防止未登录用户操作—基于struts2拦截器的简单实现
一般,我们的web应用都是只有在用户登录之后才允许操作的,也就是说我们不允许非登录认证的用户直接访问某些页面或功能菜单项。我还记得很久以前我的做法:在某个jsp页面中查看session中是否有值(当然,在用户登录逻辑中会将用户名或者用户对象存入session中),如果session中用户信息为空,那么redirect 到登录页面。然后在除了登录页面外的其它所有需要验证用户已登录的页面引入这个jsp 。
比如,我们将检查用户是否登录的代码放入一个jsp页面中,如 checkUser.jsp
<%@ page language="java" import="java.util.*" pageEncoding="utf-8"%>
<%
Object username = session.getAttribute("username");
if(null == username){
response.sendRedirect("login.jsp");
}
%>
登录页面为 login.jsp
<%@ page language="java" import="java.util.*" pageEncoding="utf-8"%>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<title>登录页面</title>
</head>
<body>
<h1>用户登录</h1>
用户名:<input type="text" name="username" /><br />
密码:<input type="text" name="pwd" />
</body>
</html>
假设登录成功后跳转到菜单页面 menu.jsp
<%@ page language="java" import="java.util.*" pageEncoding="utf-8"%> <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"> <html> <head> <%@ include file="checkUser.jsp" %> <title>菜单页</title> </head> <body> <h1>菜单1</h1> <br /> <h1>菜单2</h1> <br /> <h1>菜单3</h1> <br /> <h1>菜单4</h1> <br /> </body> </html>
在其中引入了 checkUser.jsp ,这样当用户没有经过登录而试图访问menu.jsp 页面时就会被强制转到 login.jsp 页面。
以上这种方法当然是可行的,可是太过丑陋和麻烦。后来,我学到可以把除了登录页面外的 jsp 或html 页面放到 WEB-INF 目录下, 这样用户就无法直接在浏览器中敲url 来访问页面了。可是,如果有人通过某种方式得知我们的action 名和方法名了呢?难道我们要在action的每个方法中,检查用户是否登录吗?这样子做光是想一想就觉得很蠢。好在我们有struts2 拦截器。
先来看看怎样实现。
我们写一个拦截器类,让它继承 MethodFilterInterceptor。
/**
* @Title: LoginInterceptoe.java
* @Description: 拦截非登录用户请求
* @author ThinkPad
* @version 1.0
* @date 2014年8月2日
*/
package com.exam.interceptor;
import com.exam.utils.Constants;
import com.opensymphony.xwork2.ActionContext;
import com.opensymphony.xwork2.ActionInvocation;
import com.opensymphony.xwork2.interceptor.MethodFilterInterceptor;
/**
* @author ThinkPad
*
*/
public class LoginInterceptor extends MethodFilterInterceptor{
/**
*
*/
private static final long serialVersionUID = -4409507846064552966L;
/* (non-Javadoc)
* @see com.opensymphony.xwork2.interceptor.MethodFilterInterceptor#doIntercept(com.opensymphony.xwork2.ActionInvocation)
*/
@Override
protected String doIntercept(ActionInvocation invoker) throws Exception {
// TODO Auto-generated method stub
Object loginUserName = ActionContext.getContext().getSession().get(Constants.USERNAME);
if(null == loginUserName){
return Constants.VIEW_LOGIN; // 这里返回用户登录页面视图
}
return invoker.invoke();
}
}
在struts.xml 文件中 填入:
<interceptors> <interceptor name="loginInteceptor" class="com.exam.interceptor.LoginInterceptor" /> <interceptor-stack name="loginStack"> <interceptor-ref name="loginInteceptor"> <param name="excludeMethods">goLogin,login</param> </interceptor-ref> <interceptor-ref name="defaultStack"></interceptor-ref> </interceptor-stack> </interceptors> <default-interceptor-ref name="loginStack" />
其中,<param name="excludeMethods">goLogin,login</param> 配置的过滤方法,意思是拦截器对其中的方法不起作用。在我这里, goLogin 是跳转到登录页面的方法。login 是验证用户名和密码的方法,在其中会将通过验证的用户名放入session中。没错,这就是我们需要做的全部事情了,是不是很方便呢?
