Java Web入门之用Filter实现用户权限的管理

很简单的用户权限管理，就是根据用户权限对不同的url进行过滤。
设定登陆成功在session里写入super属性来存储权限信息，所以只有登陆成功后session里才会有super这个属性。
denied.html可以防在WEB-INF文件夹里，这样就不能直接访问，只能用forward跳转访问。

FilterChain的逻辑

/login.html过滤器

这个过滤器一定要放在/*过滤器之前，否则会造成死循环。

Object logined = session.getAttribute("super");if (logined == null)    forward to "/login.html";else    redirect to "/center.html";

/check.jsp过滤器

这个过滤器一定要放在/*过滤器之前，否则会造成无法验证登陆。

Object logined = session.getAttribute("super");if (logined == null)    forward to "/check.html";else    redirect to request.getContextPath()+"/center.html";

/*过滤器

Object logined = session.getAttribute("super");if (logined == null)    redirect to request.getContextPath()+"/login.html";else    chain.doFilter(request, response);

1-2顺序可变，但一定要在3之前；3之后的过滤器顺序可变，但一定要在3之后。

剩下的过滤器逻辑类似，假设需要区分super和ordinary用户，则分别新建两个过滤器，过滤/super/*和/ordinary/*。

if(session.getAttribute("super").toString().contains("word"))    chain.doFilter(request, response);else    forward to "/denied.jsp";

check.jsp的逻辑

<%@ page contentType="text/html;charset=UTF-8" pageEncoding="utf-8" %><html>    <meta http-equiv=Content-Type content="text/html;charset=utf-8"><head>    <title>check</title></head><body>    <%    response.setHeader("progma","no-cache");    response.setHeader("Cache-Control","no-cache");    response.setDateHeader("Expires",0);    String username = request.getParameter("username");    String password = request.getParameter("password");    if (username == null || password == null)        response.sendRedirect(request.getContextPath()+"/login.html");    else if (username.equals("admin") && password.equals("123")) {        session.setAttribute("super","super");        response.sendRedirect(request.getContextPath()+"/center.html");    }    else {        response.setHeader("refresh","3;url=login.html");    %>    用户不存在或密码错误，3秒后自动返回登陆界面。<br>    如果没有返回，请点击<a href="login.html">此处</a>。    <%}%></body></html>

login.html的代码

<html><meta http-equiv=Content-Type content="text/html;charset=utf-8"><meta http-equiv="pragma" content="no-cache"><meta http-equiv="cache-control" content="no-cache"><meta http-equiv="expires" content="0"><head>    <title>login</title>    <script type="text/javascript">    function Check() {        with(document.info) {            var uname = username.value;            var psd = password.value;            if(uname == null || uname == "") alert("用户名为空");            else if (psd == null || psd == "") alert("密码为空");            else submit();        }    }    </script></head><body><br><br><br><br><center>    <form name="info" action="check.jsp" method="post">        <table>            <tr><td colspan="2" align="center">用户登录</td></tr>            <tr><td>登录名：</td><td><input type="text" name="username"></td></tr>            <tr><td>密码：</td><td><input type="password" name="password"></td></tr>        </table>        <input type="button" value="登录" onclick="Check()">&nbsp;&nbsp;&nbsp;        <input type="reset" value="重置">    </form></center></body></html>

注意，check.jsp和login.html里需要设置页面不缓存。
check.jsp密码验证部分应当从数据库里取用户名、密码、权限信息，这里为方便简化了。