使用Filter完成统一验证

　　为保证系统的安全性，我们通常情况下，在每一个页面都要检测用户是否已经登录或者登录是否已经过期，在以往的情况下，我们是对每个登录的页面进行Session验证，这样虽然达到了所必要的效果，但是复杂性大大增强，而且还很容易漏掉一些页面的验证。

 

　　在J2EE中，有了Filter这个强大的责任链模式，我们再也不用费脑费手费脚的一个个的写验证了，仅仅是写一个自动验证的AuthFilter类，再在配置文件里面配置一下就OK了。是不是很简单？不会吗？看下面的Code：

 

　　首先，我们创建一个AuthFilter类来实现Filter父类，在这里我们需要重写父类的DoFilter方法，来实现对用户登录的验证，看下面的代码：

 

　　

public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
		//强制转换HttpServletRequest和HttpServletResponse对象，目的是获取Session对象和进行页面重定向
		HttpServletRequest req=(HttpServletRequest)request;
		HttpServletResponse resp=(HttpServletResponse)response;
	
		String requestURI=req.getRequestURI().substring(req.getRequestURI().lastIndexOf("/", req.getRequestURI().length()));
		
			//登陆页就不需要进行验证了
			if(!"login.jsp".equals(requestURI)){
				//括号里的false决定对象的创建权呢，可不要小看
				HttpSession session=req.getSession(false);
				if(req.getSession()==null||req.getAttribute("user_info")==null){
					resp.sendRedirect(req.getContextPath()+"/login.jsp");	
					return;
				}
		}
			
		//继续访问其他资源
		chain.doFilter(req, resp);
	}

 

 

　　

<filter>
		<filter-name>AuthFilter</filter-name>
		<filter-class>com.cx.drp.util.filter.AuthFilter</filter-class>
	</filter>
	
	<filter-mapping>
		<filter-name>AuthFilter</filter-name>
		<url-pattern>*.jsp</url-pattern>
	</filter-mapping>
	
	<filter-mapping>
		<filter-name>AuthFilter</filter-name>
		<url-pattern>/servlet/*</url-pattern>
	</filter-mapping>

 

 

　　有了AuthFilter和web.XML，你是否就高枕无忧了呢？答案是FALSE！如果你的页面中含有验证码等内容，AuthFilter也会将验证码给过滤掉的，怎么去解决这个问题呢？

 

　　方法一，修改web.xml配置文件，将验证码放在其它的目录下，不要放到/servlet目录下。方法二，在AuthFilter中过滤掉就OK了，具体的代码，你懂的~~