按键盘上方向键 ← 或 → 可快速上下翻页,按键盘上的 Enter 键可回到本书目录页,按键盘上方向键 ↑ 可回到本页顶部!
————未阅读完?加入书签已便下次继续阅读!
这样,所有的请求都会先被EncodingFilter 拦截,并在请求里设置上指定的
gb2312 编码。
例子在 lingo…sample/07…01 目录下,这次我们不需要在test。jsp 中为请求设置
编码也可以得到正常的中文参数了,EncodingFilter 圆满的完成了它的工作。
7。2。 用 filter 控制用户访问权限
出于信息安全和其他一些原因的考虑,项目中的一些页面要求用户满足了一定条
件之后才能访问。比如,让用户输入帐号和密码,如果输入的信息正确就在
session 里做一个成功登录的标记,其后在请求保密信息的时候判断 session 中
是否有已经登录成功的标记,存在则可以访问,不存在则禁止访问。
69 / 148
…………………………………………………………Page 70……………………………………………………………
如 07…02 例子中所示,进入首页看到的就是登录页面。
现在用户还没有登录,如果直接访问保密信息,就会显示无法访问保密信息的页
面,并提醒用户进行注册。
返回登录页面后,输入正确的用户名和密码,点击登录。
后台程序判断用户名和密码正确无误后,在 session 中设置已登录的标记,然后
跳转到保密信息页面。
70 / 148
…………………………………………………………Page 71……………………………………………………………
我们要保护的页面是 admin/index。jsp,为此我们在web。xml 进行如下配置。
SecurityFilter
anni。SecurityFilter
SecurityFilter
/admin/*
定义 SecurityFilter 过滤器,让它过滤匹配/admin/*的所有请求,这就是说,
对/admin/路径下的所有请求都会接受 SecurityFilter 的检查,那么
SecurityFilter 里到底做了些什么呢?
public void doFilter(ServletRequest request;
ServletResponse response;
FilterChain chain)
throws IOException; ServletException {
HttpServletRequest req = (HttpServletRequest) request;
HttpServletResponse res = (HttpServletResponse) response;
HttpSession session = req。getSession();
if (session。getAttribute(〃username〃) != null) {
chain。doFilter(request; response);
} else {
res。sendRedirect(〃。。/failure。jsp〃);
}
}
首先要将 ServletRequest 和 ServletResponse 转换成 HttpServletRequest 和
HttpServletResponse,因为Filter 本来设计成为多种协议服务,http 协议仅
仅是其中一部分。不过我们接触到的也只有 http,而且也只有转换成对应
71 / 148
…………………………………………………………Page 72……………………………………………………………
HttpServletRequest 和 HttpServletResponse 才能进行下面的 session 操作和
页面重定向。
得到了 http 请求之后,可以获得请求对应的 session,判断 session 中的
username 变量是否为 null,如果不为 null,说明用户已经登录,就可以调用
doFilter 继续请求访问的资源。如果为 null,说明用户还没有登录,禁止用户
访问,并使用页面重定向跳转到 failure。jsp 页面显示提示信息。
session 中的username 实在登录的时候设置进去的,值就是登录用户使用的用
户名,详细代码可以参考 07…02/WEB…INF/src/LoginServlet。java,登录和注销
都写成了 servlet 并映射到/login。do 和/logout。do 这两个请求路径上。源代码
和 web。xml 配置请自行参考 07…02 中的例子,这里就不复述了。
我们再来看看页面重定向的写法,res。sendRedirect()中使用的是
〃。。/failure。jsp〃,两个点(。。)代表当前路径的上一级路径,这是因为
SecurityFilter 负责处理的是/admin/下的请求,而/failure。jsp 的位置在
/admin/ 目录的上一级,所以加上两个点才能正确跳转到failure。jsp。当然这
里使用 forward()也可以,但是要注意在不同路径下做请求转发会影响页面中相
对路径的指向。相关讨论在:第 3。4。2 节 “forward 导致找不到图片”。
7。3。 filter 所谓的特性
7。3。1。 请求映射
filter…mapping 和 servlet…mapping 都是将对应的 filter 或 servlet 映射到某
个 url…pattern 上,当客户发起某一请求时,服务器先将此请求与 web。xml 中定
义的所有 url…pattern 进行匹配,然后执行匹配通过的 filter 和 servlet。
你可以使用三种方式定义 url…pattern。
1。 直接映射一个请求。
ContactServlet
/contact。do
像第 6。3 节 “使用servlet 改写联系簿”中对 servlet 的映射,只有当
请求是/contact。do 的时候才会执行ContactServlet。/contact。do?id=1
或/contact。do?method=list&id=1 的请求也可以匹配到
ContactServlet,这是因为根据http 规范,请求的路径不包含问号以后
的部分。
72 / 148
…………………………………………………………Page 73……………………………………………………………
2。 映射一个路径下的所有请求。
EncodingFilter
/*
像第 7。1 节 “批量设置请求编码”中这样使用星号(*)的形式,可以
将某个路径下的所有请求都映射到 EncodingFilter 过滤器下,如果这个
路径下还有子路径,那么子路径下的请求也会被 EncodingFilter 过滤。
所以 /*这种写法就会过滤应用下所有的请求。
如果像第 7。2 节 “用filter 控制用户访问权限”中那样把映射配置成
/admin/*,就会只处理/admin/路径下的请求,不会处理根路径下的
/index。jsp 和/failure。jsp。
需要注意的是,这种写法必须以/开头,写成与绝对路径的形式,即便是
映射所有请求也要写成/*,不能简化成*。
3。 映射结尾相同的一类请求。
ControllerServlet
*。do
具体效果请参