JSP 页面应如何检查身份验证

【问题标题】:How JSP page should check authenticationJSP 页面应如何检查身份验证
【发布时间】:2013-04-04 10:11:42
【问题描述】:

我是网络编程新手。我要求一种通用模式来执行检查身份验证之类的操作。这是场景:

该网站有一个供访问者使用的登录页面。它将获取用户名和加密密码并将它们发送到服务器,然后从服务器获取错误代码(用户名/密码不匹配)或身份验证密钥。当用户登录成功后,我希望网站自动跳转到呈现网站主要功能的main.jsp页面。

在这种情况下,我想main.jsp 检查用户身份验证。也就是说,我不希望这样的事情发生,比如用户可以直接打开www.example.com/main.jsp,如果他们这样做,我想将他们重定向到登录页面。

那么如何跨页面传递身份验证信息,如何防止用户在未登录的情况下直接访问main.jsp?我需要使用 session 还是什么?

【问题讨论】:

标签: java jsp authentication web-applications


【解决方案1】:

您可以尝试使用过滤器

过滤器可以在请求到达 servlet 之前对其进行预处理, 后处理离开 servlet 的响应,或者两者都做。 过滤器可以拦截、检查和修改请求和响应。

注意:确保在您的用户登录后添加会话属性,您可以在过滤器上使用该会话属性

在您的 login.jsp 上添加:

session.setAttribute("LOGIN_USER", user); 
//user entity if you have or user type of your user account... 
//if not set then LOGIN_USER will be null

web.xml

<filter>
    <filter-name>SessionCheckFilter</filter-name>
    <filter-class>yourjavapackage.SessionCheckFilter</filter-class>
</filter>
<filter-mapping>
    <filter-name>SessionCheckFilter</filter-name>
    <!--url-pattern>/app/*</url-pattern-->
    <url-pattern>/main.jsp</url-pattern> <!-- url from where you implement the filtering -->
</filter-mapping>

SessionCheckFilter.java

public class SessionCheckFilter implements Filter {

  private String contextPath;

  @Override
  public void init(FilterConfig fc) throws ServletException {
    contextPath = fc.getServletContext().getContextPath();
  }

  @Override
  public void doFilter(ServletRequest request, ServletResponse response, FilterChain fc) throws IOException, ServletException {
    HttpServletRequest req = (HttpServletRequest) request;
    HttpServletResponse res = (HttpServletResponse) response;  

    if (req.getSession().getAttribute("LOGIN_USER") == null) { //checks if there's a LOGIN_USER set in session...
        res.sendRedirect(contextPath + "/login.jsp"); //or page where you want to redirect
    } else {
      String userType = (String) req.getSession().getAttribute("LOGIN_USER");
      if (!userType.equals("ADMIN")){ //check if user type is not admin
        res.sendRedirect(contextPath + "/login.jsp"); //or page where you want to  
      }
      fc.doFilter(request, response);
    }
  }

  @Override
  public void destroy() {
  }
}

【讨论】:

    【解决方案2】:

    JSP 页面应该如何检查身份验证

    不应该。您应该使用容器管理的身份验证,并通过 URL 模式在 web.xml 中定义登录名/安全性。

    由 Glen Best 添加:

    例如在 web.xml 中添加类似这样的内容:

    <security-constraint>
   <display-name>GET: Employees Only</display-name>
   <web-resource-collection>
      <web-resource-name>Restricted Get</web-resource-name>
      <url-pattern>/restricted/employee/*</url-pattern>
      <http-method>GET</http-method>
   </web-resource-collection>
   <auth-constraint>
      <role-name>Employee</role-name>
   </auth-constraint>
   <user-data-constraint>
      <transport-guarantee>CONFIDENTIAL</transport-guarantee>
   </user-data-constraint>
</security-constraint>

    【讨论】:

    • 容器管理的身份验证在 Servlet 规范中定义。对你来说够正式吗?
    • 绝对使用这个并且不要编写自己的解决方案!这是预期的方式。
    • 不仅如此,根据 JEE 平台规范,Web 容器将知道用户身份和角色,允许与 EJB、JCA 等自动集成,并允许通过标准 API 进行编程访问。 request.isUserInRole(role), request.getUserPrinciple() & 类似的来自 EJB
    【解决方案3】:

    这也适用于我

    <filter>
    <filter-name>SessionCheckFilter</filter-name>
    <filter-class>yourjavapackage.SessionCheckFilter</filter-class>
</filter>
<filter-mapping>
    <filter-name>SessionCheckFilter</filter-name>
    <!--url-pattern>/app/*</url-pattern-->
    <url-pattern>/main.jsp</url-pattern> <!-- url from where you implement the filtering -->
</filter-mapping>


public class SessionCheckFilter implements Filter {

  private String contextPath;

  @Override
  public void init(FilterConfig fc) throws ServletException {
    contextPath = fc.getServletContext().getContextPath();
  }

  @Override
  public void doFilter(ServletRequest request, ServletResponse response, FilterChain fc) throws IOException, ServletException {
    HttpServletRequest req = (HttpServletRequest) request;
    HttpServletResponse res = (HttpServletResponse) response;  

    if (req.getSession().getAttribute("LOGIN_USER") == null) { //checks if there's a LOGIN_USER set in session...
      req.getRequestDispatcher("login.jsp").forward(req, resp); //or page where you want to redirect
    } else {
      String userType = (String) req.getSession().getAttribute("LOGIN_USER");
      if (userType.equals("ADMIN")){ //check if user type is admin
        fc.doFilter(request, response); it redirected towards main.jsp
      }

    }
  }

  @Override
  public void destroy() {
  }
}

    【讨论】:

      【解决方案4】:

      如何使用:

      String username = request.getRemoteUser();

      【讨论】:

        猜你喜欢
        • 2012-11-24
        • 2021-01-29
        • 1970-01-01
        • 2019-05-30
        • 1970-01-01
        • 1970-01-01
        • 2016-03-16
        • 1970-01-01
        • 2011-02-02
        相关资源
        最近更新 更多
        热门标签
        Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode