httpsession 在服务器段进行权限控制

最新推荐文章于 2021-12-22 16:43:00 发布
转载 最新推荐文章于 2021-12-22 16:43:00 发布 · 396 阅读 · 0

本文介绍了一个基于Android的应用如何实现有效的用户权限控制。通过在服务器端使用Filter进行拦截,确保只有登录用户才能使用系统功能,从而增强应用的安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

摘自疯狂讲义第三版的电子拍卖系统;
/**
* 服务器端程序在处理用户登录时,如果用户登录成功,系统会把用户ID 放
* 入HTTPsession中,方便系统跟踪用户的登录状态;
* 对于Android客户端程序来说,由于Android客户端采用了Apache HttpClient
* 来发送请求、获取响应,因此HttpClient会自动维护与服务器之间的登录状态,
* 有的项目会要求只有登录用户才能使用系统功能,因此程序考虑在服务器段使用
* Filter进行控制,Filter只要拦截匹配的/android/*(匹配该URL 的Servlet向
* Android客户端提供响应)的URL 即可;
*
* 一些Android应用并没有在服务器段进行权限控制,而是只要求用户在第一次使用
* 时登录系统,但实际上这是不够的。对于恶意用户来说,他可以采用多种方法来绕
* 过客户端的登录要求——最简单的方法比如反编译Android应用,让用户在启动程序时
* 立即进入MainActivity,那么整个应用就“赤裸裸”的暴露出来了。所以有的应用不
* 仅要求用户第一次使用时进行登录,而且程序还在服务器端进行了控制,这样才能
* 保证系统的安全性;
*/

package com.lu.service;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpSession;

public class Authority implements Filter
{
    public void doFilter(ServletRequest request, ServletResponse response,
            FilterChain chain) throws IOException, ServletException 
    {
        HttpServletRequest hRequest = (HttpServletRequest) request;
        //获取HttpSession对象;
        HttpSession session = hRequest.getSession(true);
        Integer userId = (Integer)session.getAttribute("userId");
        //如果用户已经登录,或用户正在登录
        if((userId != null && userId > 0) || 
                hRequest.getRequestURI().endsWith("/login.jsp"))
        {
            chain.doFilter(request, response); //“放行”请求;
        }
        else
        {
            response.setContentType("text/html; charset=GBK");
            //生成错误提示;
            response.getWriter().println("您还没有登录系统,请先登录!");
        }
    }

