java web 过滤器
(2013-03-01 10:04:24)本人转载收藏
ServletFilter,Servlet过滤器:
Filter也称之为过滤器,它是Servlet技术中最激动人心的技术,WEB开发人员通过Filter技术可以对web服务器管理的所有web资源:Jsp, Servlet, 静态图片文件或静态html 文件等进行拦截,从而实现一些特殊的功能。例如实现URL 级别的权限访问控制、过滤敏感词汇、压缩响应信息等一些高级功能。ServletAPI提供了一个Filter接口,实现这个接口的Servlet就是一个过虑器。过虑器在WEB应用访问流程中如下:
由图可见,只要我们编写了过滤器,可以对一切访问WEB应用的连接进行过滤。比如,用户访问权限、统一WEB编码…
Filter是如何实现拦截的?
实现了Filter接口的Servlet是过滤器,因为Filter接口有一个
doFilter(ServletRequest request, ServletResponse response, FilterChain chain)方法,只要用户访问我们在web.xml中配置的映射目录,服务器便会调用过滤器的doFilter方法。我们在这里实现过虑功能代码,当我们调用
chain.doFilter(request, response);方法时,将请求反给服务器服务器再去调用相当的Servlet。如果我们不调用此方法,说明拒绝了用户的请求。
Filter开发入门:
在WEB应用中添加一个过滤器,有两步工作需要完成:
1.编写实现了Filter接口的Servlet——过滤器。
2.在web.xml中配置过滤器:
(1). 标签添加器
(2). 注册过滤器的映射目录(过滤目录),与注册Servlet一样。
在实际WEB应用中,我们可能需要编写多个过虑器,比如:1.统一WEB编码的过滤器(过虑所有访问)2.用户访问权限管理。这样,用户的访问需要选经过过滤器1过滤然后再经过过滤器2过滤。doFilter中有一个FilterChain参数,这个参数是服务器根据web.xml中配置的过滤器,按照先后顺序生成的过滤器链。当我们在doFilter方法中调用chain.doFilter(request, response);方法时,服务器会查找过滤链中是否还有过滤器,如果有继续调用下一个过滤器,如果没有将调用相应的Servlet处理用户请求。
Filter接口的其他细节:
1.Filter的Init(FilterConfig filterConfig)方法:
与Servlet的Init方法一样,在创建时被调用,之后被保存在内存中直至服务器重启或关闭时Filter实例才会被销毁。与Servlet不同之处在于,服务器启动时就会实例化所有Filter,而Servlet中有当用户第一次访问它时才会被实例化。我们通过在web.xml使用对Filter配置的初始化参数,可以通过FilterConfig来获得。
FilterConfig的方法有:
String getFilterName():得到filter的名称。
String getInitParameter(String name):返回在部署描述中指定名称的初始化参数的值。如果不存在返回null.
Enumeration getInitParameterNames():返回过滤器的所有初始化参数的名字的枚举集合。
public ServletContext getServletContext():返回Servlet上下文对象的引用。
2.Filter的destroy()方法:
当服务器重启或关闭时,在销毁Filter之前调用此方法。
编写配置Filter练习程序:
1. 编写一个用于统一WEB字符编码的Filter:
复制代码代码如下:
package ;
import ;
import ;
import ;
import ;
import ;
import ;
import ;
import ;
import ;
public class Encoding implements Filter {
public void destroy() {
// TODO Auto-generated method stub
}
public void doFilter(ServletRequest arg0, ServletResponse arg1, FilterChain arg2) throws IOException, ServletException {
//参数转换,因为我们已经它肯定是Http协议的请求。
HttpServletRequest request = (HttpServletRequest)arg0; HttpServletResponse response = (HttpServletResponse)arg1;
