程序師世界是廣大編程愛好者互助、分享、學習的平台,程序師世界有你更精彩!
首頁
編程語言
C語言|JAVA編程
Python編程
網頁編程
ASP編程|PHP編程
JSP編程
數據庫知識
MYSQL數據庫|SqlServer數據庫
Oracle數據庫|DB2數據庫
 程式師世界 >> 編程語言 >> 網頁編程 >> JSP編程 >> 關於JSP >> JSP學習之Java Web中的安全控制實例詳解

JSP學習之Java Web中的安全控制實例詳解

編輯:關於JSP

本文實例講述了JSP學習之Java Web中的安全控制。分享給大家供大家參考。具體如下:

一、目標:

① 掌握登錄之後的一般處理過程;
② 能夠為每個頁面添加安全控制;
③ 能夠共享驗證代碼;
④ 使用過濾器對權限進行驗證;
⑤ 能夠對文件的局部內容進行驗證;
⑥ 掌握安全驗證碼的基本實現方式;
⑦ 通過異常處理增強安全性。

二、主要內容:

① 通過修改前面的登錄功能,分別對管理員和普通用戶的登錄進行處理;
② 為管理員才能訪問的頁面添加控制;
③ 共享各個頁面中的控制代碼,使用專門的文件,然後在需要的時候調用;
④ 使用過濾器降低重復驗證代碼;
⑤ 通過標准標簽庫完成頁面局部信息的安全控制;
⑥ 介紹安全驗證碼的基本實現方式;

1、完善登錄功能

正常情況下,管理員登錄成功之後跳轉到管理員默認工作界面;普通用戶登錄之後跳轉到普通用戶默認工作界面;用戶登錄失敗後跳轉到登錄界面重新登錄。
為了完成這個功能,需要編寫管理員界面和普通用戶界面。
管理員界面對應的文件為manager.jsp,代碼如下:

manager.jsp代碼:
復制代碼 代碼如下:<%@ page contentType="text/html;charset=gb2312"%>
管理員操作界面

普通用戶界面對應的文件為commonuser.jsp,代碼如下:

commonuser.jsp代碼:
復制代碼 代碼如下:<%@ page contentType="text/html;charset=gb2312"%>
普通用戶界面

修改登錄的Servlet,修改後的代碼如下:

LoginProcess.java代碼:

package servlet;
import javabean.User;
import java.io.IOException;
import java.io.PrintWriter;
import javax.servlet.RequestDispatcher;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
public class LoginProcess extends HttpServlet {
    public void doGet(HttpServletRequest request, HttpServletResponse response)
           throws ServletException, IOException {
       doPost(request,response);
    }
    public void doPost(HttpServletRequest request, HttpServletResponse response)
           throws ServletException, IOException {
       // 獲取信息
       String username = request.getParameter("username");
       String userpass = request.getParameter("userpass");
       // 調用JavaBean
       User user = new User();
       user = user.findUserByName(username);
       String forward;
       if(user==null){
           forward="failure.jsp";
       }else if(user.getUserpass().equals(userpass)){
           if(user.getUsertype().equals("1")){
              forward="manager.jsp";
           }
           else{
              forward="commonuser.jsp";
           }
       }else{
           forward="failure.jsp";
       }
       RequestDispatcher rd = request.getRequestDispatcher(forward);
       rd.forward(request,response);
    }
}

2、為每個界面添加安全控制

上面的實例中登錄成功後會跳轉到管理員界面或者普通用戶界面,但是如果用戶直接輸入管理員界面,就會跳過登錄界面。例如用戶可以直接輸入:http://127.0.0.1:8080/ch11/manager.jsp。

為了解決這個問題,在每個有安全限制的界面都應該增加安全控制。需要完成兩項工作:

① 在登錄之後把用戶的信息寫入到session中;
② 在每個頁面中,從session中獲取信息進行驗證;

在登錄之後把用戶信息寫入到session中,下面是修改後的LoginProcess.java代碼:

LoginProcess.java代碼:

package servlet;
import javabean.User;
import java.io.IOException;
import java.io.PrintWriter;
import javax.servlet.RequestDispatcher;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
public class LoginProcess extends HttpServlet {
    public void doGet(HttpServletRequest request, HttpServletResponse response)
           throws ServletException, IOException {
       doPost(request,response);
    }
    public void doPost(HttpServletRequest request, HttpServletResponse response)
           throws ServletException, IOException {
       // 獲取信息
       String username = request.getParameter("username");
       String userpass = request.getParameter("userpass");
       // 調用JavaBean
       User user = new User();
       user = user.findUserByName(username);
       // 得到session對象
       HttpSession session = request.getSession(true);
       String forward;
       if(user==null){
           forward="failure.jsp";
       }else if(user.getUserpass().equals(userpass)){
           if(user.getUsertype().equals("1")){
              // 在session對象中存儲信息
              session.setAttribute("usertype","1");
              forward="manager.jsp";
           }
           else{
              session.setAttribute("usertype","0");
              forward="commonuser.jsp";
           }
       }else{
           forward="failure.jsp";
       }
       RequestDispatcher rd = request.getRequestDispatcher(forward);
       rd.forward(request,response);
    }
}

以commonuser.jsp為例介紹如何在每個文件中進行安全控制,下面是修改後的代碼:

commonuser.jsp代碼:

<%@ page contentType="text/html;charset=gb2312"%>
<%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core"%>
<c:if test="${usertype!=/"0/"}">
  <jsp:forward page="login.jsp"/>
</c:if>

