Filter案例-登录验证的实现
Filter案例-登录验证的实现
需求:访问服务器资源时,需要先进行登录验证,如果没有登录,则自动跳转到登录页面
这个案例本质是“认证拦截器”:在请求进入业务 Servlet 之前,先判断会话里是否存在登录态(通常是 Session / user 属性),不满足就跳转或返回错误。
关联:Filter / Session / Cookie / Response完成重定向
/**
* 登录验证的过滤器
*/
@WebFilter("/*")
public class LoginFilter implements Filter {
public void init(FilterConfig config) throws ServletException {
}
public void destroy() {
}
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws ServletException, IOException {
HttpServletRequest req = (HttpServletRequest) request;
// 判断访问资源路径是否和登录注册相关
String[] urls = {"/login.jsp", "/imgs/", "/css", "/loginServlet", "/register.jsp", "/registerServlet", "checkCodeServlet"};
// 获取当前访问的资源路径
String url = req.getRequestURL().toString();
for (String u : urls) {
if (url.contains(u)){
// 找到了
// 放行
chain.doFilter(request, response);
return;
}
}
// 1. 判断session中是否有user
HttpSession session = req.getSession();
Object user = session.getAttribute("user");
// 2. 判断user是否为null
if (user != null){
// 登录过了
// 放行
chain.doFilter(request, response);
}else{
// 没有登录,存储提示信息,跳转到登录页面
req.setAttribute("login_msg", "您尚未登录!");
req.getRequestDispatcher("/login.jsp").forward(req, response);
}
}
}
细节补齐:白名单与路径匹配
原例用 url.contains(...) 做白名单,优点是简单,缺点是容易误伤(比如路径里包含相同片段)。
更稳的写法思路:
- 用
getRequestURI()拿“路径部分”,避免把协议/域名/端口混进来 - 把
getContextPath()去掉,再做匹配 - 白名单用 “精确匹配 + 前缀匹配” 组合:页面/Servlet 精确,静态资源目录前缀
细节补齐:是否创建 Session
对未登录请求,如果只是检查登录态,通常用 getSession(false) 更合适:不存在就返回 null,避免大量匿名请求把服务器 Session 撑大。
转发 vs 重定向
forward:一次请求,地址栏不变;适合把未登录用户留在当前 URL,展示登录页(但刷新行为要注意)sendRedirect:两次请求,地址栏跳到登录页;适合“强制去登录页”的交互(见 Response完成重定向)
Ajax/前后端分离场景的处理
如果前端是 Ajax 调接口:
关联:MVC模式 / Servlet-获取请求参数 / Servlet-响应数据