JSP+Servlet培训班作业管理系统[22]–番外篇之过滤器与权限管理

2021-11-16 101

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介： 本文目录1. 本章任务2. 开发过滤器类3. 过滤器拦截4. 过滤器通过5. 权限管理的实现

+关注继续查看

1. 本章任务

本篇主要讲述使用过滤器实现简单的权限管理功能。

首先说下什么是过滤器呢，其实就是在网页请求和Servlet之间添加了一个过滤网。通过设定一些规则，符合规则的请求呢就通过了过滤器，到达了Servlet；那不符合规则的请求呢，过滤器就拦截下来，不让它继续访问了。

感觉挺高级啊，那么是如何实现的呢，其实很简单哦，跟Servlet差不多。Servlet通过继承HttpServlet具备了处理Http请求的功能，而过滤器呢，通过实现Filter接口，具备了成为一个合格过滤器的证书。然后，Servlet通过web.xml定义了它响应什么样的请求(比如/ActionServlet)，而过滤器也是通过web.xml定义了它要过滤什么样的请求。

哎，怎么说来说去，感觉过滤器和Servlet好像啊。哈哈，让我们来看看Filter接口的户口吧：javax.servlet.Filter。而Servlet户口为：javax.servlet.http.HttpServlet，好像可以说，他俩是叔侄关系啊。怪不得、怪不得。

2. 开发过滤器类

好的，现在我们来在作业管理系统实现下过滤器，首先在org.maoge.servlet包下新建SessionFilter类（主要是针对Session进行过滤，保证没登录的用户无法访问网站功能），然后实现Filter接口，并实现接口规范的方法。

@WebFilter(filterName = "SessionFilter", urlPatterns = "/*")
public class SessionFilter implements Filter{
    @Override
    public void destroy() {
    }
    /**
     * 核心过滤方法
     */
    @Override
    public void doFilter(ServletRequest request, ServletResponse response,
            FilterChain chain) throws IOException, ServletException {
        System.out.println("SessionFilter.doFilter");//用于测试
    }
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }
}

OK，注意@WebFilter注解表明这是一个过滤器，意思应该挺明显了：有个叫SessionFilter的过滤器，过滤规则是/*，也就是说只要请求里面有/，不管/后面是啥，这个过滤器都会过滤。

3. 过滤器拦截

好的，我们已经配置了过滤器，重启TOM猫后访问登录页，有两大现象值得注意：

1，控制台输出了SessionFilter.doFilter，这个现象说明我们的请求被拦截了。为啥被拦截呢，我们的请求是：http://127.1.1.1:8080/HomeworkSystem/login.jsp，有/吗？有，所以拦截没商量。不信你就是访问http://127.1.1.1:8080/HomeworkSystem/照样拦截你，当然你访问http://127.1.1.1:8080/Homework/肯定不拦截你，因为都不是一个项目了哈哈。

2，控制台输出SessionFilter.doFilter后网页一片空白，为啥？因为拦住了，那么怎么放行呢，如下：

4. 过滤器通过

public void doFilter(ServletRequest request, ServletResponse response,
            FilterChain chain) throws IOException, ServletException {
        System.out.println("SessionFilter.doFilter");//用于测试
        chain.doFilter(request, response);
    }

在doFilter过滤方法中添加chain.doFilter(request, response);，这个语句可以理解为过滤器网啊，放过了一个请求，完事。

5. 权限管理的实现

好的，如此以来，我们可以如此设计doFilter方法以便拦截不合法的请求了：


@WebFilter(filterName = "SessionFilter", urlPatterns = "/*")
public class SessionFilter implements Filter {
    @Override
    public void destroy() {
    }

    /**
     * 核心过滤方法
     */
    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        // 获取代表用户请求、响应、会话的对象
        HttpServletRequest servletRequest = (HttpServletRequest) request;
        HttpServletResponse servletResponse = (HttpServletResponse) response;
        HttpSession servletSession = servletRequest.getSession();
        // 获得用户请求的URI
        String path = servletRequest.getRequestURI();
        // 允许访问login.jsp和tip.jsp以及LoginServlet
        if ((path.indexOf("/login.jsp") > -1) || (path.indexOf("/tip.jsp") > -1)
                || (path.indexOf("/LoginServlet") > -1)) {
            chain.doFilter(request, response);
            return;

        }
        // 允许访问css文件和图片文件(如果不允许，那就看不到样式和图片了)
        else if (path.contains(".css") || path.contains(".jpg") || path.contains(".gif") || path.contains(".png")) {
            chain.doFilter(request, response);
            return;

        }
        // 允许访问js文件，注意不允许访问jsp文件！
        else if (path.contains(".js") && (!path.contains("jsp"))) {
            chain.doFilter(request, response);
            return;
        }
        // 除上述允许访问的之外，如果未登录报无权限错误
        if (((HttpServletRequest) request).getSession().getAttribute("loginUser") == null) {
            servletRequest.setAttribute("tipInfo", "无权限！");
            request.getRequestDispatcher("/tip.jsp").forward(request, response);
            return;
        }
        // 如果已登录，则允许访问
        else {
            chain.doFilter(request, response);
            return;
        }
    }

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }
}

意思就是，如果登录了，让你访问好了，如果没登录，就要限制你的访问。