2. 程式人生 > >許可權控制-禁止普通登入使用者通過直輸URL方式訪問系統中其它自己不具備許可權的模組

許可權控制-禁止普通登入使用者通過直輸URL方式訪問系統中其它自己不具備許可權的模組

阿新 發佈:2018-12-11

1.描述

一個普通使用者,只有單點登入的許可權,通過一些工具獲取到系統的其它模組的URL ,在位址列直接輸入,訪問,我們在一些按鈕做了一些控制,但是部分不具有操作機會的頁面還是會展現出來,不影響功能,但是也需要做優化處理

2.程式碼(JAVA)

@WebFilter(urlPatterns = { "/*" })//(採用註解方式配置filter) public class MainFilter implements Filter{

    @Override     public void destroy() {     }

    @Override     public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)             throws IOException, ServletException {         this.do_filter_inner(request, response, chain);              }

    private void go_timeout_proc(ServletResponse response) throws IOException{         HttpServletResponse res = (HttpServletResponse) response;         res.sendRedirect("超時跳轉頁面");     }

    private void do_filter_inner(ServletRequest request,             ServletResponse response, FilterChain chain) throws IOException,             ServletException {         // 編碼處理,         this.do_encode(request, response);//              //手動輸入的不合規範的URL路徑,沒有許可權,在此限制         if(!this.do_pass_right(request, response)){             this.go_righterr_proc(response);//跳轉到提示頁             return;         }              //其他的filter處理

        //超時處理         this.go_timeout_proc(response);          }

    private boolean do_pass_right(ServletRequest request, ServletResponse response) throws IOException{         HttpServletRequest httpRequest = (HttpServletRequest) request;                  String conString = "";         //獲取父url         conString = httpRequest.getHeader("REFERER");                  if("".equals(conString) || null==conString){             //當前請求url             String servletPath = httpRequest.getServletPath();             //index頁,(本工程是部署到Tomact下,並在ROOT目錄下配置index檔案可通過ip直接訪問,所以需放行index頁,超時頁也要放行)             if(servletPath.contains("index.jsp") || servletPath.contains("login.jsp")|| servletPath.contains("timeout.jsp")){                 //沒有父url的但是可放行的url路徑,此處放行的如有必要可自行在                 //"index.jsp"放行,                 return true; //返回true為允許通過             }else {                 //沒有獲取到父 url ,判斷為非法訪問,無系統許可權,返回fasle,,做錯誤許可權攔截                 Debug.info("父URL:["+conString+"]為null,不是系統內部訪問,無許可權");                 return false;             }         }                  return true;//返回true,,只要是有父url的,都不做處理,繼續前行,後續處理              }     private void go_righterr_proc(ServletResponse response) throws IOException{         HttpServletResponse res = (HttpServletResponse) response;         res.sendRedirect("/**/right_error.jsp");//跳轉到許可權錯誤提示頁     }

    @Override     public void init(FilterConfig arg0) throws ServletException {                       }

3.可參考原文連結

相關推薦

許可權控制-禁止普通登入使用者通過URL方式訪問系統其它自己具備許可權模組

1.描述 一個普通使用者,只有單點登入的許可權,通過一些工具獲取到系統的其它模組的URL ,在位址列直接輸入,訪問,我們在一些按鈕做了一些控制,但是部分不具有操作機會的頁面還是會展現出來,不影響功能,但是也需要做優化處理 2.程式碼(JAVA) @WebFilter(u

Spark Streaming通過連的方式消費Kafka的資料

為什麼採用直連(createDirectStream)的方式,主要有以下幾個原因: 1.createDirectStream的方式從Kafka叢集中讀取資料,並且在Spark Streaming系統裡面維護偏移量相關的資訊,實現零資料丟失,保證不重複消費,比createS

一句話總結,什麼是許可權控制(即登入控制)、攔截器

許可權控制(即登入控制),就是判斷使用者請求的資源(即發起一個http url請求http://127.0.0.1:8080/testProject/authuser/add)是否合法: 如果合法,就,雖然一樣會被攔截器攔截,但是不被攔截到其他http url(即讓使用者去

如何通過自定義域名方式訪問本地WEB應用

win 進入 文檔 程序 2.4 註冊 可執行 .exe 公網 自定義域名訪問本地WEB應用 本地安裝了WEB服務端,怎樣通過自定義域名方式實現從公網訪問本地WEB應用? 本文將介紹具體的實現步驟。 1. 準備工作 1.1 安裝並啟動WEB服務端 默認安裝的WEB端口是80

spring boot spring security 自定義 filter FilterSecurityInterceptor 訪問資源 靜態資源 和 需要許可權訪問都失效了

問題:spring boot security 中, filters="none"  對應哪個? 自定義AbstractSecurityInterceptor後  靜態資源也進入攔截器,登陸頁面,permitall 也失效, 還是進

