`

使用过滤器和拦截器做访问权限限制

阅读更多

Struts2项目通过使用Struts的if标签进行了session判断,使得未登录的用户不能看到页面,但是这 种现仅仅在view层进行,如果未登录用户直接在地址栏输入登录用户才能访问的地址,那么相应的action还是会执行,仅仅是不让用户看到罢了。这样显然是不好的,所以研究了一下Struts2的权限验证。

权限最核心的是业务逻辑,具体用什么技术来实现就简单得多。 
通常:用户与角色建立多对多关系,角色与业务模块构成多对多关系,权限管理在后者关系中。 
对权限的拦截,如果系统请求量大,可以用Struts2拦截器来做,请求量小可以放在filter中。但一般单级拦截还不够,要做到更细粒度的权限控制,还需要多级拦截。

    不大理解filter(过滤器)和interceptor(拦截器)的区别,遂google之。博文中有介绍:

1、拦截器是基于java的反射机制的,而过滤器是基于函数回调 。 
2、过滤器依赖与servlet容器,而拦截器不依赖与servlet容器 。 
3、拦截器只能对action请求起作用,而过滤器则可以对几乎所有的请求 起作用 。 
4、拦截器可以访问action上下文、值栈里的对象,而过滤器不能 。 
5、在action的生命周期中,拦截器可以多次被调用,而过滤器只能在容 器初始化时被调用一次 。

    为了学习决定把两种实现方式都试一下,然后再决定使用哪个。

权限验证的Filter实现:

web.xml代码片段

  

[html] view plaincopy
 
  1. <!-- authority filter 最好加在Struts2的Filter前面-->  
  2.   <filter>  
  3.     <filter-name>SessionInvalidate</filter-name>  
  4.     <filter-class>filter.SessionCheckFilter</filter-class>  
  5.     <init-param>  
  6.       <param-name>checkSessionKey</param-name>  
  7.       <param-value>loginName</param-value>  
  8.     </init-param>  
  9.     <init-param>  
  10.       <param-name>redirectURL</param-name>  
  11.       <param-value>/entpLogin.jsp</param-value>  
  12.     </init-param>  
  13.     <init-param>  
  14.       <param-name>notCheckURLList</param-name>  
  15.       <param-value>/entpLogin.jsp,/rois/loginEntp.action,/entpRegister.jsp,/test.jsp,/rois/registerEntp.action</param-value>  
  16.     </init-param>  
  17.   </filter>  
  18.   <!--过滤/rois命名空间下所有action  -->  
  19.   <filter-mapping>  
  20.     <filter-name>SessionInvalidate</filter-name>  
  21.     <url-pattern>/rois/*</url-pattern>  
  22.   </filter-mapping>  
  23.   <!--过滤/jsp文件夹下所有jsp  -->  
  24.   <filter-mapping>  
  25.     <filter-name>SessionInvalidate</filter-name>  
  26.     <url-pattern>/jsp/*</url-pattern>  
  27.   </filter-mapping>  



