`

day17过滤器 禁止缓存中文乱码自动登录MD5加密url级别权限控制

阅读更多

day17
Servlet Filter 过滤器

day18
Servlet Listener 和 在线支付

day19
JavaMail

day20
文件上传和下载

JavaEE Servlet规范 描述三种技术 Servlet Filter Listener
Servlet 技术 生成动态web资源
Filter 技术 对服务器web资源进行拦截(权限控制)
* Filter 对目标资源拦截,拦截HTTP请求和HTTP响应
* Filter 拦截本质上拦截url访问

Filter接口中定义了三个方法
init 初始化
doFilter 执行过滤
destroy 销毁

* Filter的doFilter方法中,传入FilterChain参数,FilterChain 请求调用链,提供doFilter用于执行调用链下一个资源

编写Servlet步骤
1、继承HttpServlet
2、配置web.xml Servlet虚拟路径
3、覆盖doGet 和 doPost


编写第一个Filter
1、创建hello.jsp ---- http://localhost/day17/hello.jsp
2、编写类 实现Filter 接口 (实现Filter接口 init doFilter destroy )
3、在web.xml中 注册过滤器,配置Filter拦截哪个web资源

在启动服务器时,Filter对象被创建,执行过滤器init 方法
配置拦截后,访问hello.jsp --- 过滤器中doFilter方法获得执行(每请求一次,doFilter 过滤一次)
* 没有配置过滤器之前,直接访问hello.jsp,当配置过滤器后,过滤器先于hello.jsp执行 ----- 此时Filter1和hello.jsp组成 请求调用链FilterChain
* 拦截目标资源后,如果想目标资源执行: chain.doFilter ;如果不执行chain.doFilter 目标资源不会得到执行

destroy方法和Servlet的destroy 一样,在正常关闭服务器情况下执行

* 对同一web资源配置多个过滤器
当配置多个Filter 拦截hello.jsp 组成新的请求调用链 Filter1 --- Filter2 --- hello.jsp
过滤器链会根据mapping 的顺序组成 <filter-mapping> 顺序调用过滤器执行

Filter生命周期三个方法:init doFilter destroy
1、init初始化 ---- 在服务器启动时执行
2、doFilter 执行过滤 ---- 访问目标时,拦截过滤执行,每次请求执行一次
3、destroy 销毁过滤器对象 ----- 在服务器正常关闭时调用

FileConfig 作用和ServletConfig 类似---- 为过滤器提供初始化参数
*String getInitParameter(String name) 获得初始化信息
*public ServletContext getServletContext() 获得ServletContext对象 保存全局数据、读取web资源文件

配置filter-mapping
1、对一个web资源可以配置多个过滤器
2、一个过滤器可以用来过滤多个web 资源
* 在filter-mapping中存在 <servlet-name> 过滤Servlet时,可以通过url 和 name两种配置方式
<url-pattern>/hello</url-pattern>
<servlet-name>HelloServlet</servlet-name>
3、关于url-pattern 写法和Servlet相同 有三种 完全匹配、目录匹配、扩展名匹配

<dispatcher> 标签及意义
配置在什么情况下、在什么调用方式下拦截目标资源
request,forward、include、error 四种方式,服务器调用资源方式
* 默认dispatcher值是request (请求时调用)
request ---- 在请求时过滤
forward ---- 在转发时过滤
include ---- 在包含时过滤
error --- 在错误页面跳转时过滤
web.xml中filter-mapping中配置<dispatcher></dispatcher>默认为request可以配置多个

如果想让过滤器执行,必须满足过滤方式 !!!! 如果forward、include 、error跳转时执行过滤 必须配置 dispatcher

案例一:关于编码集统一处理
功能描述:编写 input.jsp 提供输入姓名表单,在Servlet获得表单数据,将数据打印页面上
分析:过滤器在目标资源之前执行 ,过滤器拦截多个目标资源,多个目标资源相同代码,抽取过滤器中  ----- 经常写代码放入过滤器

request.setCharacterEncoding("utf-8");// 解决请求post乱码
response.setContentType("text/html;charset=utf-8"); // 响应乱码
将以上代码放入EncodingFilter,配置url 为/* 对全站web资源进行编码集设置

复习点:get乱码解决 第一种 配置tomcat server.xml URIEncoding="utf-8" 第二种 new String(xxx.getBytes("ISO-8859-1"),"utf-8");
* 重写getParameter 编写通用解决get乱码程序
* 阅读扩展资料 解决get post 全局乱码过滤器
解决全站get post乱码:
package cn.itcast.filter;

import java.io.IOException;
import java.io.UnsupportedEncodingException;
import java.util.Map;
import java.util.Set;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
/**
* 解决乱码通用的过滤器程序
* @author seawind
*/
public class EncodingFilter implements Filter {

 @Override
 public void destroy() {
 }

 @Override
 public void doFilter(ServletRequest request, ServletResponse response,
   FilterChain chain) throws IOException, ServletException {
  // 解决post
  request.setCharacterEncoding("utf-8");
  // 解决get
  EncodingRequest encodingRequest = new EncodingRequest(
    (HttpServletRequest) request);
  chain.doFilter(encodingRequest, response);

 }

 @Override
 public void init(FilterConfig filterConfig) throws ServletException {
 }

}

class EncodingRequest extends HttpServletRequestWrapper {

 private HttpServletRequest request;

 private boolean hasEncode = false;

 public EncodingRequest(HttpServletRequest request) {
  super(request);
  this.request = request;
 }

 @Override
 public String getParameter(String name) {
  // 通过getParameterMap方法完成
  String[] values = getParameterValues(name);
  if (values == null) {
   return null;
  }
  return values[0];
 }

 @Override
 public String[] getParameterValues(String name) {
  // 通过getParameterMap方法完成
  Map<String, String[]> parameterMap = getParameterMap();
  String[] values = parameterMap.get(name);
  return values;
 }

 @Override
 public Map getParameterMap() {
  Map<String, String[]> parameterMap = request.getParameterMap();
  String method = request.getMethod();
  if (method.equalsIgnoreCase("post")) {
   return parameterMap;
  }

  // get提交方式 手动转码 , 这里的转码只进行一次 所以通过 hasEncode 布尔类型变量控制
  if (!hasEncode) {
   Set<String> keys = parameterMap.keySet();
   for (String key : keys) {
    String[] values = parameterMap.get(key);
    if (values == null) {
     continue;
    }
    for (int i = 0; i < values.length; i++) {
     String value = values[i];
     // 解决get
     try {
      value = new String(value.getBytes("ISO-8859-1"),
        "utf-8");
      // values是一个地址
      values[i] = value;
     } catch (UnsupportedEncodingException e) {
      e.printStackTrace();
     }
    }
    // 一次转码完成后,设置转码状态为true
    hasEncode = true;
   }
  }
  return parameterMap;
 }
}

案例二:禁用缓存过滤器
分析:在web开发中,存在很多动态web资源,经常需要更新,为了保证客户端第一时间获得更新后结果,禁止动态web资源缓存
禁止缓存三个头信息
cache-control : no-cache
expires : -1  ---- 日期
pragma : no-cache

response.setHeader("Cache-Control", "no-cache");
response.setDateHeader("Expires", -1);
response.setHeader("Pragma", "no-cache");

* 禁用缓存公共代码放入过滤器中 ------ NoCacheFilter 禁止动态资源缓存
public class NoCacheFilter implements Filter {

 @Override
 public void destroy() {
 }

 @Override
 public void doFilter(ServletRequest request, ServletResponse response,
   FilterChain chain) throws IOException, ServletException {
  // 使用与HTTP协议相关 API,需要将参数转为子类型
  HttpServletResponse httpServletResponse = (HttpServletResponse) response;

  httpServletResponse.setHeader("Cache-Control", "no-cache");
  httpServletResponse.setDateHeader("Expires", -1);
  httpServletResponse.setHeader("Pragma", "no-cache");

  chain.doFilter(request, httpServletResponse);
 }

 @Override
 public void init(FilterConfig filterConfig) throws ServletException {
 }

}

案例三:对于图片一系列资源,不经常发生变动 ----- 图片缓存过滤器
* 虽然tomcat服务器内部 对静态资源有一个缓存策略,但是客户端仍然需要与服务器进行通信,通信性能损失
* 如果一些图片 永远不变,通过Expires 字段,设置图片 缓存时间 (当缓存时间没有过期之前,客户端方位资源 不会与服务器进行通信)