限定某個業務控制方法,只允許GET或POST請求方式訪問

可以在業務控制方法前,指明該業務控制方法只能接收GET或POST的請求 @Controller @RequestMapping(value="/user") public class UserAction{ @RequestMapping(value="/add",method=Requ

kubernetes-通過埠轉發(port-forward)訪問叢集的應用程式(pod)

通過埠轉發訪問叢集中的應用程式本頁向您展示如何使用 kubectl port-forward 命令連線到執行在 Kubernetes 叢集中的 Redis 伺服器。這種型別的連線對於資料庫除錯很有幫助。建立一個 Pod 來執行 Redis 伺服器建立一個 Pod:kubect

通過Http API的方式更改k8s的configmap

1、在PUT中直接輸入json串會因為格式原因報出各種各樣的錯誤,因此 將修改後的configmap存到configmap_core.json檔案中。 curl -X PUT -u k8s_usrname:k8s _password -H 'Content-Type: applicati

Java程式通過hadoop jar的方式訪問hdfs

一般情況下,我們使用Java訪問hadoop distributed file system(hdfs)使用hadoop的相應api,新增以下的pom.xml依賴(這裡以hadoop2.2.0版本為例):   <dependency> <groupId>org.apach

weex通過navigator.push的方式跳轉頁面,頁面顯示問題

在安卓裡,weex是使用Activity的category name來確定使用哪個Activity來渲染weex的。你需要自己定義Activity,如果是使用weexpack生成的android工程,那是設定好的。 <activity

修改Android系統/system的讀寫許可權

這段時間一直在修改sd卡的host controller的驅動,並於昨天重新編譯了核心並fastboot到g5手機中,sd卡是可以讀出來了,看樣子驅動生效了,興奮之餘看看同樣使用sd host控制的wifi,遺憾的wifi出錯,後來查明原因是: 編譯核心使用的是預設的msm

通過字串建立物件並訪問的方法(利用java的反射)

首先,通過字串建立物件,也就是說同一個包下有好多xxxclass.java檔案,這些檔案中都有相同的屬性和方法,那麼問題是如何通過我傳入字串來建立對應的物件並訪問其中的方法屬性等 先來簡單說一下什麼是反射? ----能夠分析類能力的程式---- 下面進入正題:建立物件 假

centos新增普通使用者禁止root登入並新增sudo許可權

1. 新增使用者 adduser username 2. 設定密碼 passwd *** 此時一個使用者就已經新增完成了,但是此時這個使用者是不能使用sudo命令化身root許可權的,需要roo

增加普通使用者的sudo許可權禁止root使用者登入

假如增加使用者zhangsan的sudo許可權。 修改/etc/sudoers檔案,在root下增加如下一行。 增加使用者名稱zhangsan: 禁止root使用者登入: 修改/etc/ssh/sshd_config檔案, 將 PermitRootLogin前的#號

Laravel 通過Gate實現使用者-角色-許可權控制

1.建立相應的資料庫: 建立許可權表: Schema::create('permissions',function(Blueprint $table){ $table->increments('id'); $table->

ASP.NET如何禁止直接通過Url訪問某個型別的檔案(非許可權),定時補充

Note:此處不是許可權設定問題,此處不是許可權設定問題,此處不是許可權設定問題!只是出於資料或者網路安全,禁止掃描工具直接掃描到某些包含敏感資訊的檔案,尤其比如日誌、配置等 預設ASP.NET已經考慮到了一些安全問題,比如.config字尾的配置檔案,比如.cs的原始碼檔案,比如.log的日誌

粗粒度許可權控制通過過濾器

粗粒度許可權控制(攔截是否登入、攔截使用者名稱admin許可權) RBAC(Role-Based Access Control)->基於角色的許可權控制  LoginServlet protected void doPost(HttpServletRequest reque

填報表怎麼通過許可權控制是否可寫

如題,潤乾 v5 的填報表中怎麼通過登陸的使用者名稱或者角色控制其對錶中某些單元格的可寫屬性。 如下圖: 如果使用者名稱是 lis 則可以修改部門列的資料  否則不可以編輯 此處用引數模板控制使用者名稱的傳入(正式專案中可以通過報表的展現介面將外部引數傳給報表) 實現上述效果

javaEE shiro框架,許可權控制通過註解的方式為方法配置訪問許可權

applicationContext.xml(Spring的核心配置檔案,開啟shiro框架的註解支援): <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.spring

SpringBoot+shiro整合學習之登入認證和許可權控制

學習任務目標 使用者必須要登陸之後才能訪問定義連結,否則跳轉到登入頁面。 對連結進行許可權控制,只有噹噹前登入使用者有這個連結訪問許可權才可以訪問,否則跳轉到指定頁面。 輸入錯誤密碼使用者名稱或則使用者被設定為靜止登入,返回相應json串資訊 匯