Servlet jsp,身份验证过滤器
Servlet jsp, authentication filters
我有一个数据库,其中包含有关用户(用户名、密码、角色)的信息。我只想授予具有 "ROLE_USER" 或 "ROLE_ADMIN" 角色的登录用户对某些页面的访问权限。 (管理员有两个角色)
我是怎么做到的:
我有过滤器,我正在检查用户是否登录等。
@WebFilter(urlPatterns={"/*"})
public class AuthorizationFilter implements Filter
{
public boolean isUser=false;
public boolean isAdmin=false;
public void doFilter(ServletRequest req, ServletResponse resp,
FilterChain fc) throws IOException, ServletException
{
HttpServletRequest httpReq = (HttpServletRequest) req;
HttpSession session = httpReq.getSession();
HttpServletResponse res = (HttpServletResponse) resp;
if (httpReq.getSession().getAttribute("user") == null)
{
fc.doFilter(req, resp);
}
String login = (String) session.getAttribute("user");
Connection con = Connector.getSimpleConnection();
PreparedStatement pst = null;
String sql = "select ROLE from user_roles where username = ?";
try
{
pst = con.prepareStatement(sql);
pst.setString(1, login);
ResultSet rs = pst.executeQuery();
while(rs.next())
{
if (rs.getString("ROLE").equals("ROLE_USER"))
{
isUser = true;
}
else
{
if (rs.getString("ROLE").equals("ROLE_ADMIN"))
{
isAdmin = true;
}
}
}
if (isAdmin)
{
System.out.println("ADmin");
fc.doFilter(req, resp);
}
if (isUser)
{
System.out.println("User");
fc.doFilter(req, resp);
}
else
{
String path = httpReq.getServletPath();
System.out.println(path);
if (path.equals("/") || path.equals("/login") ||
path.equals("/welcome.jsp") || (path.equals("/register")))
{
RequestDispatcher dis = httpReq.getRequestDispatcher(path);
dis.forward(httpReq, resp);
fc.doFilter(req, resp);
}
else
{
RequestDispatcher dis = httpReq.getRequestDispatcher("/");
dis.forward(httpReq, resp);
}
}
}
catch (SQLException e)
{
e.printStackTrace();
}
}
我检查用户是否登录,而不是获取用户的角色。对于每个角色,我都会有一些页面。现在我只有匿名(未登录)用户。我有几个问题:
- 我检查用户是否登录,如果没有
fc.doFilter(req, resp);。据我了解,它必须转到下一个 "chain"。而这里我只有一个 "chain" 所以它必须关闭 doFilter。但事实并非如此。过滤器将在其他地方结束。
- 我可以只用
return ; 结束过滤吗?此过滤后是否适用于其他页面?
为什么在
之后
RequestDispatcher dis = httpReq.getRequestDispatcher("/");
dis.forward(httpReq, resp);
doFilter 还能用吗?我们有了新页面,所以它必须停止这个 doFilter 并为新页面创建新的 doFIlter。
第一个问题:
Filter#doFilter 会做这些事情:
- 将请求和响应传递给链中的下一个过滤器。
- 如果链中没有其他过滤器,它会将请求和响应传递给相关的 Servlet 以处理请求。
- 处理请求后,它将继续使用链中的最后一个过滤器。
如果您需要限制对某个页面的访问,那么请不要使用doFilter,因为这意味着您接受来自客户端的请求。相反,根据您的要求使用转发或重定向。
第2题:
是的,你可以。毕竟这是一种方法。在 doFilter 中调用 return; 之前,请确保您在响应中写入了正确的内容。编写响应的一种方法是使用 RequestDispatcher#forward 或重定向。
第3题:
因为那只是一个方法的调用。假设您有这样的方法:
public void foo(int x) {
if (x < 10) {
System.out.println("x is less than 10, it's not acceptable.");
}
System.out.println("x value is: " + x);
}
而您在问:为什么在 if 中调用 System.out.println LoC 后方法没有停止?。很简单:因为没有什么能阻止方法的执行。