//设置request和response使用的编码均为UTF-8。
request.setCharacterEncoding("UTF-8");
response.setCharacterEncoding("UTF-8");
response.setContentType("text/html;charset=UTF-8");
//设置完成后,交回给服务器。
arg2.doFilter(arg0, arg1);
}
public void init(FilterConfig arg0) throws ServletException {
// TODO Auto-generated method stub
}
}
2. 配置web.xml文件,添加下面部分:
复制代码代码如下:
encoding
encoding
/*
3. 上面是Filter的简单使用方式,后面会讲到高级应用。
Filter高级开发:
//参数转换,因为我们已经它肯定是Http协议的请求。
HttpServletRequest request = (HttpServletRequest)arg0; HttpServletResponse response = (HttpServletResponse)arg1;
上面的两片段代码,是因为我们已经知道了request和response是服务器给我们封装好了的两个Http请求对象。我们对它进行了功能上的扩充。如果我们不知道request和response是谁创建的具体内容是什么,我们应该如何对它们的功能进行扩充?我们有两种方式可以扩充:
1. 编写一个子类,覆盖需要覆盖的方法。
2. 使用Decorator设计模式,来扩充我们想要的功能。
Decorator设计模式:
我们有时无法使用方法1,因为我们不知道一个对象的具休类,比如它是一个接口对象,实现类是谁?。所以我们最好使用方法2,之前我们有接触过工厂设计模式和单例设计模式,Java真是高级应用的完美体现。什么是Decorator设计模式?中文名称是“装饰”模式,下面我们使用此模式为request做一下功能上的扩充:
1.我们实现继承request接口类型ServletRequest。哦天哪,ServletRequest有太多的方法,难道我们要实现每一个方法?Servlet设计者们想到了这一点,并给我们提供了一个包装类——HttpServletRequestWrapper。我们就使用它做为父类吧!
2.在我们自定义类内部添加一个HttpServletRequest类型成员,因为我们就要装饰它。
3.编写我样想覆盖的方法,也就是我们想提供特殊功能的方法。
举例,上边我们编写的统一WEB编码的filter是存在问题的,如果我们提交一个表单,表单的提交方式为GET,那么我们设置request的编码是不起作用的。所以在这里我们就使用Decorator设计模式来完善统一编码的功能:
编写自定义类MyServletRequest.java类:
复制代码代码如下:
class MyServletRequest extends HttpServletRequestWrapper {
// 我们要装饰的对象
HttpServletRequest myrequest;
public MyServletRequest(HttpServletRequest request) {
super(request);
this.myrequest = request;
}
// 我们要增强的功能方法
@Override
public String getParameter(String name) {
// 使用被装饰的成员,获取数据
String value = ;
if (value == null)
return null;
// 将数据转码后返回
try {
value = new String(value.getBytes("ISO8859-1"), "UTF-8");
} catch (UnsupportedEncodingException e) {
e.printStackTrace();
}
return value;
}
}
我们修改Encoding.java过滤器的代码如下:
复制代码代码如下:
public class Encoding implements Filter {
public void destroy() {
// TODO Auto-generated method stub
}
public void doFilter(ServletRequest arg0, ServletResponse arg1, FilterChain arg2) throws IOException, ServletException {
