JAVA自定义filter过滤器拦截未登录(非法)请求

在JAVA的WEB工程中我们可以将JSP页面文件放在WEB-INFO中限制用户进行URL直接访问,但静态资源如js、css文件却是需要被外部直接访问的,直接对外暴露又不太安全,可以通过自定义过滤器处理

JAVA自定义filter过滤器拦截未登录(非法)请求

所属分类: JAVA
专题标签: Servlet 安全 过滤器

关于filter过滤器

filter过滤器,用于过滤到servlet的request,它可以改变一个request和修改一个response。
filter不是servlet,不能产生response。
filter能够在一个request到达servlet之前预处理request,也可以在离开servlet时处理response。

为什么使用filter

WEB工程中有些页面本身是对外开放的,但是我们实际上又会要求登录才可见。
虽然WEB-INFO目录可以禁止页面直接访问资源(WEB-INFO目录只能通过servlet去访问)。
如果我们将资源页面文件放在WEB-INFO下也可以达到无法访问,但是这就对我们前端编码造成很大的困扰。
WEB-INF是受保护目录,WEB-INF里面的文件只可以由servlet去访问,不能通过url地址栏去请求访问。
所以,我们应该通过别的方式来动态判断处理资源文件是否应该被访问

web.xml配置

一个登录状态检查校验器,检查所有的向jsp文件发起的请求,并排除登录/登出/首页的访问拦截。

  1. <filter>
  2. <filter-name>checkLoginStatusFilter</filter-name>
  3. <filter-class>com.mebugs.filter.CheckLoginStatusFilter</filter-class>
  4. <init-param>
  5. <param-name>exceptPath</param-name>
  6. <param-value>login.jsp;logout.jsp;index.jsp</param-value>
  7. </init-param>
  8. <filter-mapping>
  9. <filter-name>checkLoginStatusFilter</filter-name>
  10. <url-pattern>*.jsp</url-pattern>
  11. </filter-mapping>
  12. </filter>

自定义过滤器类

依赖于服务端保存了登录后新生成的sessionID,且服务端需要实现超时注销和登出注销session的能力。

  1. /*
  2. * 文件名:CheckLoginStatusFilter.java
  3. * 描述:检查是否处于登录状态
  4. * check the request sessionID login status
  5. * @author mebugs
  6. * @version 1.0
  7. */
  8. public class CheckLoginStatusFilter implements Filter{
  9. //定义除外的访问PATH
  10. private String exceptPath;
  11. //初始化参数,获取web.xml中配置的忽略校验地址
  12. public void init(FilterConfig config) throws ServletException {
  13. this.exceptPath = config.getInitParameter("exceptPath");
  14. }
  15. public void destroy(){
  16. //销毁方法
  17. }
  18. public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
  19. HttpServletRequest httpRequest = null;
  20. if (request instanceof HttpServletRequest){
  21. httpRequest = (HttpServletRequest)request;
  22. }
  23. HttpServletResponse httpResponse = null;
  24. if (response instanceof HttpServletResponse){
  25. httpResponse = (HttpServletResponse)response;
  26. }
  27. if (null == httpRequest || null == httpResponse) {
  28. return;
  29. }
  30. String requestURI = httpRequest.getRequestURI();
  31. String contextPath = httpRequest.getContextPath();
  32. String sessionID = httpRequest.getSession().getId();
  33. String userName = null;
  34. //Constants.SEMICOLON分号,针对配置多种排除的地址的时候
  35. String[] exceptPathList = this.exceptPath.split(Constants.SEMICOLON);
  36. for (int i = 0; i < exceptPathList.length; i++){
  37. if (requestURI.endsWith(exceptPathList[i]){
  38. //如果请求是忽略的地址
  39. chain.doFilter(request, response);
  40. return;
  41. }
  42. }
  43. if(null != sessionID){
  44. userName = (String) httpRequest.getSession().getAttribute("username");
  45. }
  46. if (null != userName){
  47. //检查浏览器sessionID与服务器中缓存的登录后sessionID是否一致
  48. if(sessionID.equals(UserSessionData.sessionMap.get(userName)){
  49. //登录状态 sessionID一致
  50. chain.doFilter(request, response);
  51. return;
  52. }
  53. }
  54. //其他场景通通非法
  55. httpResponse.setStatus(911);
  56. httpResponse.setHeader("sessionstatus", "timeout");
  57. httpResponse.addHeader("loginPath", contextPath + "/login.jsp");
  58. httpResponse.setCharacterEncoding("UTF-8");
  59. httpResponse.setContentType("text/html");
  60. PrintWriter out = httpResponse.getWriter();
  61. out.println("<script>");
  62. out.println("top.location.href = '" + contextPath + "/login.jsp'");
  63. out.println("</script>");
  64. return;
  65. }
  66. }

结尾小结

通过自定义过滤器可以更加人性化的对客户端发起的请求进行过滤。
对于资源请求限制为已登录用户才能访问,这样可以避免绝大多数非法攻击。