day17过滤器 禁止缓存中文乱码自动登录MD5加密url级别权限控制

day17
Servlet Filter 过滤器
day18
Servlet Listener 和 在线支付
day19
JavaMail
day20
文件上传和下载
JavaEE Servlet规范 描述三种技术 Servlet Filter Listener
Servlet 技术 生成动态web资源
Filter 技术 对服务器web资源进行拦截(权限控制)
* Filter 对目标资源拦截,拦截HTTP请求和HTTP响应
* Filter 拦截本质上拦截url访问
Filter接口中定义了三个方法
init 初始化
doFilter 执行过滤
destroy 销毁
* Filter的doFilter方法中,传入FilterChain参数,FilterChain 请求调用链,提供doFilter用于执行调用链下一个资源
编写Servlet步骤
1、继承HttpServlet
2、配置web.xml Servlet虚拟路径
3、覆盖doGet 和 doPost


编写第一个Filter
1、创建hello.jsp ----
2、编写类 实现Filter 接口 (实现Filter接口 init doFilter destroy )
3、在web.xml中 注册过滤器,配置Filter拦截哪个web资源
在启动服务器时,Filter对象被创建,执行过滤器init 方法
配置拦截后,访问hello.jsp --- 过滤器中doFilter方法获得执行(每请求一次,doFilter 过滤一次)
* 没有配置过滤器之前,直接访问hello.jsp,当配置过滤器后,过滤器先于hello.jsp执行 ----- 此时Filter1和hello.jsp组成 请求调用链FilterChain
* 拦截目标资源后,如果想目标资源执行: chain.doFilter ;如果不执行chain.doFilter 目标资源不会得到执行
destroy方法和Servlet的destroy 一样,在正常关闭服务器情况下执行
* 对同一web资源配置多个过滤器
当配置多个Filter 拦截hello.jsp 组成新的请求调用链 Filter1 --- Filter2 --- hello.jsp
过滤器链会根据mapping 的顺序组成 <filter-mapping> 顺序调用过滤器执行
Filter生命周期三个方法:init doFilter destroy
1、init初始化 ---- 在服务器启动时执行
2、doFilter 执行过滤 ---- 访问目标时,拦截过滤执行,每次请求执行一次
3、destroy 销毁过滤器对象 ----- 在服务器正常关闭时调用
FileConfig 作用和ServletConfig 类似---- 为过滤器提供初始化参数
*String getInitParameter(String name) 获得初始化信息
*public ServletContext getServletContext() 获得ServletContext对象 保存全局数据、读取web资源文件
配置filter-mapping
1、对一个web资源可以配置多个过滤器
2、一个过滤器可以用来过滤多个web 资源
* 在filter-mapping中存在 <servlet-name> 过滤Servlet时,可以通过url 和 name两种配置方式
<url-pattern>/hello</url-pattern>
<servlet-name>HelloServlet</servlet-name>
3、关于url-pattern 写法和Servlet相同 有三种 完全匹配、目录匹配、扩展名匹配
<dispatcher> 标签及意义
配置在什么情况下、在什么调用方式下拦截目标资源
request,forward、include、error 四种方式,服务器调用资源方式
* 默认dispatcher值是request (请求时调用)
request ---- 在请求时过滤
forward ---- 在转发时过滤
include ---- 在包含时过滤
error --- 在错误页面跳转时过滤
web.xml中filter-mapping中配置<dispatcher></dispatcher>默认为request可以配置多个
如果想让过滤器执行,必须满足过滤方式 !!!! 如果forward、include 、error跳转时执行过滤 必须配置 dispatcher
案例一:关于编码集统一处理
功能描述:编写 input.jsp 提供输入姓名表单,在Servlet获得表单数据,将数据打印页面上
分析:过滤器在目标资源之前执行 ,过滤器拦截多个目标资源,多个目标资源相同代码,抽取过滤器中 ----- 经常写代码放入过滤器
request.setCharacterEncoding("utf-8");// 解决请求post乱码
response.setContentType("text/html;charset=utf-8"); // 响应乱码
将以上代码放入EncodingFilter,配置url 为/* 对全站web资源进行编码集设置
复习点:get乱码解决 第一种 配置tomcat server.xml URIEncoding="utf-8" 第二种 new String(xxx.getBytes("ISO-8859-1"),"utf-8");
* 重写getParameter 编写通用解决get乱码程序
* 阅读扩展资料 解决get post 全局乱码过滤器
解决全站get post乱码:
package cn.itcast.filter;
import java.io.IOException;
import java.io.UnsupportedEncodingException;
import java.util.Map;
import java.util.Set;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
/**
* 解决乱码通用的过滤器程序
* @author seawind
*/
public class EncodingFilter implements Filter {
@Override
public void destroy() {
}
@Override