arg2.doFilter(new MyServletRequest((HttpServletRequest)request), arg1); }
public void init(FilterConfig arg0) throws ServletException {
// TODO Auto-generated method stub
} }
[JavaWeb工作原理] [第一章]
一什么是JavaWeb? JavaWeb是用Java技术来解决相关web互联网领域的技术总和。web包括:web服务器和web客户端两部分,在第一个项目(贷款计息查询服务器)的时候已经知道在Web服务器的作用是接受客户端请求,然后向客户端返回一些结果.浏览器的作用是允许用户请求服务器上的某个资源,并且向用户显示请求的结果,HTML用于告诉浏览器怎样向用户显示内容,HTTP是WEB上客户端和服务器之间通信所用的协议 二HTTP协议 Http是一种超文本传输协议(HyperText Transfer Protocol),他是一套计算机在网中通信的一种规则,在TCP/IP体系结构中,HTTP属于应用层协议,位于TCP/IP协议的顶层.HTTP是一种无状态的协议,意思是指在WEB浏览器和WEB服务器之间不需要建立持久的连接,HTTP 定义的事物处理由以下四步组成: 1.客户端和WEB服务器建立连接 a)客户端和服务器的连接就是与客户端与服务器的一个TCP Socket套接字连接 2.客户端发送HTTP请求 a)请求包含:请求行--请求行是一个ACCII文本行,由请求的HTTP方法,请求的 URL,HTTP版本组成,中间用空格分开, b)请求头---HTTP协议使用HTTP头来传递请求的元信息, c)空行---发送回车符和退行,通知服务器以下不再有请求头 d)消息体--HTTP请求中带有查询字符串时,如果是GET方法,查询字符串或表单 数据附加在请求行中,那么消息体就没有内容,如果是POST方法,查询字符串或 表单数据就添加在消息体重 3.服务器端接收客户端的HTTP请求,生成HTTP相应回发 a)响应包含:状态行---每个HTTP响应以一个状态行开头,它由HTTP协议版本, 响应状态码,响应描述组成,中间用空格分开 b)响应头---响应头与请求头一样,也是一个用冒号分隔符的名称/值对,冒号前面 是HTTP头得名称,后面是HTTP头得值 c)空行---发送回车符和退行,通知服务器以下不再有响应头 d)消息体---要发送回客户端的HTML文档或其他要显示的内容等,WEB服务器 把要发送给客户端的文档信息放在消息体中 4.服务器端关闭连接,客户端解析并回发响应,恢复页面 a)HTTP响应到达客户端后,浏览器先解析HTTP响应中的状态行,查看请求是否 成功的状态代码,然后开始一步步解析响应
IIS状态代码的含义 概要 当用户试图通过HTTP或文件传输协议(FTP)访问一台正在运行Internet信息服务(IIS)的服务器上的内容时,IIS返回一个表示该请求的状态的数字代码。该状态代码记录在IIS日志中,同时也可能在Web浏览器或FTP客户端显示。状态代码可以指明具体请求是否已成功,还可以揭示请求失败的确切原因。 更多信息 日志文件的位置 在默认状态下,IIS把它的日志文件放在%WINDIR\System32\Logfiles文件夹中。每个万维网(WWW)站点和FTP站点在该目录下都有一个单独的目录。在默认状态下,每天都会在这些目录下创建日志文件,并用日期给日志文件命名(例如,exYYMMDD.log)。 HTTP 1xx-信息提示 这些状态代码表示临时的响应。客户端在收到常规响应之前,应准备接收一个或多个1xx响应。 100-继续。 101-切换协议。 2xx-成功 这类状态代码表明服务器成功地接受了客户端请求。 200-确定。客户端请求已成功。 201-已创建。 202-已接受。 203-非权威性信息。 204-无内容。 205-重置内容。 206-部分内容。
3xx-重定向 客户端浏览器必须采取更多操作来实现请求。例如,浏览器可能不得不请求服务器上 的不同的页面,或通过代理服务器重复该请求。 301-对象已永久移走,即永久重定向。 302-对象已临时移动。 304-未修改。 307-临时重定向。 4xx-客户端错误 发生错误,客户端似乎有问题。例如,客户端请求不存在的页面,客户端未提供有效 的身份验证信息。400-错误的请求。 401-访问被拒绝。IIS定义了许多不同的401错误,它们指明更为具体的错误原因。这些具体的错误代码在浏览器中显示,但不在IIS日志中显示: 401.1-登录失败。 401.2-服务器配置导致登录失败。 401.3-由于ACL对资源的限制而未获得授权。 401.4-筛选器授权失败。 401.5-ISAPI/CGI应用程序授权失败。 401.7–访问被Web服务器上的URL授权策略拒绝。这个错误代码为IIS6.0所专用。 403-禁止访问:IIS定义了许多不同的403错误,它们指明更为具体的错误原因: 403.1-执行访问被禁止。 403.2-读访问被禁止。 403.3-写访问被禁止。 403.4-要求SSL。 403.5-要求SSL128。 403.6-IP地址被拒绝。
