web.xml安全性认证优先过滤器执行导致的一个问题
程序员文章站
2024-03-14 13:55:34
...
采用非安全认证对失去session后的处理方式是,在过滤器中设置
然而采用了安全认证,导致第一步会进行安全认证,web.xml会让失去session或者本身就没有session的用户的界面跳转到登陆界面login.jsp,可是地址栏上的URL却岿然不动,如果不做处理的话将会直接执行你输入的那个url的action,本想着在提交表单的时候操作那个url,不过安全认证让你无从下手,因为
这个安全认证的提交表单的方式让我止步,也许您还可以试试是否可以去看看
这个几个类的源代码,不过那却是非常痛苦的事了,苦思冥想,经一哥们指点,这个问题变得如此的简单,没有session后,页面跳转到了login.jsp,但是url却还在你输入的url中,故此
只需判断url是不是你登陆的login.jsp,不然的话就跳转了,得到这一解答后,汗了一大把,想到了要从过滤器修改,想过查看安全认证源码,肿么就没想到在jsp上直接跳转呢。学习了一把。
import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import org.apache.commons.logging.Log;
import org.apache.commons.logging.LogFactory;
import cn.com.newglobe.ibatis.model.Userinfo;
public class AuthFilter implements Filter {
private static Log log = LogFactory.getLog(AuthFilter.class);
public void init(FilterConfig filterConfig) throws ServletException {
if (log.isDebugEnabled()) {
log.debug("初始化权限过滤器。");
}
}
public void doFilter(ServletRequest servletRequest,
ServletResponse servletResponse, FilterChain filterChain)
throws IOException, ServletException {
System.out.println("初始化登录");
/**
* 1,doFilter方法的第一个参数为ServletRequest对象。此对象给过滤器提供了对进入的信息(包括
* 表单数据、cookie和HTTP请求头)的完全访问。第二个参数为ServletResponse,通常在简单的过
* 滤器中忽略此参数。最后一个参数为FilterChain,此参数用来调用servlet或JSP页。
*/
HttpServletRequest request = (HttpServletRequest) servletRequest;
/**
* 如果处理HTTP请求,并且需要访问诸如getHeader或getCookies等在ServletRequest中
* 无法得到的方法,就要把此request对象构造成HttpServletRequest
*/
HttpServletResponse response = (HttpServletResponse) servletResponse;
response.setHeader("Pragma","No-cache");
response.setHeader("Cache-Control","no-cache");
response.setHeader("Cache-Control", "no-store");
response.setDateHeader("Expires",0);
String currentURL = request.getRequestURI(); // 取得根目录所对应的绝对路径:
HttpSession session = request.getSession();
// 如果jsp就验证(login.jsp除外)
if ((!currentURL.contains("/logon.jsp"))
&& (!currentURL.contains("/logon/"))
&& (!currentURL.contains("/forword.action"))
&& (!currentURL.contains("/images/"))
&& (!currentURL.contains("/CSS/"))
&& (!currentURL.contains("/service/ledService"))
&& (!currentURL.contains("/codeMaker"))) {
if (log.isDebugEnabled()) {
log.debug("对jsp文件进行权限验证。" + "请求的URL:" + currentURL);
}
//验证Session是否过期
// if(request.isRequestedSessionIdValid()){
// //session过期,转向session过期提示页,最终跳转至登录页面
// response.sendRedirect(request.getContextPath() + "/logon/logOut.action");
// return ;
// }
// 判断当前页是否是重定向以后的登录页面页面,如果是就不做session的判断,防止出现死循环
Userinfo user=(Userinfo) session.getAttribute("user");
if (user == null) {
response.sendRedirect(request.getContextPath() + "/logon/logOut.action");
return;
}
// else {
// Userinfo user=(Userinfo) session.getAttribute("user");
// request.getSession().setAttribute("user",user);
//
// }
}
// 加入filter链继续向下执行
filterChain.doFilter(request, response);
/**
* 调用FilterChain对象的doFilter方法。Filter接口的doFilter方法取一个FilterChain对象作 为它
* 的一个参数。在调用此对象的doFilter方法时,**下一个相关的过滤器。如果没有另
* 一个过滤器与servlet或JSP页面关联,则servlet或JSP页面被**。
*/
}
public void destroy() {
}
}
然而采用了安全认证,导致第一步会进行安全认证,web.xml会让失去session或者本身就没有session的用户的界面跳转到登陆界面login.jsp,可是地址栏上的URL却岿然不动,如果不做处理的话将会直接执行你输入的那个url的action,本想着在提交表单的时候操作那个url,不过安全认证让你无从下手,因为
<form name="loginform" method="post" action="j_security_check">
<INPUT name="j_username" type="text">
<INPUT name="j_password" TYPE="password">
<input type="submit" value="登 录" >
</form>
这个安全认证的提交表单的方式让我止步,也许您还可以试试是否可以去看看
javax.security.auth.Subject;
javax.security.auth.callback.Callback;
javax.security.auth.callback.CallbackHandler;
javax.security.auth.callback.NameCallback;
javax.security.auth.callback.PasswordCallback;
javax.security.auth.login.FailedLoginException;
javax.security.auth.login.LoginException;
javax.security.auth.spi.LoginModule;这个几个类的源代码,不过那却是非常痛苦的事了,苦思冥想,经一哥们指点,这个问题变得如此的简单,没有session后,页面跳转到了login.jsp,但是url却还在你输入的url中,故此
var firstHref=window.location.href;
if(firstHref.indexOf('HbEip/login/login.jsp')==-1)
{
window.location.href="<%=request.getContextPath()%>/login/login.jsp"
}只需判断url是不是你登陆的login.jsp,不然的话就跳转了,得到这一解答后,汗了一大把,想到了要从过滤器修改,想过查看安全认证源码,肿么就没想到在jsp上直接跳转呢。学习了一把。
上一篇: 数组根据某个字段排序