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException {
// 解决post
request.setCharacterEncoding("utf-8");
// 解决get
EncodingRequest encodingRequest = new EncodingRequest(
(HttpServletRequest) request);
chain.doFilter(encodingRequest, response);
}
@Override
public void init(FilterConfig filterConfig) throws ServletException {
}
}
class EncodingRequest extends HttpServletRequestWrapper {
private HttpServletRequest request;
private boolean hasEncode = false;
public EncodingRequest(HttpServletRequest request) {
super(request);
this.request = request;
}
@Override
public String getParameter(String name) {
// 通过getParameterMap方法完成
String[] values = getParameterValues(name);
if (values == null) {
return null;
}
return values[0];
}
@Override
public String[] getParameterValues(String name) {
// 通过getParameterMap方法完成
Map<String, String[]> parameterMap = getParameterMap();
String[] values = parameterMap.get(name);
return values;
}
@Override
public Map getParameterMap() {
Map<String, String[]> parameterMap = request.getParameterMap();
String method = request.getMethod();
if (method.equalsIgnoreCase("post")) {
return parameterMap;
}
// get提交方式 手动转码 , 这里的转码只进行一次 所以通过 hasEncode 布尔类型变量控制
if (!hasEncode) {
Set<String> keys = parameterMap.keySet();
for (String key : keys) {
String[] values = parameterMap.get(key);
if (values == null) {
continue;
}
for (int i = 0; i < values.length; i++) {
String value = values[i];
// 解决get
try {
value = new String(value.getBytes("ISO-8859-1"),
"utf-8");
// values是一个地址
values[i] = value;
} catch (UnsupportedEncodingException e) {
e.printStackTrace();
}
}
// 一次转码完成后,设置转码状态为true
hasEncode = true;
}
}
return parameterMap;
}
}
案例二:禁用缓存过滤器
分析:在web开发中,存在很多动态web资源,经常需要更新,为了保证客户端第一时间获得更新后结果,禁止动态web资源缓存
禁止缓存三个头信息
cache-control : no-cache
expires : -1 ---- 日期
pragma : no-cache
response.setHeader("Cache-Control", "no-cache");
response.setDateHeader("Expires", -1);
response.setHeader("Pragma", "no-cache");
* 禁用缓存公共代码放入过滤器中 ------ NoCacheFilter 禁止动态资源缓存
public class NoCacheFilter implements Filter {
@Override
public void destroy() {
}
@Override
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException {
// 使用与HTTP协议相关 API,需要将参数转为子类型
HttpServletResponse httpServletResponse = (HttpServletResponse) response;
httpServletResponse.setHeader("Cache-Control", "no-cache");
httpServletResponse.setDateHeader("Expires", -1);
httpServletResponse.setHeader("Pragma", "no-cache");
chain.doFilter(request, httpServletResponse);
}
@Override
public void init(FilterConfig filterConfig) throws ServletException {
}
}
案例三:对于图片一系列资源,不经常发生变动 ----- 图片缓存过滤器
* 虽然tomcat服务器内部 对静态资源有一个缓存策略,但是客户端仍然需要与服务器进行通信,通信性能损失
* 如果一些图片 永远不变,通过Expires 字段,设置图片 缓存时间 (当缓存时间没有过期之前,客户端方位资源 不会与服务器进行通信)
Expires 对于经常不变文件,是一个比tomcat默认缓存策略更优 解决方案!!!
