如何通过过滤器实现防止用户直接使用网址访问页面,跳过用户登录验证?

最新推荐文章于 2023-12-12 16:10:22 发布
原创 最新推荐文章于 2023-12-12 16:10:22 发布 · 2.2w 阅读 · 68 ·
CC 4.0 BY-SA版权
禁止转载

本文介绍了一个简单的用户登录流程实现方案,包括前端表单验证、后端登录处理及过滤器使用等关键技术点。登录过程涉及了session管理和错误处理,并通过过滤器确保只有已登录用户才能访问特定资源。

思路:用户输入用户名和密码(数据库中无需存在该用户名和密码,表示有登录行为)后,创建一个session保存该用户对象,在过滤器中读取这个session,若是session不为null,通过过滤器过滤,若是为null,不能通过过滤器,跳转到error.jsp页


login.jsp页面

</head>
<script type="text/javascript">
	function validate(){
		//验证
		var userCode = document.getElementById("userCode").value;
		var userPassword = document.getElementById("userPassword").value;
		var userCodeSpan = document.getElementById("userCodeSpan");
		var userPasswordSpan = document.getElementById("userPasswordSpan");
		var flag = true;
		if(userCode == null  || userCode == ''){
			userCodeSpan.innerHTML = "请输入用户名";
			flag = false;
		}
		if(userPassword == null || userPassword == ''){
			userPasswordSpan.innerHTML = "请输入密码";
			flag = false;
		}
		//提交
		var actionForm = document.getElementById("actionForm");
		if(flag){
			actionForm.submit();
		}
		
	}
  </script>


<body> 
		<form  action="${pageContext.request.contextPath }/servlet/LonginServlet"  name="actionForm" id="actionForm"  method="post" >
			<dl>
				<dt>用户名:</dt>
				<dd><input type="text" id="userCode" name="userCode"/> <span id="userCodeSpan"></span> </dd>
				<dt>密 码:</dt>
				<dd><input type="password"  id="userPassword" name="userPassword"/><span id="userPasswordSpan"></span></dd>
			</dl>
			<div class="buttons">
			    ${error }
				<input type="button"   value="登录系统" onclick="validate();" />
				<input type="reset"  value="重  填" class="input-button" />
			</div>
		</form>


</body>
</html

loginServlet.java

package com.kgc.servlet;

import java.io.IOException;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import com.kgc.pojo.User;

public class LonginServlet extends HttpServlet {

	public void doGet(HttpServletRequest request, HttpServletResponse response)
			throws ServletException, IOException {

		this.doPost(request, response);
	}

	
	public void doPost(HttpServletRequest request, HttpServletResponse response)
			throws ServletException, IOException {
			String userCode=request.getParameter("userCode");
			String userPassword=request.getParameter("userPassword");
			//调用service方法,
			User user=new User();
			user.setUserCode(userCode);
			user.setUserPassword(userPassword);
			//
		
			if(user!=null){//不为null,用户有登录行为
				request.getSession().setAttribute("userSession", user);
				response.sendRedirect("/web05/jsp/admin.jsp");
			}else{
				System.out.println("用户没有登录行为");
			}
			
	}

}

loginFilter.java

package com.kgc.filter;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import com.kgc.pojo.User;

public class LoginFilter implements Filter{



	@Override
	public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain arg2) throws IOException, ServletException {
		// TODO Auto-generated method stub
		//通过过滤器进行登录过滤,不是进行合法用户名密码登录的,不可以跳转到下一页面,防止通过路径直接访问网页
		HttpServletRequest requ=(HttpServletRequest)request;
		HttpServletResponse res=(HttpServletResponse)response;
		User userSession=(User)requ.getSession().getAttribute("userSession");
		if(userSession==null){
			res.sendRedirect("/web05/error.jsp");
		}else{
			arg2.doFilter(request, response);
		}
	}

	@Override
	public void destroy() {
		// TODO Auto-generated method stub
		
	}

	@Override
	public void init(FilterConfig arg0) throws ServletException {
		// TODO Auto-generated method stub
		
	}

	

}

web.xml

  <filter>
  	<filter-name>LoginFilter</filter-name>
  	<filter-class>com.kgc.filter.LoginFilter</filter-class>
  </filter>
  
  <filter-mapping>
  	<filter-name>LoginFilter</filter-name>
  	<url-pattern>/jsp/*</url-pattern> //error.jsp页面千万不能放在jsp目录的下面,这样就跳转不到error.jsp页面
  </filter-mapping>




                

        

         

    


  



    



                



	

		

			

				
					
JFinal学习笔记(三) 过滤器实现用户登录验证

				
			

			

				

					tczhoulan的专栏
				

				

					09-01
					
					1万+
					
				

			

		

		

			
				