Expires 对于经常不变文件,是一个比tomcat默认缓存策略更优 解决方案!!!

public class ImageExpiresFilter implements Filter {

 @Override
 public void destroy() {
 }

 @Override
 public void doFilter(ServletRequest request, ServletResponse response,
   FilterChain chain) throws IOException, ServletException {
  // 设置图片过期时间 ,设置Expires头信息
  HttpServletResponse httpServletResponse = (HttpServletResponse) response;
  // 过期时间 = 当前时间 + 还有多久过期

  Calendar calendar = Calendar.getInstance();
  calendar.set(Calendar.MONTH, calendar.get(Calendar.MONTH) + 1);

  httpServletResponse
    .setDateHeader("Expires", calendar.getTimeInMillis());// 过期时间一个月

  httpServletResponse.setDateHeader("Expires", System.currentTimeMillis()
    + 1000L * 60 * 60 * 24 * 30);// 过期时间一个月

  chain.doFilter(request, httpServletResponse);
 }

 @Override
 public void init(FilterConfig filterConfig) throws ServletException {
 }

}
--------------------------------------------------------------------------------------------------------------------------------
案例四:自动登陆过滤器
功能:第一次登陆时,勾选自动登陆,关闭浏览器,再次打开,系统会自动进行用户已经登陆状态

登陆功能
create table user(
   id int primary key auto_increment,
   username varchar(40),
   password varchar(40),
   role varchar(40)
);

insert into user values(null,'aaa','111','admin');
insert into user values(null,'bbb','111','user');
insert into user values(null,'ccc','111','user');

* 复制mysql驱动、c3p0、dbutils 到WEB-INF/lib 下
* 复制JDBCUtils 工具类 和c3p0-config.xml

转发和重定向使用
1、使用转发,通过request.setAttribute 传递数据给 页面,路径不要写/工程名 ;
2、使用重定向,不能用request传递数据,路径 要写 /工程名

AutoLoginFilter 在什么情况下需要自动登陆 ??
1、当前用户必须未登陆
2、存在自动登陆cookie信息

* 自动登陆过滤器,过滤页面一定不包括登陆和注册 页面

自动登陆案例问题:
1、 如果用户名中文怎么办?
insert into user values(null,'小红','123','user');
解决方案:保存cookie时进行手动编码 URL编码
生成cookie 时 new Cookie(URLEncoder.encode(用户名,"utf-8"));  ------ LoginServlet
读取cookie时, 对用户进行解码 URLDecoder.decode(用户名,"utf-8");  ---- AutoLoginFilter

2、 中文名和密码安全问题
* cookie 是一个文本类型文件,内容非常容易泄露
实际开发中数据库中密码和cookie中密码 都应该 加密后保存  ---- 单向加密算法 MD5
* MySQL 提供md5 方法进行加密
将数据进行md5 加密
update user set password = md5(password) ;

MD5 破解  ----- 多对一映射算法 (运行两个不同明文 产生相同密文  概率很低) ---- 王小云 并没有提供解密算法,提供一套提高碰撞几率算法
* http://www.cmd5.com/

Base64 编解码技术,用于加密网络传输中安全内容 ---- 例如:迅雷下载地址
* 很多协议内容传输都采用BASE64 编码

public class DigestUtils {
 public static void main(String[] args) {
  // 迅雷地址获得 --- 使用Base64
  String url = "www.itcast.cn/爱情公寓1.rmvb";
  // 在地址前后添加 AA和ZZ
  url = "AA" + url + "ZZ";
  // 进行base64编码
  url = base64encode(url);

  // 在路径前 thunder://
  url = "thunder://" + url;

  System.out.println(url);
 }

 /**
  * Base64编码
  */
 public static String base64encode(String message) {
  BASE64Encoder base64Encoder = new BASE64Encoder();
  return base64Encoder.encode(message.getBytes());
 }

 /**
  * Base64解码
  *
  * @throws IOException
  */
 public static String base64decode(String message) throws IOException {
  BASE64Decoder base64Decoder = new BASE64Decoder();
  byte[] buf = base64Decoder.decodeBuffer(message);
  return new String(buf);
 }

