filter控制用户访问权限

 

public void doFilter(ServletRequest request,

        ServletResponse response,
        FilterChain chain)
        throws IOException, ServletException {

    HttpServletRequest req = (HttpServletRequest) request;
    HttpServletResponse res = (HttpServletResponse) response;

    HttpSession session = req.getSession();
    if (session.getAttribute("username") != null) {
        chain.doFilter(request, response);
    } else {
        res.sendRedirect("../failure.jsp");
    }
}

 

首先要将ServletRequest和ServletResponse转换成HttpServletRequest和HttpServletResponse，因为Filter本来设计成为多种协议服务，http协议仅仅是其中一部分。不过我们接触到的也只有http，而且也只有转换成对应HttpServletRequest和HttpServletResponse才能进行下面的session操作和页面重定向。

 

得到了http请求之后，可以获得请求对应的session，判断session中的username变量是否为null，如果不为null，说明用户已经登录，就可以调用doFilter继续请求访问的资源。如果为null，说明用户还没有登录，禁止用户访问，并使用页面重定向跳转到failure.jsp页面显示提示信息。

 

session中的username实在登录的时候设置进去的，值就是登录用户使用的用户名，详细代码可以参考07-02/WEB-INF/src/LoginServlet.java，登录和注销都写成了servlet并映射到/login.do和/logout.do这两个请求路径上。源代码和web.xml配置请自行参考07-02中的例子，这里就不复述了。

 

我们再来看看页面重定向的写法，res.sendRedirect()中使用的是"../failure.jsp"，两个点（..）代表当前路径的上一级路径，这是因为SecurityFilter负责处理的是/admin/下的请求，而/failure.jsp的位置在/admin/目录的上一级，所以加上两个点才能正确跳转到failure.jsp。当然这里使用forward()也可以，但是要注意在不同路径下做请求转发会影响页面中相对路径的指向

代码来源：http://blog.sina.com.cn/s/blog_6218ee540100fi9w.html