之前由于本人沉迷星际不能自拔导致博客长期没有更新,只能说玩物丧志啊。
这一篇文章按照之前的计划将开始说明jfinal中过滤器使用方法,并介绍如何通过过滤器实现用户登录情况的验证。
首先说明一下为什么要进行登录验证,以上一篇文章中的用户登录为例,正常情况用户应该是先访问http://localhost:8080/jfinal_tomcat/如下图所示。
在该页面下输入用户名和密码通过验证

			
		

	



                

            
              



	

		

			

				
					
Spring Boot应用中实现基于JWT的登录拦截器,以保证未登录用户无法访问指定的页面

				
			

			

				

					Future_yzx的博客
				

				

					01-25
					
					1001
					
				

			

		

		

			
				
通过以上步骤,我们在Spring Boot应用中实现了基于JWT的登录认证功能。我们使用拦截器对用户请求进行拦截,只有拥有有效JWT的用户才能访问受保护的资源。这样可以有效地保证系统的安全性和用户体验。

			
		

	



              


  
              

                


	

		

			

				
					
判断用户已经退出和防止用户登录直接访问页面

				
			

			

				

					05-20
				

			

		

		

			
				
开发软件asp.net ,   数据库这是没有哈哈,给的死扥简单的列子判断用户已经退出和防止用户登录直接访问

			
		

	





	

		

			

				
					
如何禁止访问者不通过登录页面而强行进入其他页面

				
			

			

				

					weixin_42250357的博客
				

				

					05-26
					
					1920
					
				

			

		

		

			
				
1、首先把登陆后后的页面和非登陆的界面加以区分
2、把登陆后的界面归入同一个文件夹下(这里指的是网页的URL地址)
例如 工程地址是http://localhost/test/
3、可以把登陆后的网页以及servlet全部归入http://localhost/test/checked/
然后,用一个filter对checked下的所有访问进行过滤
4、用一个sessionAttribute进行判断是否已经登录(属性名字,和有效值可以随意),这个sesstionAttribute应当在登录成功后被设置成有效值

			
		

	



		

			
		



	

		

			

				
					
用户访问权限过滤器防止用户直接输入URL直接访问资源。

				
			

			

				

					大树叶 技术专栏
				

				

					11-07
					
					5858
					
				

			

		

		

			
				
刚写完用户访问权限过滤器,基本实现防止用户直接输入URL访问资源。如有不足请指正!

Java 代码:


Java代码  



package com.viano.filter;     
    
import java.io.IOException;     
    
import javax.servlet.Filter;     
import jav

			
		

	





	

		

			

				
					
如何防止登录用户通过文件地址绕过登录界面,直接访问其他页面

				
			

			

				

					CS了个DN
				

				

					01-24
					
					5324
					
				

			

		

		

			
				
再编写项目过程中,假如输入其他文件地址,那么就可以绕过登录界面,直接访问其他页面。这是一个安全隐患。我使用了一个session来保存登录用户信息,假如没有用户信息,则返回登录界面首先验证用户名,通过后利用 session.setAttribute("user", user);来保存已登录用户信息再用下面来判断session里面是否为nulluserTable user = (userTable)s...

			
		

	





	

		

			

				
					
网页中怎样禁止通过输入url直接访问

				
			

			

				

					大树叶 技术专栏
				

				

					05-26
					
					4416
					
				

			

		

		

			
				
我想到的办法大概有两种

1、比较低级,容易被破解的。校验HTTP头里的referer值.
2、在前一个页面为这个页面生成一个带时效的code,访问这个页面的时候带上这个code,然后校验这个code.
这个code可以用
 Cookie / Session 之类的。

			
		

	





	

		

			

				
					
PHP安全问题汇总

				
			

			

				

					Qimi 的博客
				

				

					09-17
					
					542
					
				

			

		

		

			
				
PHP安全问题汇总1-XSS2-SQL注入3-CSRF3-1 CSRF攻击攻击原理及过程如下:3-2 防御CSRF攻击4-CC攻击4-1 CC攻击的原理4-2 CC攻击的种类4-3 CC攻击与DDOS的区别5-DOS攻击6-DDOS攻击
1-XSS
Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。
来源

			
		

	





	

		

			

				
					
Spring MVC过滤器-登录过滤的代码实现

				
			

			

				

					08-31
				

			

		

		

			
				
本文将深入探讨如何实现一个登录过滤器,该过滤器旨在拦截需要登录才能访问页面,并确保用户登录才能继续操作。  登录过滤器的主要作用是在用户访问特定资源(如后台管理界面)之前检查其是否已经登录。如果用户...

			
		

	





	

		

			

				
					
如何在 JWT 过滤器实现页面登录访问

					
最新发布

				
			

			

				

					07-18
				

			

		

		

			
				
在 JWT 过滤器实现页面登录访问,主要思路是在过滤逻辑中判断当前请求是否属于放行路径,如果是,则跳过 JWT 的验证流程,直接进入后续的请求处理链。这样可以确保某些特定页面或接口无需登录即可访问。  为了...