普通用戶界面

這樣,如果不登錄而直接訪問commonuser.jsp就會跳轉到登錄界面。

3、采用專門的文件進行驗證

因為很多頁面都要編寫驗證的代碼,所以可以把這些代碼放在一個文件中進行共享,需要的使用調用共享文件。下面仍然以commonuser.jsp為例介紹如何實現驗證代碼的共享。

使用專門的文件存放共享代碼:

check.jsp代碼:

<%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core"%>
<c:if test="${usertype!=/"0/"}">
  <jsp:forward page="login.jsp"/>
</c:if>

在需要驗證的文件中導入這個專門的文件。以commonuser.jsp為例:

commonuser.jsp代碼:

<%@ page contentType="text/html;charset=gb2312"%>
<%@ include file="check.jsp" %>

普通用戶界面

使用include指令包含目標文件,在把JSP轉換成Java文件的時候,會把目標文件的代碼拷貝到當前文件。
再運行測試,結果是相同的。

4、使用過濾器對權限進行驗證

把具有相同權限要求的文件放在相同的文件夾下,對文件夾的訪問進行統一的過濾。

編寫用於過濾的Servlet,代碼如下:

CommonCheck.java代碼:

package servlet;
import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpSession;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
public class CommonCheck extends HttpServlet implements Filter {
public void doFilter(ServletRequest arg0, ServletResponse arg1,
        FilterChain arg2) throws IOException, ServletException {
    // 得到session
    HttpSession session = ((HttpServletRequest)arg0).getSession(true);
    // 得到用戶類型
    String usertype = (String)session.getAttribute("usertype");
    // 進行判斷
    if(usertype==null || usertype.equals("1")){
        ((HttpServletResponse)arg1).sendRedirect("./../login.jsp");
    }
    // 繼續調用其他的過濾器
    try{
        arg2.doFilter(arg0, arg1);
    }catch(Exception e){}
}
public void init(FilterConfig arg0) throws ServletException {
    // TODO Auto-generated method stub
}
}

配置過濾器,過濾器的配置與Servlet的配置非常類似,在web.xml中添加如下代碼:

<filter>
  <filter-name>CommonCheck</filter-name>
  <filter-class>servlet.CommonCheck</filter-class>
</filter>
 <filter-mapping>
  <filter-name>CommonCheck</filter-name>
  <url-pattern>/commonuser/*</url-pattern>
 </filter-mapping>

url-pattern中使用/commonuser/*,這樣只要訪問commonuser這個文件夾,就會訪問這個過濾器,如果用戶沒有登錄,將不能訪問目標文件。

測試:為了測試需要創建一個文件夾commonuser,把commonuser.jsp拷貝到commonuser文件中。

測試過程如下:

先直接訪問:http://127.0.0.1:8080/ch11/commonuser/commonuser.jsp,你會發現顯示的是登錄界面,就是因為沒有登錄而訪問了commonuser中的文件,過濾器進行處理,然後跳轉到登錄界面了。

然後在登錄界面輸入正確的用戶名和口令,然後再次在地址欄中輸入上面的地址,這時候會看到commonuser.jsp文件的內容。表示驗證通過。

5、對文件局部內容的安全進行控制

前面介紹的都是文件級別的安全控制,有時候需要對文件中部分內容進行安全控制,例如物品信息列表這樣的界面,如果當前用戶是管理員,則可以在其中完成管理功能,而對於普通用戶來說,而不可以,這就需要進行局部的控制。局部控制主要是通過標准標簽庫中的<c:if>標簽來完成。

6、安全驗證碼的基本實現方式

為了增強網站的安全性,很多網站采用了很多安全措施。例如SSL方式的訪問、U盾和口令卡(工商銀行)、信息加密等。安全驗證碼是現在比較流行的有效的一個安全措施,能夠有效的解決用戶通過遍歷所有可能的組合來破解密碼的問題。
基本工作原理如下:每次客戶端訪問服務器的時候,服務器會生成驗證碼,以圖形的形式顯示給用戶,同時在服務器上保留備份,用戶在提交信息的時候需要把驗證碼同時提交道服務器,服務器接收到驗證碼之後與服務器端的驗證碼進行比較,如果相同則進行處理。如果不同,則讓用戶重新輸入。因為每次都變化,所有用戶如果想破解密碼,首先要應付變化的安全驗證碼,所以加大了破解的難度。

7、通過異常處理增強安全性

有時候用戶的攻擊是根據網站所使用的服務器來進行了,因為很多服務器都有自己的bug。如果不能對異常進行有效的處理,錯誤信息會顯示在客戶端,從錯誤信息中可以讓客戶發現服務器的版本信息,這樣就為用戶的惡意攻擊提供了便利條件。

例如,用於輸入:http://127.0.0.1:8080/ch11/abc.jsp

而abc.jsp是一個不存在的文件,這時候如果不進行處理,會在客戶端顯示服務器的信息。

如果能夠對各種異常進行處理,不讓用戶看到你所使用技術和服務器,這樣客戶進行攻擊的難度就加大了。

曾經有一個學生作了這樣一件事情:使用JSP技術完成了一個網站,然後通過配置之後,客戶端訪問的時候,使用的文件後綴名都是php,給人的感覺就像是采用php技術編寫的網站。

希望本文所述對大家的JSP程序設計有所幫助。

  1. 上一頁:
  2. 下一頁:
Copyright © 程式師世界 All Rights Reserved