Filter应用二简单的权限管理

Filter应用二简单的权限管理

• 黑名单方式

记录哪些用户不能够访问那些网页

• 白名单方式

记录那些用户能够访问哪些网页

案例介绍

采用黑名单方式：p1.jsp,p2.jsp,p3.jsp等三个页面，haha不能访问p1.jsp;xixi不能访问p2.jsp
没有登陆的用户，不能访问p1,p2,p3等页面
紧跟Filter应用一的代码来制作简单的权限管理

• 在根目录下添加page包，并在包下创建p1,p2,p3等三个jsp页面，联系整体组织架构如下：
  

• 添加登陆页面

<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>登陆页面</title>
</head>
<body>
      登陆页面<br><br>
     <div id="info"></div>
     <form action="CheckLogin" method="post">
     <input type="hidden" name="status" value="0"/>
     姓&nbsp;名：<input type="text" name="userName"/><br>
     密&nbsp;码：<input type="password" name="pwd"/><br>
     <input type="submit" id="sub" value="提交"/>
     </form>
     <br><br>
     <a href="register.jsp">注册页面</a>
     <a href="login.jsp">登陆页面</a>
</body>
</html>

• 在监听器服务器启动时添加一个HashMap用来存储黑名单的信息，并将信息存放在application当中，取名right

package com.wy.listener;

import java.util.HashMap;
import javax.servlet.ServletContextEvent;
import javax.servlet.ServletContextListener;
import javax.servlet.annotation.WebListener;

/**
 * Application Lifecycle Listener implementation class FilterListener
 *
 */
@WebListener
public class FilterListener implements ServletContextListener {

    /**
     * Default constructor. 
     */
    public FilterListener() {
        // TODO Auto-generated constructor stub
    }

    /**
     * @see ServletContextListener#contextDestroyed(ServletContextEvent)
     */
    public void contextDestroyed(ServletContextEvent arg0)  { 
         // TODO Auto-generated method stub
    }

    /**
     * @see ServletContextListener#contextInitialized(ServletContextEvent)
     */
    public void contextInitialized(ServletContextEvent arg0)  { 
         // TODO Auto-generated method stub
        HashMap<String, String> map=new HashMap<String,String>();
        map.put("haha", "123456");
        map.put("xixi", "123456");
        map.put("youyou", "123456");
        //将信息存放在application中
        arg0.getServletContext().setAttribute("USERS", map);
        
        /**
         * 在做一个HashMap来存储黑名单内容
         * */
        HashMap<String, String> mapRight=new HashMap<String,String>();
        mapRight.put("haha", "p1.jsp");
        mapRight.put("xixi", "p2.jsp");
        arg0.getServletContext().setAttribute("RIGHTS", mapRight);
    }
}

• 监听器处理完成之后，再做登陆处理，创建CheckLogin的servlet进行登陆判定以及登陆成功之后的跳转

package com.wy.servlet;

import java.io.IOException;
import java.util.HashMap;
import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * Servlet implementation class CheckLogin
 */
@WebServlet("/CheckLogin")
public class CheckLogin extends HttpServlet {
    private static final long serialVersionUID = 1L;
       
    /**
     * @see HttpServlet#HttpServlet()
     */
    public CheckLogin() {
        super();
        // TODO Auto-generated constructor stub
    }

    /**
     * @see HttpServlet#doGet(HttpServletRequest request, HttpServletResponse response)
     */
    protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        /**
         * 获取到页面提交的用户名以及密码
         * 1.获取到存储的账户信息
         * 2.如果用户名在这个表中存在，那么如果网页得到的密码与存在用户的密码一致，
         * 则跳转到主页面，否则还跳回登陆页面
         */
        String name=request.getParameter("userName");
        String pwd=request.getParameter("pwd");
        @SuppressWarnings("unchecked")
        HashMap<String, String> map=(HashMap<String, String>) 
                request.getServletContext().getAttribute("USERS");
        if(map.containsKey(name)){
            String mpwd=map.get(name).toString();
            if(mpwd.equals(pwd)){
                //将当前用户名存储到session中
                request.getSession().setAttribute("NAME", name);
                response.sendRedirect("main.jsp");
                return;
            }
        }
        response.sendRedirect("login.jsp");
    }

