/login.jsp".equals(targetURL)) {
- //判断当前页是否是重定向以后的登录页面页面,如果是就不做session的判断,防止出现死循环
- if (session == null || session.getAttribute("examusers_name") == null) {
- //*用户登录以后需手动添加session
- response.sendRedirect(request.getContextPath() + "/login.jsp");
- //如果session为空表示用户没有登录就重定向到login.jsp页面
- return;
- }
- }
- //加入filter链继续向下执行
- if (!"action".equals(url.substring(url.length() - 6, url.length()))) {
- }
- filterChain.doFilter(request, response);
- }
- public void init(FilterConfig filterConfig) throws ServletException {
- }
- /**
- * 调用FilterChain对象的doFilter方法。Filter接口的doFilter方法取一个FilterChain对象作 为它
- * 的一个参数。在调用此对象的doFilter方法时,激活下一个相关的过滤器。如果没有另
- * 一个过滤器与servlet或JSP页面关联,则servlet或JSP页面被激活。
- */
- }
如何将它变成你的 基本上修改1,2处即可
1.判断状态的值 修改变量名即可 注意:session==null 不可除去
- if (session == null || session.getAttribute("examusers_name") == null) {
2.路径
- if (!"/login.jsp (修改这里 为你的登陆页面)".equals(targetURL)) {
- 判断当前页是否是重定向以后的登录页面页面,如果是就不做session的判断,防止出现死循环
- if (session == null || session.getAttribute("examusers_name") == null) {
- *用户登录以后需手动添加session
- response.sendRedirect(request.getContextPath() + "/login.jsp(修改这里 为你的登陆页面)");
- 如果session为空表示用户没有登录就重定向到login.jsp页面
- return;
- }
- }
好了 过滤器就写好了 接下来调用即可 这里需要修改web.xml文件
- <filter>
- <filter-name>FrontAuthFilter</filter-name>
- <filter-class>org.yzsoft.examdemo.util.FrontAuthFilter</filter-class>
- </filter>
- <filter-mapping>
- <filter-name>FrontAuthFilter</filter-name>
- <url-pattern>/front/*</url-pattern>
- </filter-mapping>
<filter-class>这里是你过滤器的位置</filter-class>
<url-pattern>这里则是需要过滤的目录 如我需要过滤back目录的所有页面 /back/* </url-pattern>
需要注意个问题 登陆页面不能被过滤 原理就像这个
拿钥匙开保险柜一样 假如 你所需要保存的东西保存在保险柜里
然后必须有一把钥匙开锁 但是如果你将钥匙也锁在保险柜 那就永远也开不了锁
然而 将登陆页包含在过滤目录下就像将钥匙锁在保险柜是一样的
好了,话不多说。
--------------------------------------------------------------------------------
谢谢观看 小弟新手 有什么不足 麻烦指出 在此谢谢了 chenwei51制作 请尊重作者 转帖 需注明原地址 
