《Java Web应用开发项目教程_第七章》.pptVIP

第7章 使用过滤器实现用户授权验证 ■本章要点： ★Servlet过滤器开发技术 ★用户授权验证功能模块设计与实现 ★ Servlet过滤器技术特性分析 ★ Servlet过滤器的典型应用 7.1 使用Servlet过滤器实现用户授权验证功能 ■用户登录验证功能分析 我们知道，在进行用户的首次身份认证后都会在Session中留下相应的用户对象作为标识，在以后的操作中，只需要在进行身份验证的页面或Servlet中查看相应的Session即可。但是如果在每个页面或Servlet中都添加身份验证的代码显然会对编程造成很大的麻烦，也会增加多余的代码。而Servlet过滤器可以截取从客户端发送到服务器的请求，并作出处理答复。它的主要功能是验证客户是否来自可信的网络、对客户提交的数据进行重新编码、可以从系统里获取配置的信息、可以过滤掉客户的某些不应该出现的词汇、可以验证客户是否已经登录、可以验证客户端的浏览器是否支持当前的应用等。 7.1 使用Servlet过滤器实现用户授权验证功能 ■建立一个过滤器由下列五个步骤完成 1）建立一个实现Filter接口的类。 2）在doFilter方法中放入过滤行为。 3）调用FilterChain对象的 doFilter方法。 4）对相应的servlet和JSP页面注册过滤器。 5）禁用激活器servlet，防止用户利用缺省servlet URL绕过过滤器设置。 7.1 使用Servlet过滤器实现用户授权验证功能 ■过滤器应用控制流程如下图 7.1 使用Servlet过滤器实现用户授权验证功能 ■Servlet过滤器实现一 创建过滤器SessionFilter，通过NEW命令创建一个Class文件，配置如下 7.1 使用Servlet过滤器实现用户授权验证功能 ■Servlet过滤器实现二 在doFilter方法中放入过滤行为： //在doFilter方法中放入过滤行为 public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletRequest httpreq = (HttpServletRequest) request; HttpServletResponse httpres = (HttpServletResponse) response; HttpServletResponseWrapper wrapper = new HttpServletResponseWrapper((HttpServletResponse) response); //通过配置参数对象config获取配置信息中的初始化参数“logonstrings”（不需要过滤的页面！） String logonStrings = config.getInitParameter(logonStrings); //获取配置信息中的初始化参数“includeStrings”（需要过滤的页面！） String includeStrings = config.getInitParameter(includeStrings); //没有登录的话需要重定向到的页面 String redirectPath = httpreq.getContextPath() + config.getInitParameter(redirectPath); //过滤器测试过滤行为初始值为“N”　 String disabletestfilter = config.getInitParameter(disabletestfilter); if (disabletestfilter.toUpperCase().equals(Y)) { chain.doFilter(request, response); return; } String[] logonList = logonStrings.split(;); String[] includeList = includeStrings.split(;); Object user = httpreq.getSession().getAttribute(user);//获取Session中用户对象 Object manager=httpreq.getSession().getAttribute(mana