我在这里稍微总结下:
1、在struts2 中,所有的拦截器都会继承 Interceptor 这个接口。
2、拦截器写好之后要在 struts.xml 文件中配置,如果该拦截器是用来拦截某个action的,那么,就在该action 的result 后面放入该拦截器。
<struts> <package name="struts2" extends="struts-default"> <interceptors> <interceptor name="myinterceptor" class="com.interceptor.MyInterceptor"> <param name="hello">world</param> </interceptor> </interceptors> <action name="register" class="com.test.action.RegisterAction" > <result name="input">/register.jsp</result> <result name="success">/success.jsp</result> <interceptor-ref name="myinterceptor"></interceptor-ref> </action> </package> <struts>
3、如果我们没有添加拦截器,struts2 会为我们添加默认拦截器。而如果我们指定了拦截器,我们自己的拦截器就会取代默认的拦截器,那么我们就不能享受默认拦截器提供的一些功能。所以,一般我会把默认拦截器也加上。例如,在以上配置项中,action 里面再加上<interceptor-ref name="defaultStack"></interceptor-ref>
4、Interceptor 接口有三个方法:init 、 destroy、intercept 。但一般我们不关心 init 和 destroy 方法。所以struts2 为我们提供了一个简化的拦截器类:AbstractInterceptor ,它实现了init 和 destroy 方法,我们只需实现 intercept 方法。
5、关于拦截器栈。可以把拦截器栈看成是一个“大”拦截器,里面由若干个拦截器组成。把它当成一个拦截器一样的引用。
6、方法过滤拦截器,需要继承 MethodFilterInterceptor 类(也就是我们这里示例使用的拦截器类的做法)。你可以指定该拦截器拦截哪些方法(使用<param name="includeMethods">method1,method2</param>
),也可以指定该拦截器不去拦截哪些方法(<param name="excludeMethods">method1,method2</param>)
以上这篇防止未登录用户操作—基于struts2拦截器的简单实现就是小编分享给大家的全部内容了,希望能给大家一个参考,也希望大家多多支持脚本之家。
相关文章
SpringBoot 整合 ShardingSphere4.1.1实现分库分表功能
ShardingSphere是一套开源的分布式数据库中间件解决方案组成的生态圈,它由Sharding-JDBC、Sharding-Proxy和Sharding-Sidecar(计划中)这3款相互独立的产品组成,本文给大家介绍SpringBoot 整合 ShardingSphere4.1.1实现分库分表,感兴趣的朋友一起看看吧2023-12-12
这篇文章主要介绍了java之swing单选框用法,以实例形式分析了swing图形界面单选框的实现技巧,具有一定参考借鉴价值,需要的朋友可以参考下2015-09-09
这篇文章主要介绍了Java自定义长度可变数组的操作,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧2021-02-02
工作中需要开发一个规则服务,提供各种规则,本文主要介绍了Java基于drools做规则校验的实现,具有一定的参考价值,感兴趣的可以了解一下2024-03-03
这篇文章主要介绍了Java构造器使用方法及注意事项的相关资料,这里举例说明如何使用构造器及需要注意的地方,需要的朋友可以参考下2017-07-07
本篇文章主要介绍了spring-boot 禁用swagger的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧2018-02-02
在MyBatis中,自定义映射resultMap可以让你精确控制如何将数据库返回的结果集映射到Java对象上,本文给介绍了Mybatis之自定义映射resultMap,需要的朋友可以参考下2024-03-03
这篇文章主要介绍了java 各种数据类型的互相转换实例代码,需要的朋友可以参考下2020-10-10
关于MQ消费者的幂等性问题,在于MQ的重试机制,因为网络原因或客户端延迟消费导致重复消费。使用MQ重试机制需要注意的事项以及如何解决消费者幂等性与优先级及惰性问题以下将逐一讲解2022-11-11
说起内部类这个词,想必很多人都不陌生,但是又会觉得不熟悉。原因是平时编写代码时可能用到的场景不多,用得最多的是在有事件监听的情况下,并且即使用到也很少去总结内部类的用法。今天我们就来一探究竟2022-03-03
最新评论