Я представил класс Application в моем предыдущем посте, где вы можете настроить внутренние сервисы. Одним из примеров сервиса, который я добавил, является UserService . Эта служба загружает файл свойств пользователей Java, который содержит наборы имени пользователя и пароля; и позже он используется для аутентификации пользователей при входе в веб-приложение. Теперь я покажу, как выполняется вход в систему с использованием стандартного Servlet API вместе с этим внутренним сервисом.
На высоком уровне мы хотим ограничить некоторые веб-ресурсы (это означает, что определенные URL-адреса, предоставляемые сервлетами, такие как «/ sysprops» или «/ user») только для клиентов-клиентов, которые известны в нашем файле свойств пользователей. Пользователи могут идентифицировать себя с соответствующим паролем. Обычно это делается с помощью формы входа пользователя, аутентифицируйте ее, а затем вставьте маркер входа в область действия сеанса Http. Затем этот маркер входа можно использовать для проверки того, разрешить ли пользователям доступ к ограниченным ресурсам или нет. Нас интересует только одна авторизация (роли не определены, и любой зарегистрированный пользователь может получить доступ к любым защищенным URL-адресам.)
Вы уже видели пример, который сопоставлен с URL-адресом «/ sysprops» в одном из моих предыдущих постов, предоставленных SysPropsServlet , который просто генерирует HTML-таблицу с информацией о системе. Это конфиденциальная информация, поэтому мы хотим защитить этот URL. Нам нужно создать класс, реализующий интерфейс javax.servlet.Filter , а затем добавить URL-адрес «/ sysprops» с этим фильтром, чтобы он мог предварительно обработать запрос до того, как это сделает настоящий сервлет. Этот фильтр дает нам возможность проверить объект HTTP-запроса и отменить запрос, если это необходимо, тем самым ограничивая доступ.
|
01
02
03
04
05
06
07
08
09
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
|
package zemian.servlet3example.web;import java.io.IOException;import javax.servlet.Filter;import javax.servlet.FilterChain;import javax.servlet.FilterConfig;import javax.servlet.ServletException;import javax.servlet.ServletRequest;import javax.servlet.ServletResponse;import javax.servlet.annotation.WebFilter;import javax.servlet.http.HttpServletRequest;import zemian.service.logging.Logger;@WebFilter(urlPatterns={"/sys-props", "/user"})public class LoginRequiredFilter implements Filter { private static final Logger LOGGER = new Logger(LoginRequiredFilter.class); public static final String LOGIN_REDIRECT = "LOGIN_REDIRECT"; @Override public void init(FilterConfig filterConfig) throws ServletException { } @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { if (request instanceof HttpServletRequest) { HttpServletRequest req = (HttpServletRequest) request; LOGGER.trace("Checking LoginSession token for uri=%s", req.getRequestURI()); LoginSession loginSession = LoginServlet.getOptionalLoginSession(req); if (loginSession == null) { LOGGER.debug("No LoginSession token found; forwarding request to login page."); // We need to save the old URI so we can auto redirect after login. req.setAttribute(LOGIN_REDIRECT, req.getRequestURI()); req.getRequestDispatcher("/login").forward(request, response); return; } else { LOGGER.debug("Request allowed using LoginSession token=%s", loginSession.getId()); } } chain.doFilter(request, response); } @Override public void destroy() { }} |
Обратите внимание, что вы можете настроить этот фильтр так, чтобы он соответствовал нескольким URL-адресам, которые вы хотите защитить. Вы даже можете использовать шаблон подстановки, такой как «/ *», и он защитит все URL в вашем приложении! Фильтр просто просматривает пространство сеанса Http для объекта LoginSession который мы создадим позже. Если он найден, он пропускает запрос, в противном случае он будет перенаправлен на страницу формы Login, которая обслуживается классом LoginServlet (обратите внимание на инструкцию RETURN для раннего выхода из метода filter без вызова цепочки фильтров!).
Класс LoginServlet — это LoginServlet для обработки форм, который запрашивает у пользователя имя пользователя и пароль. Если это удастся, то мы LoginSession маркерный объект LoginSession в пространство пространства HttpSession, что и ищет фильтр выше. Вот обработка кода сервлета.