 /**
  * 使用md5的算法进行加密
  *
  * @param plainText
  *            加密原文
  * @return 加密密文
  */
 public static String md5(String plainText) {
  byte[] secretBytes = null;
  try {
   secretBytes = MessageDigest.getInstance("md5").digest(
     plainText.getBytes());
  } catch (NoSuchAlgorithmException e) {
   throw new RuntimeException("没有md5这个算法!");
  }
  return new BigInteger(1, secretBytes).toString(16);// 将加密后byte数组
  // 转换16进制表示
 }

}

 public void doFilter(ServletRequest request, ServletResponse response,
   FilterChain chain) throws IOException, ServletException {
  // 1、判断当前用户是否已经登陆
  HttpServletRequest httpServletRequest = (HttpServletRequest) request;
  if (httpServletRequest.getSession().getAttribute("user") == null) {
   // 未登录
   // 2、判断autologin对应cookie 是否存在 ---- 将cookie 查询写为工具类
   Cookie cookie = CookieUtils.findCookie(httpServletRequest
     .getCookies(), "autologin");
   if (cookie != null) {
    // 找到了自动登陆cookie
    String username = cookie.getValue().split("\\.")[0];// 如果用户名中文,需要解密
    username = URLDecoder.decode(username, "utf-8");

    String password = cookie.getValue().split("\\.")[1];
    // 获得就是md5 加密密码,此处无需加密

    // 登陆逻辑
    String sql = "select * from user where username=? and password = ?";
    Object[] args = { username, password };
    QueryRunner queryRunner = new QueryRunner(JDBCUtils
      .getDataSource());
    try {
     User user = queryRunner.query(sql, new BeanHandler<User>(
       User.class), args);
     if (user != null) {
      httpServletRequest.getSession().setAttribute("user",
        user);
     }
     chain.doFilter(httpServletRequest, response);
    } catch (SQLException e) {
     e.printStackTrace();
    }

   } else {
    // 没有自动登陆信息
    chain.doFilter(httpServletRequest, response);
   }

  } else {
   // 已经登陆,不需要自动登陆
   chain.doFilter(httpServletRequest, response);
  }
 }

 @Override
 public void init(FilterConfig filterConfig) throws ServletException {
 }

}
public class LoginServlet extends HttpServlet {

 public void doGet(HttpServletRequest request, HttpServletResponse response)
   throws ServletException, IOException {
  // 获得用户名和密码
  String username = request.getParameter("username");
  String password = request.getParameter("password");
  // MD5 加密
  password = DigestUtils.md5(password);

  // 查询数据库
  String sql = "select * from user where username = ? and password= ?";
  Object[] args = { username, password };
  QueryRunner queryRunner = new QueryRunner(JDBCUtils.getDataSource());
  try {
   User user = queryRunner.query(sql,
     new BeanHandler<User>(User.class), args);
   if (user == null) {
    // 查询用户不存在,登陆失败
    request.setAttribute("msg", "用户名或者密码错误");
    request.getRequestDispatcher("/demo4/login.jsp").forward(
      request, response);
   } else {
    // 登陆成功
    // 判断是否勾选自动登陆
    if ("true".equals(request.getParameter("autologin"))) {
     // 用户勾选了 自动登陆
     // 将用户名和密码 以cookie形式写给客户端
     Cookie cookie = new Cookie("autologin", URLEncoder.encode(
       username, "utf-8")
       + "." + password);
     cookie.setMaxAge(60 * 60);
     cookie.setPath("/day17");
     response.addCookie(cookie);
    }

    // 将成功信息 保存Session
    request.getSession().setAttribute("user", user); // 表示已经登陆
    response.sendRedirect("/day17/demo4/welcome.jsp");
   }
  } catch (SQLException e) {
   e.printStackTrace();
  }
 }

 public void doPost(HttpServletRequest request, HttpServletResponse response)
   throws ServletException, IOException {
  doGet(request, response);
 }

}


案例五:关于URL级别权限控制
一个软件系统功能非常多,将功能进行分类(根据用户角色),将不同功能放入不同url 目录中 ,对目录级别进行url 权限控制

/public/ 代表游客可以访问 : 用户注册、用户登录
/user/ 代表普通用户可以访问: 购买商品,查看购物车,订单支付
/admin 代表超级管理员可以访问:查看商品销售情况,添加商品

