用户登录验证

  在WEB系统中，为了保护系统的安全性，通常有些功能是开放给合法用户的。此时需要对用

户是否已经登录进行验证。

  登录验证的方式可能有很多种，其中最常用的一种就是：对每个需要验证的JSP页面或者

Action都进行Session验证，通过判断Session中的属性值来确认用户是否登录！这样做虽

然可以进行登录验证，但是想象一下：如果你的系统非常庞大，有几百个Action和几百个

Action 此时，如果你还采用上述的方法来进行登录验证的话，那可就不是件好事。因为，这

意味着，你将写几百行、几千行重复的代码！

  别急，肯定有另外的验证方法的！我们可以通过Filter来进行过滤，比如对所有的JSP页

面、.do 进行拦截验证。如果通过验证，则进行执行相关业务逻辑。反之，则跳转到登陆页

1.定义一个Filter 代码如下：

import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

import com.lzkj.dealer.util.actionOperator;

public class urlFilter implements Filter {

	public void destroy() {
		// TODO Auto-generated method stub

	}

	public void doFilter(ServletRequest req, ServletResponse res,
			FilterChain arg2) throws IOException, ServletException {
		
		HttpServletRequest request = (HttpServletRequest)req;
		HttpServletResponse response = (HttpServletResponse)res;
		System.out.println("Call Me Now");
	
		String uri = actionOperator.getRealActionPath(request.getRequestURI());
		System.out.println(uri);
		HttpSession session = request.getSession();
		
		
		if("/showmainpageAction.do".equals(uri)){
			request.getRequestDispatcher("/showmainpageAction.do").forward(request, response);
			return;
		}		
		else if("/dealerloginAction.do".equals(uri)){
			request.getRequestDispatcher(uri).forward(request, response);
			return;
		}else if(session.getAttribute("did")==null){
			request.getRequestDispatcher("/showmainpageAction.do").forward(request, response);
			return;
		}
		else{
			request.getRequestDispatcher(uri).forward(request, response);
			return;
		}
	}

	public void init(FilterConfig arg0) throws ServletException {
		// TODO Auto-generated method stub

	}

}

2.在web.xml中配置定义好的Filter

<filter>
  	<filter-name>urlFilter</filter-name>
  	<filter-class>com.lzkj.filter.urlFilter</filter-class>
  </filter>
  
  
  <filter-mapping>
  	<filter-name>urlFilter</filter-name>
  	<url-pattern>*.do</url-pattern>
  </filter-mapping>

3.测试一下，在地址输入栏中输入其它的URL试试(我这里只做了对.do的拦截验证，需要的

话可以自己添加其它的拦截验证类型)
 

评论

18 楼 peterliuye 2009-07-08  

过儿oO 写道

liuwei1981 写道

Struts2里面的Interceptor 拦截器 可以完成过滤身份验证，
public String doIntercept(ActionInvocation invocation) throws Exception {

ActionContext ctx = invocation.getInvocationContext();
Map session = ctx.getSession();
User user = (User) session
.get("loginuser");
if (user == null) {
log.info("The loginUser is null..............");
return RELOGIN1;
} else {
return invocation.invoke();
}
}

需要继承MethodFilterInterceptor

这个我试，jsp什么的拦不住，可以直接访问。

com.lzkj.dealer.util.actionOperator请问在哪里啊？

17 楼 过儿oO 2009-07-07  

liuwei1981 写道

Struts2里面的Interceptor 拦截器 可以完成过滤身份验证，
public String doIntercept(ActionInvocation invocation) throws Exception {

ActionContext ctx = invocation.getInvocationContext();
Map session = ctx.getSession();
User user = (User) session
.get("loginuser");
if (user == null) {
log.info("The loginUser is null..............");
return RELOGIN1;
} else {
return invocation.invoke();
}
}

需要继承MethodFilterInterceptor

这个我试，jsp什么的拦不住，可以直接访问。

16 楼 grandboy 2009-04-12  

我更喜欢sso解决方案，因为我们的系统通常不是一个单独的使用，而且每一个业务系统的安全这部分又这么相像。所以不如单独搞一个sso，即解决登录验证的问题，又能解决一般的权限控制问题。当然如果有业务有特别权限需求，就自己控制权限就行了。

15 楼 wendong007 2009-04-10  

看完LZ的帖子之后我唯一明白的一点就是：我的积分之所以这么低是因为我不擅长灌水

14 楼 wskiwwwxhe 2009-04-09  

struts2 用拦截器瑟,呵呵...

13 楼 walle1027 2009-04-09  

貌似用struts2的interceptor做，更方便吧。

12 楼 bryan.liu 2009-04-05  

tianhaoleng 写道

学一下acegi，全部搞定。

正解，最近正要为项目准备验证框架，准备用ACEGI做，好像现在叫Spring-Security了吧

11 楼 nakata_yf 2009-03-09  

jezi 写道

有个问题不知道大家有没有遇到过，就是在登陆之前FILTER是可以正常地起作用，但是登陆过之后，只要你访问过的页面，登出了，即使不用登陆也直接在地址栏输入URL进去，我DEBUG了一下，FILTER的JAVA类没有运行，是什么原因呢？

帖下代码,url啥的,大家研究一下,

10 楼 jezi 2009-03-08  

有个问题不知道大家有没有遇到过，就是在登陆之前FILTER是可以正常地起作用，但是登陆过之后，只要你访问过的页面，登出了，即使不用登陆也直接在地址栏输入URL进去，我DEBUG了一下，FILTER的JAVA类没有运行，是什么原因呢？

9 楼 wangguan_xd 2009-03-04  

com.lzkj.dealer.util.actionOperator请问在哪里啊？

8 楼 tianhaoleng 2008-10-12  

学一下acegi，全部搞定。

7 楼 iq527 2008-10-12  

lifang722324 写道

请问你的actionOperator这个类呢？才开始学struts这个有点看不懂！

同问...
没看到代码里面有声明过...

6 楼 liuwei1981 2008-10-12  

Struts2里面的Interceptor 拦截器 可以完成过滤身份验证，
public String doIntercept(ActionInvocation invocation) throws Exception {

ActionContext ctx = invocation.getInvocationContext();
Map session = ctx.getSession();
User user = (User) session
.get("loginuser");
if (user == null) {
log.info("The loginUser is null..............");
return RELOGIN1;
} else {
return invocation.invoke();
}
}

需要继承MethodFilterInterceptor

5 楼 lifang722324 2008-10-11  

请问你的actionOperator这个类呢？才开始学struts这个有点看不懂！

4 楼 i2u112233 2008-07-18  

如果不用session验证.还有好的登陆验证方法吗?

3 楼 sunsong 2008-07-17  

luckaway 写道

就算不用struts，登陆验证也是放在父类里的（baseAction）的。
session在服务器集群也是无法使用的！

可以做session复制的。

2 楼 luckaway 2008-07-17  

就算不用struts，登陆验证也是放在父类里的（baseAction）的。
session在服务器集群也是无法使用的！

1 楼 d8111 2008-07-16  

基于Servlet的Filer 过滤

你还可以看看Struts2,里面的Interceptor可以更优雅的完成过滤