|
001
002
003
004
005
006
007
008
009
010
011
012
013
014
015
016
017
018
019
020
021
022
023
024
025
026
027
028
029
030
031
032
033
034
035
036
037
038
039
040
041
042
043
044
045
046
047
048
049
050
051
052
053
054
055
056
057
058
059
060
061
062
063
064
065
066
067
068
069
070
071
072
073
074
075
076
077
078
079
080
081
082
083
084
085
086
087
088
089
090
091
092
093
094
095
096
097
098
099
100
101
102
103
104
105
106
107
108
109
110
111
|
package zemian.servlet3example.web;import java.io.IOException;import javax.servlet.ServletException;import javax.servlet.annotation.WebServlet;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpServletResponse;import javax.servlet.http.HttpSession;import zemian.service.logging.Logger;import zemian.servlet3example.service.Application;import zemian.servlet3example.service.UserService;@WebServlet("/login")public class LoginServlet extends HtmlWriterServlet { private static final Logger LOGGER = new Logger(LoginServlet.class); @Override protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException { HtmlWriter html = createHtmlWriter(req, resp); String message; // Check to see if we are doing logout or not. LoginSession loginSession = getOptionalLoginSession(req); if (loginSession != null && req.getParameter("logout") != null) { logout(req); message = "Your have successfully logged out."; } else { message = (String)req.getAttribute("message"); if (message == null) message = ""; } // Show a login form String redirectUri = (String)req.getAttribute(LoginRequiredFilter.LOGIN_REDIRECT); String redirectHtmlTag = ""; if (redirectUri != null) { redirectHtmlTag = "<input type='hidden' name='redirectUri' value='" + redirectUri + "'/>"; } html.header() .h(1, "Please Login") .p(message) .println("<form method='post' action='login'>") .println(redirectHtmlTag) .println("<p/>Username: <input type='text' name='username'/>") .println("<p/>Password: <input type='password' name='password'/>") .println("<p/><input type='submit' value='Submit'/>") .println("</form>") .footer(); } @Override protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException { LOGGER.debug("Processing login form."); if (login(req)) { // Login succeed, we should auto redirect user if exists. String redirectUri = req.getParameter("redirectUri"); if (redirectUri != null) { LOGGER.debug("Redirect after login to: %s", redirectUri); resp.sendRedirect(redirectUri); return; } } // Show the form again in case login failed or user didn't provide a redirect doGet(req, resp); } protected LoginSession createLoginSession(HttpServletRequest req, String username) { LoginSession result = new LoginSession(username); req.getSession(true).setAttribute(LoginSession.LOGIN_SESSION_KEY, result); return result; } protected void removeLoginSession(HttpServletRequest req) { HttpSession session = req.getSession(false); if (session != null) { session.removeAttribute(LoginSession.LOGIN_SESSION_KEY); } } private boolean login(HttpServletRequest req) throws IOException { String username = req.getParameter("username"); String password = req.getParameter("password"); UserService userService = Application.getInstance().getUserService(); if (userService.validate(username, password)) { LOGGER.info("User %s logged in successfully.", username); // Create Session Data here after successful authenticated. LoginSession loginsession = getOptionalLoginSession(req); if (loginsession == null) { createLoginSession(req, username); req.setAttribute("message", "You have successfully logged in."); } else { req.setAttribute("message", "You already have logged in."); } } else { LOGGER.info("User %s failed to login.", username); req.setAttribute("message", "Invalid login."); } return true; } /** Return LoginSession if found in HttpSession scope, else return NULL value. */ public static LoginSession getOptionalLoginSession(HttpServletRequest req) { LoginSession result = null; HttpSession session = req.getSession(false); if (session != null) result = (LoginSession)session.getAttribute(LoginSession.LOGIN_SESSION_KEY); return result; }} |
Внутри класса LoginServlet мы используем сервис UserService для проверки имени пользователя и пароля. Мы отображаем форму входа с помощью запроса GET, а затем обрабатываем имя входа с помощью действия POST. После проверки имени пользователя и пароля мы создаем объект LoginSession . Это просто простой POJO для представления токена сеанса; и вы можете хранить любую информацию пользователя, которую вы хотите. Я не буду перечислять здесь, но вы можете просмотреть его на GitHub. Обратите внимание, что вы должны сделать его сериализуемым, поскольку любые данные, хранящиеся в HttpSession, могут быть сериализованы / десериализованы вашим сервером приложений.
Также обратите внимание, что я реализовал функцию выхода из системы в классе LoginServlet . Вы просто передаете параметр запроса «logout», и он будет обнаружен и удалит токен входа из сеанса. Убедитесь, что вы отключили сам HttpSession, когда будете это делать, просто чтобы быть в чистоте. Я также показал статический помощник getOptionalLoginSession который используется между несколькими классами, чтобы проверить, вошел ли пользователь в систему или нет.
Эти несколько классов просты, но все же продемонстрировали использование Servlet Filter и Servlet для управления данными сеанса. Этот шаблон программирования позволяет пользователям иметь свой собственный сеанс просмотра и конфиденциальность через приложение.
Если вы хотите запустить мой пример servlet3 на сервере GlassFish, вы можете войти в систему, используя любых пользователей, перечисленных здесь .
| Ссылка: | EE Servlet 3: Разработка входа пользователя с помощью сеанса и фильтра от нашего партнера JCG Земьяна Дена в блоге A Programmer’s Journal . |