Servlet jsp，身份验证过滤器

Question

我有一个数据库，其中包含有关用户的信息（用户名，密码，角色）。 我只想授予角色为“ ROLE_USER”或“ ROLE_ADMIN”的登录用户访问某些页面的权限。 （管理员兼任）

我如何尝试做到这一点：

我有我正在检查的过滤器是用户登录还是不登录，等等。

@WebFilter(urlPatterns={"/*"})
public class AuthorizationFilter implements Filter
{
    public boolean isUser=false;
    public boolean isAdmin=false;

    public void doFilter(ServletRequest req, ServletResponse resp,
                         FilterChain fc) throws IOException, ServletException
    {
        HttpServletRequest httpReq = (HttpServletRequest) req;
        HttpSession session = httpReq.getSession();
        HttpServletResponse res = (HttpServletResponse) resp;
        if (httpReq.getSession().getAttribute("user") == null)
        {
            fc.doFilter(req, resp);
        }
        String login = (String) session.getAttribute("user");

        Connection con = Connector.getSimpleConnection();
        PreparedStatement pst = null;
        String sql = "select ROLE from user_roles where username = ?";
        try
        {
            pst = con.prepareStatement(sql);
            pst.setString(1, login);
            ResultSet rs = pst.executeQuery();
            while(rs.next())
            {
                if (rs.getString("ROLE").equals("ROLE_USER"))
                {
                    isUser = true;
                }
                else
                {
                    if (rs.getString("ROLE").equals("ROLE_ADMIN"))
                    {
                        isAdmin = true;
                    }
                }
            }

            if (isAdmin)
            {
                System.out.println("ADmin");
                fc.doFilter(req, resp);
            }
            if (isUser)
            {
                System.out.println("User");
                fc.doFilter(req, resp);
            }
            else
            {
                String path = httpReq.getServletPath();
                System.out.println(path);
                if (path.equals("/") || path.equals("/login") ||
                        path.equals("/welcome.jsp") || (path.equals("/register")))
                {
                    RequestDispatcher dis = httpReq.getRequestDispatcher(path);
                    dis.forward(httpReq, resp);
                    fc.doFilter(req, resp);
                }
                else
                {
                    RequestDispatcher dis = httpReq.getRequestDispatcher("/");
                    dis.forward(httpReq, resp);
                }

            }

        }
        catch (SQLException e)
        {
            e.printStackTrace();
        }


    }

我检查用户是否已登录，而不是获得用户的角色。 对于每个角色，我都会有一些页面。 现在，我只有匿名（未登录）用户。 我有几个问题：

1. 我检查用户是否已登录，如果不是，则检查fc.doFilter(req, resp); 。 据我了解，它必须转到下一个“链”。 在这里，我只有一个“链”，因此它必须关闭doFilter。 但事实并非如此。 过滤器将在其他地方结束。
2. 我可以只return ;就结束过滤器吗return ; 并在此过滤器之后适用于其他页面吗？

3. 为什么之后

     RequestDispatcher dis = httpReq.getRequestDispatcher("/"); dis.forward(httpReq, resp); 

   doFilter仍然有效吗？ 我们有新页面，因此它必须停止此doFilter并为新页面创建新的doFIlter。

Answer 1

对于问题1：

Filter#doFilter将执行以下操作：

• 将请求和响应传递到链中的下一个过滤器。
• 如果链中没有其他过滤器，它将把请求和响应传递给相关的Servlet来出席请求。
• 收到请求后，它将继续使用链中的最后一个过滤器。

如果需要限制对页面的访问，请不要使用doFilter因为这意味着您接受来自客户端的请求。 而是根据您的要求使用转发或重定向。

对于问题2：

是的你可以。 毕竟，这是一种方法。 在调用return;之前，请确保您在响应中写了正确的内容return; 在doFilter 。 编写响应的一种方法是使用RequestDispatcher#forward或重定向。

对于问题3：

因为那只是方法的调用。 假设您有一个这样的方法：

public void foo(int x) {
    if (x < 10) {
        System.out.println("x is less than 10, it's not acceptable.");
    }
    System.out.println("x value is: " + x);
}

你要问： 为什么方法调用后，并没有停止System.out.println内部控制线if ？ 。 很简单：因为没有什么可以阻止方法的执行。