    /**
     * @see HttpServlet#doPost(HttpServletRequest request, HttpServletResponse response)
     */
    protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        // TODO Auto-generated method stub
        doGet(request, response);
    }
}

上述代码主要进行的是登陆判定，页面接收到的用户信息与存储在HashMap中的信息做出对比，并将当前登陆的信息存储在session当中，便于后面进行访问控制权限与当前用户信息与黑名单信息比较判定

• 创建error.jsp页面用于没有权限或者没有登陆访问提示跳转

<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>Insert title here</title>
</head>
<body>
<%=request.getAttribute("info") %>
</body>
</html>

• 创建过滤器(WebRightFilter)来处理访问权限的问题

package com.wy.filter;

import java.io.IOException;
import java.util.HashMap;
import javax.servlet.DispatcherType;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.RequestDispatcher;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * Servlet Filter implementation class WebRightFilter
 */
@WebFilter(dispatcherTypes = {
                DispatcherType.REQUEST, 
                DispatcherType.FORWARD, 
                DispatcherType.INCLUDE, 
                DispatcherType.ERROR
        }
                    , urlPatterns = { "/page/*" })
public class WebRightFilter implements Filter {

    /**
     * Default constructor. 
     */
    public WebRightFilter() {
        // TODO Auto-generated constructor stub
    }

    /**
     * @see Filter#destroy()
     */
    public void destroy() {
        // TODO Auto-generated method stub
    }

    /**
     * @see Filter#doFilter(ServletRequest, ServletResponse, FilterChain)
     */
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) 
            throws IOException, ServletException {
        // TODO Auto-generated method stub
        // place your code here
        /**
         * 转换request和response成httpservletrequest(response)
         */
        HttpServletRequest req=(HttpServletRequest) request;
        HttpServletResponse res=(HttpServletResponse) response;
        
        RequestDispatcher rd=req.getRequestDispatcher("/error.jsp");
        /**
         * 处理未登录状态的情况
         * 从session当中去除存储的当前账号信息，看看是否已经登陆
         * 本来的跳转方式：res.sendRedirect("error.jsp");
         * 另外一种页面跳转方式：RequestDispatcher rd=request.getRequestDispatcher("error.jsp");
         * 区别在于第二种方式可以携带错误信息
         */
        String url=req.getRequestURI().toString();
        if(req.getSession().getAttribute("NAME")==null){
            
            //设置报错信息info
            req.setAttribute("info", "未登录状态,不能访问["+url+"]!!!");
            rd.forward(req, res);
            return;
        }
        /**
         * 处理登陆之后能访问以及不能访问的网页示例
         * session中只有用户自己看到
         * application中所有用户都可看到
         */
        //得到当前登陆的用户名信息
        String name=req.getSession().getAttribute("NAME").toString();
        @SuppressWarnings("unchecked")
        //从application中获取到application中的存储信息
        HashMap<String, String> map=(HashMap<String, String>) 
                req.getServletContext().getAttribute("RIGHTS");
        /**
         * 判断如果黑名单中有存储的账号信息就要去判断哪些网页他可以访问，哪些不能访问
         */
        if(map.containsKey(name)){
            //通过名字得到当前用户访问的url
            String murl=map.get(name);
            if(url.endsWith(murl)){
                req.setAttribute("info", "没有权限不能访问["+url+"]!!!");
                rd.forward(req, res);
                return;
            }
        }
        // pass the request along the filter chain
        chain.doFilter(request, response);
    }

    /**
     * @see Filter#init(FilterConfig)
     */
    public void init(FilterConfig fConfig) throws ServletException {
        // TODO Auto-generated method stub
    }
}

通过session当中保存的用户信息进行判定，查看用户是否有权限访问全部页面信息，主要逻辑通过HashMap中保存黑名单信息与保存在session当中当前登陆用户名是否一致来进行判定，application中存储的用户不能访问的url与当前用户正在访问的url是否一致，若一致则跳转到error页面，提示没有权限访问，否则直接进入该页面即可

• 主界面(main.jsp)的更新代码内容

<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>主页面</title>
</head>
<body>
恭喜<%=request.getSession().getAttribute("NAME") %>，登陆成功，进入主界面<br>
   <a href="page/p1.jsp">p1</a>
   <a href="page/p2.jsp">p2</a>
   <a href="page/p3.jsp">p3</a>
</body>
</html>