我有一个数据库,其中包含有关用户(用户名、密码、角色)的信息。我只想授予具有 "ROLE_USER" 或 "ROLE_ADMIN" 角色的登录用户对某些页面的访问权限。 (管理员有两个角色)
我是怎么做到的:
我有过滤器,我正在检查用户是否登录等。
@WebFilter(urlPatterns={"/*"})
public class AuthorizationFilter implements Filter
{
public boolean isUser=false;
public boolean isAdmin=false;
public void doFilter(ServletRequest req, ServletResponse resp,
FilterChain fc) throws IOException, ServletException
{
HttpServletRequest httpReq = (HttpServletRequest) req;
HttpSession session = httpReq.getSession();
HttpServletResponse res = (HttpServletResponse) resp;
if (httpReq.getSession().getAttribute("user") == null)
{
fc.doFilter(req, resp);
}
String login = (String) session.getAttribute("user");
Connection con = Connector.getSimpleConnection();
PreparedStatement pst = null;
String sql = "select ROLE from user_roles where username = ?";
try
{
pst = con.prepareStatement(sql);
pst.setString(1, login);
ResultSet rs = pst.executeQuery();
while(rs.next())
{
if (rs.getString("ROLE").equals("ROLE_USER"))
{
isUser = true;
}
else
{
if (rs.getString("ROLE").equals("ROLE_ADMIN"))
{
isAdmin = true;
}
}
}
if (isAdmin)
{
System.out.println("ADmin");
fc.doFilter(req, resp);
}
if (isUser)
{
System.out.println("User");
fc.doFilter(req, resp);
}
else
{
String path = httpReq.getServletPath();
System.out.println(path);
if (path.equals("/") || path.equals("/login") ||
path.equals("/welcome.jsp") || (path.equals("/register")))
{
RequestDispatcher dis = httpReq.getRequestDispatcher(path);
dis.forward(httpReq, resp);
fc.doFilter(req, resp);
}
else
{
RequestDispatcher dis = httpReq.getRequestDispatcher("/");
dis.forward(httpReq, resp);
}
}
}
catch (SQLException e)
{
e.printStackTrace();
}
}
我检查用户是否登录,而不是获取用户的角色。对于每个角色,我都会有一些页面。现在我只有匿名(未登录)用户。我有几个问题:
- 我检查用户是否登录,如果没有
fc.doFilter(req, resp);。据我了解,它必须转到下一个 "chain"。而这里我只有一个 "chain" 所以它必须关闭 doFilter。但事实并非如此。过滤器将在其他地方结束。 - 我可以只用
return ;结束过滤吗?此过滤后是否适用于其他页面? 为什么在
之后RequestDispatcher dis = httpReq.getRequestDispatcher("/"); dis.forward(httpReq, resp);doFilter 还能用吗?我们有了新页面,所以它必须停止这个 doFilter 并为新页面创建新的 doFIlter。
第一个问题:
Filter#doFilter 会做这些事情:
- 将请求和响应传递给链中的下一个过滤器。
- 如果链中没有其他过滤器,它会将请求和响应传递给相关的 Servlet 以处理请求。
- 处理请求后,它将继续使用链中的最后一个过滤器。
如果您需要限制对某个页面的访问,那么请不要使用doFilter,因为这意味着您接受来自客户端的请求。相反,根据您的要求使用转发或重定向。
第2题:
是的,你可以。毕竟这是一种方法。在 doFilter 中调用 return; 之前,请确保您在响应中写入了正确的内容。编写响应的一种方法是使用 RequestDispatcher#forward 或重定向。
第3题:
因为那只是一个方法的调用。假设您有这样的方法:
public void foo(int x) {
if (x < 10) {
System.out.println("x is less than 10, it's not acceptable.");
}
System.out.println("x value is: " + x);
}
而您在问:为什么在 if 中调用 System.out.println LoC 后方法没有停止?。很简单:因为没有什么能阻止方法的执行。