			
		

	





	

		

			

				
					
java实现用户自动登录

				
			

			

				

					09-02
				

			

		

		

			
				
如果一致,说明用户登录,可以跳过登录界面,直接展示已登录的状态。  5. **验证用户身份**:  为了确保安全,通常还需要验证从 Cookie 中读取的用户名是否有效。这可能涉及数据库查询或与服务器端的其他验证机制...

			
		

	





	

		

			

				
					
过滤器防止登录直接访问网站内部

				
			

			

				

					ijavagos
				

				

					12-15
					
					432
					
				

			

		

		

			
				
有些网站需要登录以后才能访问网站内部资源,这就需要我们做一个过滤器,当用户访问网站内部资源时,要先经过过滤器过滤器判断是否有这个用户,有则跳转进入网站内部页面,没有则返回登录页面。

 

过滤器代码:

package com.dr.course;

 

import java.io.IOException;

 

import javax.servlet.Fi...

			
		

	





	

		

			

				
					
韩顺平-过滤器(filter)及使用过滤器拦截用户不登陆直接访问资源

				
			

			

				

					weixin_74484843的博客
				

				

					12-12
					
					755
					
				

			

		

		

			
				
1.Filter过滤器JavaWeb三大组件之一(Servlet程序、Listener监听器、Filter过滤器)2.Filter过滤器JavaEE的规范,是接口3.Filter过滤器的作用是:拦截请求、过滤响应4.应用场景权限检查日志操作事物管理等。

			
		

	





	

		

			

				
					
BOS项目(SSH)03_03_登录功能-登录拦截器、 防止跳过登录直接进主页

				
			

			

				

					小良的博客
				

				

					03-25
					
					543
					
				

			

		

		

			
				
系列文章目录
文章目录系列文章目录前言一、解决办法——配置一个登录拦截器注意
前言
如果没有“登录拦截器”,那么只要具体的知道地址栏的struts规则
直接这样访问你内部的主页
【注意】(旧版)ie如果前面没有http://, 需要手动加上 http://(qq浏览器等可以自动内部帮你加上http://,这样你不写,它也能正常访问)

http://localhost:8080/page_common_index

即使不知道账号密码也可以跳过登录直接在地址栏输入网址,进入主页面
这样就没有安全性,是不合

			
		

	





	

		

			

				
					
jsp实现登录验证功能并且防止绕过登录页面

				
			

			

				

					Chanefly的博客
				

				

					03-29
					
					3540
					
				

			

		

		

			
				
jsp实现登录验证功能并且防止绕过登录页面进入信息页
这个项目我分了三个部分,login.jsp 、verify.jsp和userinfo.jsp,第一个为登陆界面,第二个是验证页面,第三个是用户信息页面,为了安全起见,不能让用户直接访问第三个页面。
login.jsp
<body>
<form name="login" action="verify.jsp" method="p...

			
		

	





	

		

			

				
					
防止用户登录帐号密码,直接访问登录后的页面

				
			

			

				

					huanfengcheng的专栏
				

				

					04-04
					
					1458
					
				

			

		

		

			
				
con
= dbutil.getCon();//链接数据库User
 currentUser = userdao.login(con,
 user);if
(currentUser
==
null)
{//如果没有通过userdao.login登入,就把页面直接跳转到登入的界面request.setAttribute("error",
"用户名或密码为空");//服务器跳转requ

			
		

	





	

		

			

				
					
如何用过滤器拦截未登录直接访问资源页面

				
			

			

				

					xiaozhuzhuyang的博客
				

				

					01-28
					
					1899
					
				

			

		

		

			
				
如何用cookie和过滤器拦截未登录直接访问资源页面



			
		

	





	

		

			

				
					
防止普通用户直接登录管理员页面的几种自动跳转方法

				
			

			

				

					过客的博客
				

				

					05-20
					
					4149
					
				

			

		

		

			
				
1.最好用的方法<%
	User user = (User) session.getAttribute("user");
	if (user == null || user.getAuthority() == 0) {
		response.sendRedirect("http://www.baidu.com");
%>对很简单,只要user为null或者我们得到的用户的权限为0,即为普通用户,那

			
		

	





	

		

			

				
					
防止用户直接访问url的权限控制

				
			

			

				

					HeavenPurpleHeart的博客
				

				

					12-09
					
					1570
					
				

			

		

		

			
				
这是个过滤器的内容,


[java]
public void doFilter(ServletRequest request, ServletResponse response, 
            FilterChain chain) throws IOException, ServletException { 
        HttpServletRequest req 

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  





	
打赏作者

	

		

		
			
		
		

		

			
悟空非空也

			
你的鼓励将是我创作的最大动力

		

	

	

			

	

	

    ¥1
    ¥2
    ¥4
    ¥6
    ¥10
    ¥20
	

	

		

			

				

					扫码支付:¥1
				

				

					

					
					获取中
					

				

				

					
					
					扫码支付
				

			

		

		

			
您的余额不足,请更换扫码支付或充值

			
打赏作者

		

	



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值