public class ImageExpiresFilter implements Filter {
@Override
public void destroy() {
}
@Override
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException {
// 设置图片过期时间 ,设置Expires头信息
HttpServletResponse httpServletResponse = (HttpServletResponse) response;
// 过期时间 = 当前时间 + 还有多久过期
Calendar calendar = Calendar.getInstance();
calendar.set(Calendar.MONTH, calendar.get(Calendar.MONTH) + 1);
httpServletResponse
.setDateHeader("Expires", calendar.getTimeInMillis());// 过期时间一个月
httpServletResponse.setDateHeader("Expires", System.currentTimeMillis()
+ 1000L * 60 * 60 * 24 * 30);// 过期时间一个月
chain.doFilter(request, httpServletResponse);
}
@Override
public void init(FilterConfig filterConfig) throws ServletException {
}
}
--------------------------------------------------------------------------------------------------------------------------------
案例四:自动登陆过滤器
功能:第一次登陆时,勾选自动登陆,关闭浏览器,再次打开,系统会自动进行用户已经登陆状态
登陆功能
create table user(
id int primary key auto_increment,
username varchar(40),
password varchar(40),
role varchar(40)
);
insert into user values(null,'aaa','111','admin');
insert into user values(null,'bbb','111','user');
insert into user values(null,'ccc','111','user');
* 复制mysql驱动、c3p0、dbutils 到WEB-INF/lib 下
* 复制JDBCUtils 工具类 和c3p0-config.xml
转发和重定向使用
1、使用转发,通过request.setAttribute 传递数据给 页面,路径不要写/工程名 ;
2、使用重定向,不能用request传递数据,路径 要写 /工程名
AutoLoginFilter 在什么情况下需要自动登陆 ??
1、当前用户必须未登陆
2、存在自动登陆cookie信息
* 自动登陆过滤器,过滤页面一定不包括登陆和注册 页面
自动登陆案例问题:
1、 如果用户名中文怎么办?
insert into user values(null,'小红','123','user');
解决方案:保存cookie时进行手动编码 URL编码
生成cookie 时 new Cookie(URLEncoder.encode(用户名,"utf-8")); ------ LoginServlet
读取cookie时, 对用户进行解码 URLDecoder.decode(用户名,"utf-8"); ---- AutoLoginFilter
2、 中文名和密码安全问题
* cookie 是一个文本类型文件,内容非常容易泄露
实际开发中数据库中密码和cookie中密码 都应该 加密后保存 ---- 单向加密算法 MD5
* MySQL 提供md5 方法进行加密
将数据进行md5 加密
update user set password = md5(password) ;
MD5 破解 ----- 多对一映射算法 (运行两个不同明文 产生相同密文 概率很低) ---- 王小云 并没有提供解密算法,提供一套提高碰撞几率算法
* http://www.bizhizu.cn/
Base64 编解码技术,用于加密网络传输中安全内容 ---- 例如:迅雷下载地址
* 很多协议内容传输都采用BASE64 编码
public class DigestUtils {
public static void main(String[] args) {
// 迅雷地址获得 --- 使用Base64
String url = "www.huiyi8.com/ 素材中国1.rmvb";
// 在地址前后添加 AA和ZZ
url = "AA" + url + "ZZ";
// 进行base64编码
url = base64encode(url);
// 在路径前 thunder://
url = "thunder://" + url;
System.out.println(url);
}
/**
* Base64编码
*/
public static String base64encode(String message) {
BASE64Encoder base64Encoder = new BASE64Encoder();
return base64Encoder.encode(message.getBytes());
}
/**
* Base64解码
*
* @throws IOException
*/
public static String base64decode(String message) throws IOException {
BASE64Decoder base64Decoder = new BASE64Decoder();
byte[] buf = base64Decoder.decodeBuffer(message);
return new String(buf);
}
/**
* 使用md5的算法进行加密
*
* @param plainText
* 加密原文
* @return 加密密文
*/
public static String md5(String plainText) {
byte[] secretBytes = null;
try {
secretBytes = MessageDigest.getInstance("md5").digest(
plainText.getBytes());
} catch (NoSuchAlgorithmException e) {
throw new RuntimeException("没有md5这个算法!");
}
return new BigInteger(1, secretBytes).toString(16);// 将加密后byte数组
// 转换16进制表示
}
}
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException {
// 1、判断当前用户是否已经登陆
HttpServletRequest httpServletRequest = (HttpServletRequest) request;
if (httpServletRequest.getSession().getAttribute("user") == null) {
