JavaWeb：Filter（二）

 

1、使用 Filter 完成一个简单的权限模型：

　　1）、需求：

　　　　①、管理权限：查看某人权限、修改某人权限。

　　　　②、对访问进行权限控制：有权限则可以访问，否则提示：没有对应的权限，请返回。

　　2）实现：

　　　　①、管理权限：

　　　　　>封装权限信息： Authority

Authority{
　　//显示到页面上的权限的名字
　　private String displayName;

　　//权限对应的 URL 地址: 已权限对应着一个 URL, 例如 Article_1 -> /app_4/article1.jsp
　　private String url;
}

　　　　>封装用户信息：User

User{
　　private String username;

　　private List<Autority> authorities;

　　//...
}

　　　　>创建一个 UserDao：

  User get(String username);

　void update(String username, List<Autority>); 

　　　　>页面

　　　　　authority-manager.jsp：

　　　　　　*有一个 text 文本框，供输入 username，提交后，使用 checkbox 显示当前用户所有的权限的信息。

        <form action="/day_40/AuthorityServlet?method=get" method="post">
            Name: <input name="name" type="text"/>
            <input type="submit" value="Submit"/>
        </form>

　　　　　　*检查 request 中是否有 user 信息，若有，则显示xxx 的权限为：对应的权限的 checkbox 打上√，提示，页面需要通过两层循环的方式来筛选出被选择的权限。

        <form action="/day_40/AuthorityServlet?method=get" method="post">
    
            Name: <input name="name" type="text"/>
            <input type="submit" value="Submit"/>
        
        </form>
        
        <br><br>
        
        AAA 的权限是:
        
        <br><br>
        
        <form action="/day_40/AuthorityServlet?method=update" method="post">
            
            <!-- 使用隐藏域来保存用户的 name -->
            <input name="name" type="hidden" value="AAA"/>
                
            <input type="checkbox" name="authority" value="/app_4/article1.jsp" 
                checked="checked"/>Article_1
            <br><br>
            
            <input type="checkbox" name="authority" value="/app_4/article2.jsp" 
                checked="checked"/>Article_2
            <br><br>
            
            <input type="checkbox" name="authority" value="/app_4/article3.jsp" 
                checked="checked"/>Article_3
            <br><br>
            
            <input type="checkbox" name="authority" value="/app_4/article4.jsp" />Article_4
            <br><br>
                
            <input type="submit" value="Submit"/>
        
        </form> 

　　　　> Servlet：

　　　　authority-manager.jsp 提交表单后 get 方法：获取表单的请求参数：username，再根据 username 获取 User 信息，把user 放入到 request 中，转发到 authority-manager.jsp。

 　　　　authority-manager.jsp 修改权限的表单提交后 update 方法：获取请求参数: username, authory(多选); 把选项封装为 List; 调用UserDao 的 update() 方法实现权限的修改; 重定向到 authority-manager.jsp。

 

　　②、对访问权限进行控制：

　　　　>使用 Filter 进行权限的过滤：检验用户是否有权限，若有，则直接响应目标页面；若没有，重定向到403.jsp

　　　　*403.jsp：

　　　　<h4>
            没有对应的权限, 
            请 <a href="">返回</a>
        </h4>

　　　　*使用 Filter 如何进行过滤：

　　　　　　--获取 servletPath，类似于/app_3/article1.jsp

　　　　　　--在用户已经登录（可使用 用户是否登录 的过滤器）的情况下获取用户信息。session.getAttribute("user")

　　　　　　--再获取用户所具有的权限的信息：List<Authority>

　　　　　　--检验用户是否有请求 servletPath 的权限：可以思考除了遍历以外，有没有更好的实现方式。

　　　　　　--若有权限则：响应

　　　　　　--若没有权限：重定向到 403.jsp

　　　　*others：

　　　　　　--用户若登录，需要把用户信息（User 对象）放入到 HttpSession 中。

　　　　　　--在检验权限之前，需要判断用户是否已经登录。

 

额外补充其他：

2、HttpServletWrapper 和 HttpServletResponseWrapper

　　1）、Servlet API 中提供了一个 HttpServletRequestWrapper 类来包装原始的 request 对象，HttpServletRequestWrapper  类实现了 HttpServletRequest 接口中的所有方法，这些方法的内部实现都是仅仅调用了一下所包装的 request 对象的对应的方法。

//包装类实现 ServletRequest 接口. 
public class ServletRequestWrapper implements ServletRequest {

    //被包装的那个 ServletRequest 对象
    private ServletRequest request;
    
    //构造器传入 ServletRequest 实现类对象
    public ServletRequestWrapper(ServletRequest request) {
        if (request == null) {
            throw new IllegalArgumentException("Request cannot be null");   
        }
        this.request = request;
    }

    //具体实现 ServletRequest 的方法: 调用被包装的那个成员变量的方法实现。 
    public Object getAttribute(String name) {
        return this.request.getAttribute(name);
    }

    public Enumeration getAttributeNames() {
        return this.request.getAttributeNames();
    }    
    
    //...    
}

相类似 Servlet API 也提供了一个 HttpServletResponseWrapper  类来包装原始的 response 对象。

　　2）、作用：用于对 HttpServletRequest 或 HttpServletResponse 的某一个方法进行修改或增强。

public class MyHttpServletRequest extends HttpServletRequestWrapper{

    public MyHttpServletRequest(HttpServletRequest request) {
        super(request);
    }
    
    @Override
    public String getParameter(String name) {
        String val = super.getParameter(name);
        if(val != null && val.contains(" fuck ")){
            val = val.replace("fuck", "****");
        }
        return val;
    }
}

　　3）、使用：

在 Filter 中，利用 MyHttpServletRequest 替换传入的 HttpServletRequest

HttpServletRequest req = new MyHttpServletRequest(request);
filterChain.doFilter(req, response);

此时到达目标 Servlet 或 JSP 的 HttpServletRequest 实际上是 MyHttpServletRequest。

 

3、request.getParameter() VS request.getAttribute()

1）、 request.getParameter() 获取 GET、POST 请求的请求参数的值，返回值一定是 String 类型。

　　》表单

　　》URL 后边的？后面附着的值，例： index.jsp?name=tom

2）、request.getAttribute() 获取 request 域中的属性值，一定是先有setAttribute(name, value). 然后通过 request.getAttribute(name) 获取属性值，且属性值可以是任意类型。

 

4、以下 equals 方法中的

if (getClass() != obj.getClass())
return false;

1）、可以省略吗? 不能省略，若省略则下边的强转类型转换可能会出现异常。

2）、比较两个对象是否相等不是使用 equals 吗？ 为什么使用 == 了呢？ 每个类的 Class 对象只有一个，所以可以使用 == 。

public boolean equals(Object obj) {
    if (this == obj)
        return true;
    if (obj == null)
        return false;
    if (getClass() != obj.getClass())
        return false;
    Authority other = (Authority) obj;
    if (url == null) {
        if (other.url != null)
            return false;
    } else if (!url.equals(other.url))
        return false;
    return true;
}

 

over。