在基于 JSP 页面系统设计开发中,经常有一批页面需要对用户的身份进行验证,只有合法的用户才可以访问这些页面。显然可以在每个页面中添加身份验证,但这样做会给编程造成很大的麻烦,而且增加多余的代码。那么,如何解决JSP 页面用户身份验证呢? 二、JSP 页面中用户身份验证分析 在有多个用户使用的 JSP 系统中,为了保障系统的隐秘性安全性,就需要对登录系统的用户进行身份验证以保证用户身份的合法性。一个用户首次登录系统后会在session 对象中留下它的标识[1],就可以利用这个标识来完成各个JSP页面的用户身份验证。为了避免每个页面都进行身份验证而出现的麻烦,这里将通过Servlet 过滤器对JSP 页面统一进行身份验证。 三、用户身份验证的设计思路和技术要点 1、设计思路 Servlet 过滤器验证用户是围绕session 对象进行的。首先是实现用户登录的功能,在用户登录成功后产生一个session 标识;然后创建Servlet 过滤器,判断标识值是否正确,如果正确则通过验证,否则将给出提示信息并跳转到用户登录页面。 2、技术要点 使用 Servlet 过滤器实现JSP 页面中用户身份验证,首先必须实现Filter 接口,且重写doFilter() 方法,由doFilter() 方法去处理过滤业务;其次,在web.xml 文件中配置Servlet 过滤器,指定过滤器的名称、过滤器包所在类的名称及过滤器的映射范围等[2]。 四、JSP 页面中用户身份验证的实现 1、用户身份合法性确认 为了能够使用 Servlet 过滤器实现用户对JSP 页面访问的合法性验证,首先需要根据用户登录号和密码等与数据库中的信息相比较,若能匹配成功,则是用户登录成功,就用session 对象存储该用户的标识;然后再由Servlet 过滤器实现对用户访问的各个页面的过滤。存储用户登录成功的session 标识的核心代码为:session.setAttribute("user", 用户登录号 )。 2、Servlet 过滤器的实现 用 Servlet 过滤器实现用户身份验证的关键代码如下: package hzu.util.filters; public class UserFilter extends HttpServlet implements Filter { private FilterConfig filterConfig; public void init(FilterConfig filterConfig) throws ServletException{ this.filterConfig=filterConfig;
计算机网络课程设计报告 题目:简单Web服务器设计与实现 专业: 学号: 学生姓名: 指导教师:
摘要 (2) 关键词 (2) 1. 前言 (3) 1.1 课程设计前准备 (4) 1.2 课程设计的内容 (5) 1.3 课程设计要求 (5) 1.4 课程设计平台 (5) 2. Web服务器的工作原理 (5) 2.1 HTTP协议的作用原理 (5) 2.2 Java开发语言相关知识与技术 (6) 3. 开发环境及套字接编程 (11) 3.1 Web服务器的开发环境 (11) 3.2 Web服务器的套接字编程 (12) 4. WEB服务器的设计与实现 (13) 4.1 Web服务器的程序设计流程 (13) 4.2 用Java实现Web服务器的主要设计步骤及程序 (14) 5. 测试运行 (21) 5.1 调试运行 (21) 6.结束语 (23) 参考文献 (24)
WWW的工作基于客户机/服务器计算模型,由Web 浏览器(客户机)和Web服务器(服务器)构成,两者之间采用超文本传送协议(HTTP)进行通信,HTTP协议的作用原理包括四个步骤:连接,请求,应答,关闭应答。在课程设计中,系统开发平台为Win7,程序设计语言采用Java,程序运行平台为Eclipse。在程序设计中,采用了结构化与面向对象两种解决问题的方法。程序通过调试运行,初步实现了设计目标,并且经过适当完善后,将可以应用在商业中解决实际问题。 关键词Java;HTTP;Web服务器