// 未登录
// 2、判断autologin对应cookie 是否存在 ---- 将cookie 查询写为工具类
Cookie cookie = CookieUtils.findCookie(httpServletRequest
.getCookies(), "autologin");
if (cookie != null) {
// 找到了自动登陆cookie
String username = cookie.getValue().split("\\.")[0];// 如果用户名中文,需要解密
username = URLDecoder.decode(username, "utf-8");
String password = cookie.getValue().split("\\.")[1];
// 获得就是md5 加密密码,此处无需加密
// 登陆逻辑
String sql = "select * from user where username=? and password = ?";
Object[] args = { username, password };
QueryRunner queryRunner = new QueryRunner(JDBCUtils
.getDataSource());
try {
User user = queryRunner.query(sql, new BeanHandler<User>(
User.class), args);
if (user != null) {
httpServletRequest.getSession().setAttribute("user",
user);
}
chain.doFilter(httpServletRequest, response);
} catch (SQLException e) {
e.printStackTrace();
}
} else {
// 没有自动登陆信息
chain.doFilter(httpServletRequest, response);
}
} else {
// 已经登陆,不需要自动登陆
chain.doFilter(httpServletRequest, response);
}
}
@Override
public void init(FilterConfig filterConfig) throws ServletException {
}
}
public class LoginServlet extends HttpServlet {
public void doGet(HttpServletRequest request, HttpServletResponse response)
throws ServletException, IOException {
// 获得用户名和密码
String username = request.getParameter("username");
String password = request.getParameter("password");
// MD5 加密
password = DigestUtils.md5(password);
// 查询数据库
String sql = "select * from user where username = ? and password= ?";
Object[] args = { username, password };
QueryRunner queryRunner = new QueryRunner(JDBCUtils.getDataSource());
try {
User user = queryRunner.query(sql,
new BeanHandler<User>(User.class), args);
if (user == null) {
// 查询用户不存在,登陆失败
request.setAttribute("msg", "用户名或者密码错误");
request.getRequestDispatcher("/demo4/login.jsp").forward(
request, response);
} else {
// 登陆成功
// 判断是否勾选自动登陆
if ("true".equals(request.getParameter("autologin"))) {
// 用户勾选了 自动登陆
// 将用户名和密码 以cookie形式写给客户端
Cookie cookie = new Cookie("autologin", URLEncoder.encode(
username, "utf-8")
+ "." + password);
cookie.setMaxAge(60 * 60);
cookie.setPath("/day17");
response.addCookie(cookie);
}
// 将成功信息 保存Session
request.getSession().setAttribute("user", user); // 表示已经登陆
response.sendRedirect("/day17/demo4/welcome.jsp");
}
} catch (SQLException e) {
e.printStackTrace();
}
}
public void doPost(HttpServletRequest request, HttpServletResponse response)
throws ServletException, IOException {
doGet(request, response);
}
}


案例五:关于URL级别权限控制
一个软件系统功能非常多,将功能进行分类(根据用户角色),将不同功能放入不同url 目录中 ,对目录级别进行url 权限控制
/public/ 代表游客可以访问 : 用户注册、用户登录
/user/ 代表普通用户可以访问: 购买商品,查看购物车,订单支付
/admin 代表超级管理员可以访问:查看商品销售情况,添加商品
建立JSP,在index.jsp提供对八个功能jsp访问 链接
编写登陆功能
仍然使用 day17 数据库 下 user 表
* 权限控制时,登陆功能游客可以访问 ----- 已经将login.jsp 放入public 但是 LoginServlet 也是登陆程序 也路径放入public
* LoginServlet 配置url-pattern 必须为/public/login
编写PrivilegeFilter 对资源进行全局权限控制
* 重点:
1、 获得访问资源路径
String path = httpServletRequest.getRequestURI().substring(httpServletRequest.getContextPath().length());
2、 判断当前用户是否登陆
User user = (User) httpServletRequest.getSession().getAttribute("user");
if (user == null) {
// 未登陆
} else {
// 已经登陆
}
* 过滤掉未登录不能访问资源
3、获得用户权限,判断权限可以访问哪些资源 user.getRole()


今天学习重点内容:
1、过滤器原理
2.过滤器5个案例
案例一、案例二、案例三 重点原理 --- 代码很少
案例四 自动登陆 (原理) --- 会写
案例五 URL级别权限控制 (重点!!!!!!)

你可能感兴趣的:(MD5加密)