SessionCheckFilter.java代码

[java] view plaincopy
 
  1. package filter;  
  2. import java.io.IOException;  
  3. import java.util.HashSet;  
  4. import java.util.Set;  
  5. import javax.servlet.Filter;  
  6. import javax.servlet.FilterChain;  
  7. import javax.servlet.FilterConfig;  
  8. import javax.servlet.ServletException;  
  9. import javax.servlet.ServletRequest;  
  10. import javax.servlet.ServletResponse;  
  11. import javax.servlet.http.HttpServletRequest;  
  12. import javax.servlet.http.HttpServletResponse;  
  13. import javax.servlet.http.HttpSession;  
  14. /** 
  15.  * 用于检测用户是否登陆的过滤器,如果未登录,则重定向到指的登录页面 配置参数 checkSessionKey 需检查的在 Session 中保存的关键字 
  16.  * redirectURL 如果用户未登录,则重定向到指定的页面,URL不包括 ContextPath notCheckURLList 
  17.  * 不做检查的URL列表,以分号分开,并且 URL 中不包括 ContextPath 
  18.  */  
  19. public class SessionCheckFilter implements Filter {  
  20.   protected FilterConfig filterConfig = null;  
  21.   private String redirectURL = null;  
  22.   private Set<String> notCheckURLList = new HashSet<String>();  
  23.   private String sessionKey = null;  
  24.   @Override  
  25.   public void destroy() {  
  26.     notCheckURLList.clear();  
  27.   }  
  28.   @Override  
  29.   public void doFilter(ServletRequest servletRequest,  
  30.       ServletResponse servletResponse, FilterChain filterChain)  
  31.       throws IOException, ServletException {  
  32.     HttpServletRequest request = (HttpServletRequest) servletRequest;  
  33.     HttpServletResponse response = (HttpServletResponse) servletResponse;  
  34.     HttpSession session = request.getSession();  
  35.     if (sessionKey == null) {  
  36.       filterChain.doFilter(request, response);  
  37.       return;  
  38.     }  
  39.     if ((!checkRequestURIIntNotFilterList(request))  
  40.         && session.getAttribute(sessionKey) == null) {  
  41.       response.sendRedirect(request.getContextPath() + redirectURL);  
  42.       return;  
  43.     }  
  44.     filterChain.doFilter(servletRequest, servletResponse);  
  45.   }  
  46.   private boolean checkRequestURIIntNotFilterList(HttpServletRequest request) {  
  47.     String uri = request.getServletPath()  
  48.         + (request.getPathInfo() == null ? "" : request.getPathInfo());  
  49.     String temp = request.getRequestURI();  
  50.     temp = temp.substring(request.getContextPath().length() + 1);  
  51.     // System.out.println("是否包括:"+uri+";"+notCheckURLList+"=="+notCheckURLList.contains(uri));  
  52.     return notCheckURLList.contains(uri);  
  53.   }  
  54.   @Override  
  55.   public void init(FilterConfig filterConfig) throws ServletException {  
  56.     this.filterConfig = filterConfig;  
  57.     redirectURL = filterConfig.getInitParameter("redirectURL");  
  58.     sessionKey = filterConfig.getInitParameter("checkSessionKey");  
  59.     String notCheckURLListStr = filterConfig  
  60.         .getInitParameter("notCheckURLList");  
  61.     if (notCheckURLListStr != null) {  
  62.       System.out.println(notCheckURLListStr);  
  63.       String[] params = notCheckURLListStr.split(",");  
  64.       for (int i = 0; i < params.length; i++) {  
  65.         notCheckURLList.add(params[i].trim());  
  66.       }  
  67.     }  
  68.   }  
  69. }  


权限验证的Interceptor实现:

   使用Interceptor不需要更改web.xml,只需要对struts.xml进行配置

struts.xml片段

[html] view plaincopy
 
  1. <!-- 用户拦截器定义在该元素下 -->  
  2.     <interceptors>  
  3.       <!-- 定义了一个名为authority的拦截器 -->  
  4.       <interceptor name="authenticationInterceptor" class="interceptor.AuthInterceptor" />  
  5.       <interceptor-stack name="defualtSecurityStackWithAuthentication">  
  6.         <interceptor-ref name="defaultStack" />  
  7.         <interceptor-ref name="authenticationInterceptor" />  
  8.       </interceptor-stack>  
  9.     </interceptors>  
  10.     <default-interceptor-ref name="defualtSecurityStackWithAuthentication" />  
  11.     <!-- 全局Result -->  
  12.     <global-results>  
  13.       <result name="error">/error.jsp</result>  
  14.       <result name="login">/Login.jsp</result>  
  15.     </global-results>  
  16.     <action name="login" class="action.LoginAction">  
  17.       <param name="withoutAuthentication">true</param>  
  18.       <result name="success">/WEB-INF/jsp/welcome.jsp</result>  
  19.       <result name="input">/Login.jsp</result>  
  20.     </action>  
  21.     <action name="viewBook" class="action.ViewBookAction">  
  22.         <result name="sucess">/WEB-INF/viewBook.jsp</result>  
  23.     </action>  