Internet是目前世界上最大的计算机互联网络,与大家的生活、学习、工作有着越来越密切的关系,它遍布全球,将世界各地各种规模的网络连接成一个整体,其用户群十分庞大,因此,建设一个好的Web站点对于一个机构的发展十分重要。近年来,随着网络用户要求的不断提高及计算机科学的迅速发展,特别是数据库技术在Internet中的广泛应用,Web站点向用户提供的服务将越来越丰富,越来越人性化。 本课程设计主要解决由Web 浏览器(客户机)和Web服务器(服务器)构成,两者之间采用超文本传送协议(HTTP)进行通信的Web服务器的程序设计。 1.1 课程设计前准备 以下的工作均是建立在大量的调查基础上的,是Web服务器开发前期准备工作所解决的问题。 (1)Java简介 Java是由sun公司开发的一种新型的面向对象的程序设计语言,主要用于web页面的设计[1]。Java语言的流行除了因为它能够编制嵌入HTML文件中的Applet外,还在于Java语言本身的面向对象、简单、平台无关性、安全性、多线程等特点。Java语言的发展颇具传奇性,它与Internet的WWW的迅猛发展是分不开的。由于其发展迅速,有人将它比喻为Internet上的世界语。前面讲到在Internet上Web页面的设计采用的是HTML语言,用户借助于Web浏览器(如Netscape,HotJava,IE等),可以访问到远程web服务器上静态的、具有超链接的Web页面[2]。 (2)HTTP协议简介 HTTP 协议是应用层的协议,定义了服务器端和客户端之间文件传输的沟通方式。HTTP协议用于从WWW服务器传输超文本到本地浏览器的传送协议。由于HTTP协议支持的服务不限于WWW,还可以是其它服务,它允许用户在统一的界面下,采用不同的协议访问不同的服务。它可以使浏览器更加高效,使网络传输减少。它不仅保证计算机正确快速地传输超文本文档,还确定传输文档中的哪一部分,以及哪部分内容首先显示等[3]。
浅谈运用Java Web解决用户登录的安全问题 摘要在开发项目时,系统的安全问题是必须要考虑的。在Java Web中,运用JSP和Servlet技术可以很好的解决用户登录系统的身份验证和授权的安全问题。 关键词Java Web;用户登录;安全问题 网络安全问题一直是计算机行业的一个焦点问题。安全是一个永恒的问题,无论是什么样的应用程序,都需要一定级别的安全,尤其是在分布式环境下运行的系统。在企业级应用程序中,安全可以分为4层:身份验证层、授权层、数据完整层和保密层。这4层提高了应用程序的安全级别。 Web应用的组件主要包括视图、控制器和业务方法。业务方法通常是由控制器调用的,所以基本的安全控制主要是对视图和控制器的控制。 1 用户登录系统的过程分析 用户进入系统是通过登录功能来实现的,主要是通过用户名和密码来登录,有时为提高系统的安全级别,还会使用图形验证码、动态口令卡等辅助安全措施。用户在登录之后能够访问哪些资源是由用户的权限决定的。用户登录的时候,系统根据用户名可以获取用户的权限,根据用户的权限可以对用户能够操作的资源进行控制。这个控制包括对某个页面的控制、某个控制器的控制或者某一部分代码的控制。 2 用Servlet来实现用户登录功能 用户在进入系统时,系统会提供登录功能所需要的登录界面和处理文件,用户在登录界面中输入用户名和密码后,处理文件在获取用户输入的用户名和密码进行有效的验证,根据验证的结果分别做出相应的处理。当用户名和密码都正确后,系统要获取当前用户的权限,把用户信息和权限信息保存在session中,为之后的安全控制使用。当用户名和密码不正确后,则重新转向登录界面,并提示用户错误信息。 2.1 用户类的创建 用户在登录过程中应输入用户名和密码,并且根据用户的权限实现对系统的操作。根据面向对象的设计的方法,用户类应包含如下成员变量: private String name;//用户名成员变量 private String password;//用户密码成员变量
过滤器在项目开发中的应用 javaee过滤器在项目怒开发中通常有三种应用: 应用一:统一项目的字符编码: 我们新建一个名为Encode.java的文件,内容是: package filter; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletException; import javax.servlet.ServletRequest; import javax.servlet.ServletResponse; public class Encode implements Filter { public void destroy() { // TODO Auto-generated method stub } public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { request.setCharacterEncoding("utf-8"); response.setCharacterEncoding("utf-8"); chain.doFilter(request, response); } public void init(FilterConfig arg0) throws ServletException { // TODO Auto-generated method stub } } 程序在dofilter的方法中设置了request和response的编码为utf-8,这样便可以解决开发中的乱码问题,配置文件web.xml这样写:
Web项目答辩问题 1.css和div 开发的优势? A、显示和内容实现分离 B、有利于搜索引擎搜索 C、有利于维护和程序的扩展 2.谈谈页面间的参数传递有哪些方式? A、通过作用域对象session、request 的setAttribute()和getAttribute()方法进行参数传递。 B、
Web项目中的相对路径 在JSP的HTML部分中的相对路径 在JSP的JAVA部分中的相对路径 在FORM的ACTION属性中的Servlet引用 在Servlet中forward到另一JSP文件 对于第一种情况,可以在HEAD中定义BASE标签,指定改页面的基准路径,一旦定义后,改页面中的相对路径都是基于改基准路径的,如BASE中定义HREF="http://localhost:8080/XXHP/",那么如果A中定义HREF="welcome.jsp",就相当于HREF= "http://localhost:8080/XXHP/welcome.jsp"。 对于第二种情况,由于需要得到服务器端的路径,BASE标签就无法满足需要了。在JSP中预定义了application对象,通过它可以得到Web应用在服务器端的根目录:application.getRealPath(""),返回的是F:\jakarta-tomcat-5.0.28\webapps\XXHP(最后没有\),既然如此,只要在根目录的基础上加上文件的相对路径就可以了:new File(application.getRealPath("") + "\\xxx.xml")。 对于第二种情况,可以在
Servlet过滤器使用(javax.servlet.Filter)作者:本站原创发布时间:2010-06-10来源:JA V A中文网点我投稿 教程由JA V A中文网整理校对发布(https://www.doczj.com/doc/3c15145280.html,) 过滤器(Filter)的概念 过滤器位于客户端和web应用程序之间,用于检查和修改两者之间流过的请求和响应。 在请求到达Servlet/JSP之前,过滤器截获请求。 在响应送给客户端之前,过滤器截获响应。 多个过滤器形成一个过滤器链,过滤器链中不同过滤器的先后顺序由部署文件web.xml中过滤器映射
总结 第一章java web 工作原理 1.1、web应用程序有web服务器,web客服端浏览器,HTTP协议以及静态HTML文件。 Web服务器的作用是接受客服端请求,然后向客服端返回些结果;浏览器的作用是允许用户请求服务器上的某个资源,并且向用户显示请求的结果; HTML是用于告诉浏览器怎么样向用户显示内容; HTTP是web上客服端和服务器之间通信所用的协议。 1.1.2 HTTP协议将来自于客服端的请求信息封装成HTTP请求; 封装的信息当中包括请求行、请求头、消息体、分隔请求头、消息体的一个空行。 请求行是一个ASCII文本行,由三个标记组成:请求的HTTP方法、请求的URL、HTTP版本;中间用空格分开例如: GET /lovobook/index.html HTTP/1.0 在HTTP1.1版本中请求方法有八种分别是下面: GET:用于向服务器检索资源在HTTP请求头 POST:用于向服务器发送资源,并要求指定的URI处理在消息体HEAD:于GET方法相同,服务器只返回状态行和头标,并不返回请求文档。 PUT:请求服务器保持请求数据作为指定的URI新内容;
DELETE:请求服务器删除URI中命名的资源; OPTIONS:请求关于服务器支持的请求方法信息; TRACE:请求web服务器反馈HTTP请求和其头标;CONNECT:已文档化但当前未实现的一个方法,预留做隧道处理;请求头: HTTP协议使用HTTP头来传递请求的元信息。HTTP头是一个用冒号分隔的名称/值对,冒号前面是HTTP头的名称,后面是HTTP头的值。 1.1.3 HTTP响应包括:状态行、响应头、消息体、分割消息头、响应头。状态行里面出现: 1XX:表示信息,请求收到,继续处理。 2XX:表示成功 3XX:表示重定向 4XX:表示客服端错误 5XX:表示服务器错误 1.2 Web服务器的缺陷是只能向用户提供静态网页内容。 1.3 服务器端网页编程就是web服务器创建动态服务器端内容的过程。 1.3.1 服务器端网页编程出现得最早的技术就是CGI,它的缺点就是每次请求一个CGI资源,将在服务器上创建一个新的进程,并且通过标准输
1 1. 2.
3.表格列 8. 横线 11. 强制换行 12.下划线 13. |