建立JSP,在index.jsp提供对八个功能jsp访问 链接
编写登陆功能
仍然使用 day17 数据库 下 user 表
* 权限控制时,登陆功能游客可以访问 ----- 已经将login.jsp 放入public 但是 LoginServlet 也是登陆程序 也路径放入public
* LoginServlet 配置url-pattern 必须为/public/login

编写PrivilegeFilter 对资源进行全局权限控制

* 重点:
1、 获得访问资源路径
String path = httpServletRequest.getRequestURI().substring(httpServletRequest.getContextPath().length());
2、 判断当前用户是否登陆
User user = (User) httpServletRequest.getSession().getAttribute("user");
   if (user == null) {
    // 未登陆
   } else {
    // 已经登陆
   }
* 过滤掉未登录不能访问资源
3、获得用户权限,判断权限可以访问哪些资源  user.getRole()


今天学习重点内容:
1、过滤器原理
2.过滤器5个案例
案例一、案例二、案例三 重点原理 --- 代码很少
案例四 自动登陆 (原理) --- 会写
案例五 URL级别权限控制 (重点!!!!!!)

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 


 

0
0
分享到:
评论

相关推荐

    权限管理(过滤器粗粒度无侵入拦截方式)

    在"day20"这个文件夹中,可能包含了一些示例代码或教程,帮助读者更深入地理解和实践这种过滤器实现的权限管理方式。这些资料可能包括过滤器的实现代码、权限检查的逻辑以及相关的配置文件等内容。 总的来说,使用...

    关于监听器Listener和过滤器的小demo

    3. **权限控制**:实现用户登录验证,阻止未授权的访问。 4. **日志记录**:记录请求信息,便于追踪和调试。 5. **缓存管理**:实现资源的缓存,提高系统性能。 例如,`Filter`可以用于设置请求的编码为UTF-8,避免...

    java web过滤器案列

    本案例主要涉及两个关键点:30天自动登录(Day14_autologin)和用户踢人监听器(Day14_Kick)。 **自动登录(Day14_autologin)** 在30天自动登录的案列中,过滤器可能利用了Cookie来实现这一功能。当用户成功登录...

    python UI自动化 day4-5.md

    python UI自动化 day4-5.md

    DAY04_ES5和ES6.md

    DAY04_ES5和ES6.md

    javaEE(上下文_监听器_过滤器) ppt

    Java EE(Java Platform, Enterprise Edition)是用于构建企业级分布式应用程序的框架,它提供了一系列标准接口和组件模型,包括上下文、监听器和过滤器。这些概念是Java EE开发中的核心组成部分,对于理解和优化Web...

    day02笔记.md

    day02笔记.md

    Python 自动化 day7.md

    Python 自动化 day7.md

    Day17_文件操作.md

    Day17_文件操作.md

    day06_细颗粒权限控制1

    在描述的场景中,"day06_细颗粒权限控制1"的课题聚焦于如何在C#项目中实现细致的权限管理,特别是针对每个方法的访问控制。项目经理提出的要求是在每个方法上添加注解,通过这种方式指定该方法对应的功能权限。下面...

    HTML5CSS3_day01.md

    - 谷歌浏览器禁用了音频和视频标签的自动播放功能,可通过`muted`属性解决。 #### 四、新增输入标签与表单属性 - **新增的`&lt;input&gt;`类型**: - 如email、url、search、date等,使得数据验证变得更加简单。 - **...

    python UI自动化day1.md

    python UI自动化day1.md

    python UI自动化day2.md

    python UI自动化day2.md

    python UI自动化 day4.md

    python UI自动化 day4.md

    python UI自动化 day6.md

    python UI自动化 day6.md

    python UI自动化 day3.md

    python UI自动化 day3.md

    day04-多级缓存.rar

    在多级缓存系统中,通常包括L1、L2、L3等不同级别的缓存,其中L1离CPU最近,速度最快但容量最小,L3则相对较大,速度较慢。 二、多级缓存的工作原理 1. L1缓存:L1缓存是最快的,通常集成在CPU内部,用于存储最...

    day5 java笔记.md

    day5 java笔记.md

Global site tag (gtag.js) - Google Analytics