使用Filter完成统一验证
为保证系统的安全性,我们通常情况下,在每一个页面都要检测用户是否已经登录或者登录是否已经过期,在以往的情况下,我们是对每个登录的页面进行Session验证,这样虽然达到了所必要的效果,但是复杂性大大增强,而且还很容易漏掉一些页面的验证。
?
在J2EE中,有了Filter这个强大的责任链模式,我们再也不用费脑费手费脚的一个个的写验证了,仅仅是写一个自动验证的AuthFilter类,再在配置文件里面配置一下就OK了。是不是很简单?不会吗?看下面的Code:
?
首先,我们创建一个AuthFilter类来实现Filter父类,在这里我们需要重写父类的DoFilter方法,来实现对用户登录的验证,看下面的代码:
?
public void doFilter(ServletRequest request, ServletResponse response,FilterChain chain) throws IOException, ServletException {//强制转换HttpServletRequest和HttpServletResponse对象,目的是获取Session对象和进行页面重定向HttpServletRequest req=(HttpServletRequest)request;HttpServletResponse resp=(HttpServletResponse)response;String requestURI=req.getRequestURI().substring(req.getRequestURI().lastIndexOf("/", req.getRequestURI().length()));//登陆页就不需要进行验证了if(!"login.jsp".equals(requestURI)){//括号里的false决定对象的创建权呢,可不要小看HttpSession session=req.getSession(false);if(req.getSession()==null||req.getAttribute("user_info")==null){resp.sendRedirect(req.getContextPath()+"/login.jsp");return;}}//继续访问其他资源chain.doFilter(req, resp);}?
?
<filter><filter-name>AuthFilter</filter-name><filter-class>com.cx.drp.util.filter.AuthFilter</filter-class></filter><filter-mapping><filter-name>AuthFilter</filter-name><url-pattern>*.jsp</url-pattern></filter-mapping><filter-mapping><filter-name>AuthFilter</filter-name><url-pattern>/servlet/*</url-pattern></filter-mapping>
?
?
有了AuthFilter和web.XML,你是否就高枕无忧了呢?答案是FALSE!如果你的页面中含有验证码等内容,AuthFilter也会将验证码给过滤掉的,怎么去解决这个问题呢?
?
方法一,修改web.xml配置文件,将验证码放在其它的目录下,不要放到/servlet目录下。方法二,在AuthFilter中过滤掉就OK了,具体的代码,你懂的~~