AuthInterceptor.java代码

[java] view plaincopy
 
  1. package interceptor;  
  2. import java.util.Map;  
  3. import com.opensymphony.xwork2.Action;  
  4. import com.opensymphony.xwork2.ActionContext;  
  5. import com.opensymphony.xwork2.ActionInvocation;  
  6. import com.opensymphony.xwork2.interceptor.AbstractInterceptor;  
  7. public class AuthInterceptor extends AbstractInterceptor {  
  8.   private static final long serialVersionUID = -5114658085937727056L;  
  9.   private String sessionKey="loginName";  
  10.   private String parmKey="withoutAuthentication";  
  11.   private boolean excluded;  
  12.   @Override  
  13.   public String intercept(ActionInvocation invocation) throws Exception {  
  14.       
  15.     ActionContext ac=invocation.getInvocationContext();  
  16.     Map<?, ?> session =ac.getSession();  
  17.     String parm=(String) ac.getParameters().get(parmKey);  
  18.       
  19.     if(parm!=null){  
  20.       excluded=parm.toUpperCase().equals("TRUE");  
  21.     }  
  22.       
  23.     String user=(String)session.get(sessionKey);  
  24.     if(excluded || user!=null){  
  25.       return invocation.invoke();  
  26.     }  
  27.     ac.put("tip""您还没有登录!");  
  28.     //直接返回 login 的逻辑视图    
  29.         return Action.LOGIN;   
  30.   }  
  31. }  

 

 

使用自定义的default-interceptor的话有需要注意几点:

1.一定要引用一下Sturts2自带defaultStack。否则会用不了Struts2自带的拦截器。

2.一旦在某个包下定义了上面的默认拦截器栈,在该包下的所有 Action 都会自动增加权限检查功能。所以有可能会出现永远登录不了的情况。

解决方案:

1.像上面的代码一样,在action里面增加一个参数表明不需要验证,然后在interceptor实现类里面检查是否不需要验证

2.将那些不需要使用权限控制的 Action 定义在另一个包中,这个新的包中依然使用 Struts 2 原有的默认拦截器栈,将不会有权限控制功能。

3.Interceptor是针对action的拦截,如果知道jsp地址的话在URL栏直接输入JSP的地址,那么权限验证是没有效果滴!

解决方案:把所有page代码(jsp)放到WEB-INF下面,这个目录下的东西是“看不见”的

分享到:
评论

相关推荐

    拦截器和过滤器的区别

    - **过滤器**:无法直接访问Action上下文,因此在进行业务逻辑处理时可能会受到限制。 2. **调用时机**: - **拦截器**:在Action请求的处理过程中可以被多次调用,这使得开发者可以根据实际需求灵活地控制拦截...

    过滤器/拦截器

    在Web开发领域,过滤器(Filter)和拦截器(Interceptor)是两种常见的机制,它们用于在请求被实际处理之前或之后执行特定的操作。这两种技术在Java Web应用中尤为常见,尤其是使用Servlet API或者Spring框架的时候...

    Jsp中使用过滤器实现用户权限限制功能

    本文将深入探讨如何在JSP中利用过滤器实现用户权限限制功能。 首先,我们需要了解过滤器的概念。在Servlet规范中,过滤器是Java Web应用中的一个组件,它可以在请求被Servlet处理之前和之后执行一些预处理或后处理...

    java web权限访问过滤器

    过滤器是Servlet API的一部分,它允许我们在请求到达目标资源(如Servlet、JSP页面)之前或之后对请求和响应进行拦截处理。 首先,我们需要了解过滤器的基本概念。在Java Web中,过滤器是一个实现了javax.servlet....

    Asp.net Mvc身份验证、异常处理、权限验证(拦截器)源码

    - `Demo\Controllers\Attribute`: 自定义属性(Attributes)的实现,可能包括身份验证、异常处理和权限验证的拦截器。 - `Demo\obj\Debug`: 编译过程中的中间文件,通常不直接涉及业务逻辑。 - `Demo\Scripts`: ...

    通过过滤器管理用户权限(2)

    在本文中,我们将深入探讨如何使用过滤器来管理用户权限,这是Web应用程序中常见的安全实践。过滤器在Java Web开发中扮演着重要角色,尤其是在处理请求和响应时进行预处理和后处理。在这个主题中,我们将主要关注...

