java struts2防盗链(filter不可过滤action).docx

Java+struts2防盗链Author:Rose(wangjiaoe)Time:20101028前段时间使用到了防盗链，使用时用的是过滤器filter，其中遇到了问题，最后对action无法过滤问题得到了解决，这儿写个小笔记记录一下。防盗链:解释一下什么是防盗链：就是防止在没有通过合理的登陆界面，直接进入到系统中优点：避免在每个页面判断是否获得session，虽然在里也是判断是否或的session，但是代码简单，重用性高步：建立一个类实现Filterpackage com.l99.filter;import java.io.IOException;import javax.servlet.Filter;import javax.servlet.FilterChain;import javax.servlet.FilterConfig;import javax.servlet.ServletException;import javax.servlet.ServletRequest;import javax.servlet.ServletResponse;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpServletResponse;import javax.servlet.http.HttpSession;/* * 实现filter （） * * author filter * */public class LoginFilter implements Filter public void destroy() / TODO Auto-generated method stubpublic void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException HttpSession session = (HttpServletRequest) request).getSession();System.out.println(session.getAttribute(userInfo);/测试用/测试用，获取请求的地址System.out.println(HttpServletRequest)request).getRequestURI();/如果是登录就放行if (/RightManage/login.jsp.equals(HttpServletRequest) request).getRequestURI() / 放行chain.doFilter(request, response); else if (session.getAttribute(userInfo) = null) / 重定向到登录界面，或提示没有权限(HttpServletResponse)response).sendRedirect(/login.jsp);public void init(FilterConfig filterConfig) throws ServletException / TODO Auto-generated method stub2.配置： loginFilter com.l99.filter.LoginFilter文件全路径 /下面是你要防盗的页面，可以有多个或一个，因为在大型项目中，jsp页面分类会很细，可能装载在不同的文件夹所以可以有多对 loginFilter *.jsp loginFilter /form/cfa/* 过滤在form文件夹下，cfa子文件夹中的jsp页面 注释：测试就实现了简单的登录过滤二：加入struts2 ,对action进入过滤注意：Filter好像只可以过滤jsp，不可以过滤action，过滤action最好用拦截器1. XML 配置 struts2 org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter struts2 /* 2. 创建拦截器类 ，实现Interceptorpackage erceptor;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpSession;import org.apache.struts2.ServletActionContext;import com.l99.right.ManageUserInfo;import com.opensymphony.xwork2.Action;import com.opensymphony.xwork2.ActionContext;import com.opensymphony.xwork2.ActionInvocation;import erceptor.Interceptor;/* * 登录、权限拦截器 ，实现interceptor * author Owner * */public class LoginInterceptor implements Interceptorpublic void destroy() / TODO Auto-generated method stubpublic void init() / TODO Auto-generated method stub/* * 拦截器 */public String intercept(ActionInvocation invocation) throws Exception /获取uri /获取requestActionContext context = invocation.getInvocationContext();HttpServletRequest request = (HttpServletRequest)context.get(ServletActionContext.HTTP_REQUEST);/获取sessionHttpSession session = request.getSession();/获取请求的路径String path = request.getRequestURI();/判断是否登录,如果登录判断是否有访问的权限if(session.getAttribute(userInfo)= null)/ 重定向到登录界面/request.getRequestDispatcher(/login.jsp); 此方式用下面的 Action.LOGIN;代替return Action.LOGIN;else/判断访问的是否是 需要指定的权限的用户if(path.contains(/sysFun/right.action)ManageUserInfo userInfo = (ManageUserInfo) session.getAttribute(userInfo);if(!超级管理员.equals(userInfo.getRoleName()request.setAttribute(error, 对不起，您没有访问权限);return Action.ERROR;return invocation.invoke();3. struts.xml配置ssHello world!- struts2默认拦截器 -/WEB-INF/pages/error.jsp/login.jsp/WEB-INF/pages