如何檢查使用過濾器授權的用戶

Question

我有一個過濾器和登錄Servlet。我可以檢查 - 授權用戶或不？如果沒有授權 - 將他重定向到登錄Servlet。

謝謝。

Answer 1

這樣做：

1. 當用戶登錄，設置User對象在HttpSession中該用戶。這樣，httpRequest.getSession().setAttribute("LOGGED_USER", userObject)

2. 現在，每次你點擊過濾器/安全過濾器。你要做的第一件事就是檢查這個屬性。

3. 如果該屬性不存在，請將該請求重定向/轉發到登錄servlet。

的僞碼是這樣的：

//in your login servlet, on successful login 
request.getSession().setAttribute("LOGGED_USER", userObject); 

//in your security filter 
if(request.getSession().getAttribute("LOGGED_USER") == null){ 
//optionally, you may like to check if that attribute has a valid userId as well 
    RequestDispatcher rd = request.getRequestDispatcher("relative/path/to/login/servlet") 
    rd.forward(request, response); 
    return; 
} 

---

編輯1：看到此http://download.oracle.com/javaee/5/tutorial/doc/bncbx.html

Answer 2

在過濾器： IF UserObjectInSession存在=>用戶登錄 否則重定向到servlet

在servlet的： 如果驗證（）是正確=>把UserObjectInSession會話

public void doFilter(ServletRequest request, ServletResponse response, 
     FilterChain chain) throws IOException, ServletException {  
    HttpServletRequest httpReq = (HttpServletRequest) request; 
    HttpServletResponse httpRes = (HttpServletResponse) response; 

    HttpSession session = httpReq.getSession(); 
    User currentUser = (User)session.getAttribute("userInSession"); 

    if (currentUser == null) { 
     httpRes.sendRedirect("...") //redirect to LoginServlet 
    } else {   
     chain.doFilter(request, response); 
    } 
}