    IP地址段的过滤,限制ip,限制主机访问

    3. **Java Web过滤器(Filter)**:在Java Web应用中,Filter是Servlet规范的一部分,用于拦截HTTP请求和响应。我们可以通过自定义Filter实现IP过滤,如在`doFilter()`方法中检查请求的IP地址。 4. **Web应用配置**...

    过滤器 乱码,非法字符,权限

    在IT行业中,过滤器(Filter)是Java Web开发中的一个重要概念,主要应用于Servlet规范中,用于拦截请求和响应,执行一些预处理或后处理任务。本文将深入探讨标题和描述中涉及的几个关键知识点:过滤器乱码问题、...

    文件服务器访问虚拟路径过滤器源代码

    6. **日志和异常处理**:为了调试和监控,过滤器应记录每次拦截的请求和处理结果。同时,当访问被拒绝或出现错误时,需要有适当的异常处理机制。 7. **性能优化**:为了保证服务性能,过滤器应该尽可能高效,避免...

    java 中如何使用filter过滤器

    在Java Web开发中,Filter(过滤器)是一个强大的工具,它允许开发者在数据处理的前后进行拦截和修改。本文将详细介绍如何在Java中使用Filter过滤器,以及如何配置相关的配置文件,让你一目了然。 ### 1. Filter...

    浅谈SpringMVC的拦截器(Interceptor)和Servlet 的过滤器(Filter)的区别与联系 及SpringMVC 的配置文件

    在本文中,我们将深入探讨SpringMVC的拦截器(Interceptor)和Servlet的过滤器(Filter)之间的差异和联系,以及如何配置SpringMVC的拦截器。理解这两者的区别对于开发高效且安全的Web应用程序至关重要。 首先,让我们...

    Android 短信拦截器

    7. **注意事项**: 从Android 8.0(Oreo)开始,后台服务和BroadcastReceiver的使用受到了限制。对于Oreo及更高版本,可能需要使用JobScheduler、WorkManager或者自定义Foreground Service来确保BroadcastReceiver的...

    java禁止直接url访问图片

    综上所述,Java禁止直接URL访问图片涉及多个方面,包括Web服务器配置、Java Servlet、权限验证、过滤器、防盗链技术以及CDN的使用等,这些都需要开发者深入理解和灵活运用。通过这些手段,我们可以有效地保护网络...

    MVCFilter过滤器.rar

    1. **授权过滤器(Authorization Filters)**:这类过滤器用于验证用户是否有权限访问某个控制器或操作。如果用户未通过验证,过滤器会阻止操作的执行。例如,可以使用`[Authorize]`属性来限制只有已登录用户才能...

    web.xml过滤器知识

    2. 安全控制:限制访问权限,阻止恶意请求,或者进行登录验证。 3. 性能优化:缓存策略,如Etag和Last-Modified检查,减少不必要的资源加载。 4. 日志记录:记录请求信息,便于调试和监控。 5. 国际化:根据用户偏好...

    JAVA_Servlet过滤器.

    3. 访问地址过滤:通过过滤器可以限制用户访问特定的URL,例如只有具备特定权限的用户才能访问管理页面。 4. 网站logo过滤:可以通过过滤器动态地为网站中的所有页面添加logo,而不必在每个页面上重复代码。 在扩展...

    filter过滤器实现权限访问控制以及同一账号只能登录一台设备

    `Filter`过滤器是Java Servlet技术中的一种机制,用于对HTTP请求和响应进行预处理和后处理,从而实现诸如权限验证、数据转换、日志记录等功能。在这个场景中,我们将探讨如何使用`Filter`来实现权限访问控制,以及...

    Java Filter 限制用户浏览权限

    在Java Web开发中,过滤器(Filter)是一个强大的工具,它可以拦截HTTP请求并进行预处理,也可以在响应发送给客户端之前进行后处理。本话题主要关注如何使用Java Filter来限制用户的浏览权限,确保只有经过身份验证...

    Javaweb过滤器.zip

    JavaWeb过滤器是JavaWeb开发中的重要组成部分,主要用于在HTTP请求和响应之间进行拦截和处理。这个压缩包“Javaweb过滤器.zip”可能包含了关于如何使用和理解JavaWeb过滤器的相关教程或示例代码。下面将详细介绍...

Global site tag (gtag.js) - Google Analytics