    public void init(FilterConfig arg0) throws ServletException 
    {       
    }

    public void destroy() 
    {       
    }
}
tomcat服务器日志文件配置
专注于计算机研发知识和资讯分享
08-21 1127
这个配置项通常在MyBatis的配置文件(比如mybatis-config.xml)或者Spring Boot的application.properties或application.yml文件中进行设置。来记录从接收到请求到发送响应的总时间,单位毫秒,对应的日志文件是 localhost_access_log.xxx.txt。修改server.xml 文件,日志格式包含。
JavaWeb-使用Filter过滤器进行权限检查
郭松源的博客
11-14 2572
文章目录1. 什么是Filter过滤器2. Filter初体验3. Filter的生命周期4. FilterConfig类5. FilterChain过滤器链6. Filter的拦截路径6.1 精确匹配6.2 目录匹配6.3 后缀名匹配 1. 什么是Filter过滤器 Filter 过滤器它是 JavaWeb 的三大组件之一。三大组件分别是:Servlet 程序、Listener 监听器、Filter 过滤器。 Filter 过滤器它是 JavaEE 的规范,也就是接口。 Filter过滤器的作
httpsession 详细内容整理
feiyan35488的专栏
03-13 283
最近在做登录和权限控制模块,用到了session,发现session的好多方法都不熟悉,而且以前也听说过JsessionId 之类session窃取的事,对这些一直都是一知半解。今天索性google了很多资料,先上sun的官网去看session的文档了解一些方法,又找了别人关于session的看法。 总结如下:       1,session是什么?  what           sess...
acegi并发控制httpsession
iteye_19936的博客
01-21 254
acegi控制并发httpsession 在一些应用场合,企业可能需要限制同一账号在同一时间登录到同一web应用的次数,即并发控制httpsession数量。比如同一时间只允许admin/password用户在服务区端存在一个或若干个活动的httpsession。 acegi内置了这一并发控制的支持,要使用这一支持,需要完成以下步骤: 1、在acegi的配置文件中做如下配置:   ...
Swoft HTTP Session 会话控制
JunChow
04-27 719
Session组件提供HTTP服务下的会话支持,Swoft实现了Redis驱动的Session存储支持,由于Swoft设计理念更倾向于分布式和集群,所以不建议使用文件的方式来进行会话存储。 依赖 PHP 7.0 + Swoft Framework 1.0 beta + Swoole 2.0.11 + 安装 检查项目根目录下composer.json文件中是否已经安装swoft/...
HTTP 会话控制[Cookie与Session] - 学习/实践
"代码"的日常搬运
03-15 6073
主要用于会话控制,学习理解高效正确使用Cookie与Session.
Session实战权限认证
可小辉的博客
11-08 395
1
Apache Shiro权限控制框架的全面介绍
授权是在用户身份验证成功后,进行权限控制的过程。Shiro的授权分为角色授权和权限授权。角色授权是将一个或多个角色分配给用户,而权限授权则是分配具体的权限给用户或角色。在Shiro中,权限通常用字符串来表示,如...
实现网站访问权限控制的JavaWeb项目实践
在深入探讨“控制访问网站权限的javaWeb小项目”之前,我们首先要了解javaWeb的基础概念,以及如何在javaWeb项目中实现访问权限控制。javaWeb项目通常指的是基于Java语言开发的,运行在Web服务器上的应用程序。这些...
Java实现在控制层设置用户访问权限
BXERP(集成小程序的多商户开源收银系统)。代码托管在CodeChina和GitHub
12-22 1232
服务器可能会收到各种角色用户的请求,如普通用户、游客、会员等。有些服务器接口,我们不想对所有角色开放,我们可以在接口里面设置访问权限,拒绝掉没有权限的请求。本文将介绍如何设置接口的角色访问权限,包括:“根据用户类型定义用户域枚举类”、“定义在服务器接口的拦截方法canCallCurrentAction”、“在Action接口调用canCallCurrentAction”。 1、根据用户类型定义用...
查看服务器Application/Session变量工具
Goaler's Blog
10-27 1872
文章来源:http://blog.youkuaiyun.com/alcoholwang/archive/2004/01/09/21943.aspx      Response.Expires = 0;   Response.Buffer  = true;   var tPageStartTime = new Date();   %>      网站-Application变量-Session变量       
Cookie & HttpSession(会话控制)总结
爱码者的博客
08-22 1111
文章目录会话控制(Cookie & HTTPSession)一、Cookie1、cookie简介2、cookie运行原理2.1 白话解说2.2 运行原理3、cookie的使用3.1 cookie的创建&获取&修改(1)创建(2)获取(3)修改a、直接修改b、覆盖式修改(4)cookie键值设置问题(建议都用英文)4、cookie有效性5、cookie有效路径6、cookie...
控制用户访问--用户和权限
hellowheat的专栏
05-27 1458
控制用户访问        在多用户环境中,要维护数据库访问和使用的安全性。通过Oracle服务器数据库安全性,可以执行以下任务:     1.控制数据库访问     2.授予对数据库中特定对象的访问权限     3.通过Oracle数据字典确认给定的和接收的权限     4.为数据库对象创建同义词        数据库的安全性可以分为以下两类:系统安全性和数据安全性。系统安全性包括在系统级别上对
HttpSession的正确理解
stepMore的博客
06-25 1457
一个session就是一系列某用户和服务器间的通讯。服务器有能力分辨出不同的用户。一个session的建立是从一个用户向服务器发第一个请求开始,而以用户显式结束或session超时为结束。 其工作原理是这样的: 当一个用户向服务器发送第一个请求时,服务器为其建立一个session,并为此session创建一个标识号; 这个用户随后的所有请求都应包括这个标识号。服务器会校对这个标识号以判断请求属于...
spring security控制session
neweastsun的专栏
02-25 2万+
spring security控制session 本文给你描述在spring security中如何控制http session。包括session超时、启用并发session以及其他高级安全配置。 创建session时机 我们可以准确地控制什么时机创建session,有以下选项进行控制: always – 如果session不存在总是需要创建; ifRequired – 仅当需要时...
一.springboot与shiro整合(示例)
热门推荐
u014203449的博客
02-16 4万+
地址: 演示地址:http://47.98.153.30:8080 账号:melo 密码:12345678 github地址:点击打开链接https://github.com/MeloFocus/focus 前端水平有限见谅 第一个整合目标: (1)用springboot整合shiro (2)完成简单的登录功能 (3)对url进行权限控制,当前登录用户拥有此ur...
Java 实现系统权限控制思路
Cloud 专栏
12-19 4万+
首先介绍下思路: 1、用户表 user; 2、角色表 role; 3、菜单 menu; 4、角色菜单权限表 role_menu; 5、用户菜单权限表 user_menu; 如图: 根据用户角色取出该角色所有权限,并对用户进行权限分配;注意菜单的按钮(新增、删除、修改)权限是放在中间表(user_menu)中的; 1、新增用户时,是要根据用户角色进行分配权
session的权限判断
heiiochange的博客
09-12 865
1.session判断用户存不存在 package com.pw.web.filter; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.Servl
最简单的基于session的判断用户登录用户权限
yinyiniao(Leo)'s blog
11-06 3254
用户名:密 码: <?session_start();$_SESSION["user"]=$_POST[user];$_SESSION["password"]=$_POST[pwd];if($_SESSION[user]==""){ echo "<!--alert(用户名不能为空!);// -->";}if($_SESSIO
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值