1. 概述
在这个教程中,我们将学习如何检查用户的登录信息,确保用户在登录表单中提供了有效的凭证并启动了会话。然而,我们将不使用 Spring Security,而是仅使用 JSP 和 Servlets来实现。因此,我们需要一个支持它的Servlet容器,比如Tomcat 9。
最终,我们将对后台的工作原理有深入的理解。
2. 数据持久化策略
首先,我们需要用户。为了简化,我们将使用预加载的映射。让我们一并定义它和我们的User:
public class User {
static HashMap<String, User> DB = new HashMap<>();
static {
DB.put("user", new User("user", "pass"));
// ...
}
private String name;
private String password;
// getters and setters
}
3. 过滤请求
我们首先创建一个过滤器,用于检查无会话请求,阻止直接访问我们的Servlet:
@WebFilter("/*")
public class UserCheckFilter implements Filter {
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) {
// ...
request.setAttribute("origin", request.getRequestURI());
if (!request.getRequestURI().contains("login") && request.getSession(false) == null) {
forward(request, response, "/login.jsp");
return;
}
chain.doFilter(request, response);
}
}
在这里,我们在@WebFilter上的URL模式设置为“*/**”,这意味着所有请求都会先通过我们的过滤器。如果没有会话,我们将重定向到登录页面,并存储origin以供后续使用。最后,我们提前返回,防止在没有适当会话的情况下处理Servlet。
4. 使用JSP创建登录表单
为了构建登录表单,我们需要导入JSTL的核心Taglib。此外,让我们在page指令中将session属性设置为“false"。这样,就不会自动创建新的会话,我们可以完全控制:
<%@ page session="false"%>
<%@ taglib uri="http://java.sun.com/jstl/core_rt" prefix="c"%>
<form action="login" method="POST">
...
</form>
然后,在我们的表单内,我们将添加一个隐藏输入来保存origin:
<input type="hidden" name="origin" value="${origin}">
接下来,我们将包含一个条件元素来输出错误信息:
<c:if test="${not empty error}">
* error: ${error}
</c:if>
最后,我们将添加一些input标签,以便用户可以输入和提交凭据:
<input type="text" name="name">
<input type="password" name="password">
<input type="submit">
5. 配置登录Servlet
在我们的Servlet中,如果请求是GET,我们将转发到登录表单。最重要的是,如果请求是POST,我们将进行登录验证:
@WebServlet("/login")
public class UserCheckLoginServlet extends HttpServlet {
// ...
}
所以在doGet()方法中,我们将重定向到登录JSP,并向前传递origin:
protected void doGet(HttpServletRequest request, HttpServletResponse response) {
String referer = (String) request.getAttribute("origin");
request.setAttribute("origin", referer);
forward(request, response, "/login.jsp");
}
在doPost()中,我们验证凭据并创建会话,将User对象向前传递并重定向到origin:
protected void doPost(HttpServletRequest request, HttpServletResponse response) {
String key = request.getParameter("name");
String pass = request.getParameter("password");
User user = User.DB.get(key);
if (!user.getPassword().equals(pass)) {
request.setAttribute("error", "invalid login");
forward(request, response, "/login.jsp");
return;
}
HttpSession session = request.getSession();
session.setAttribute("user", user);
response.sendRedirect(request.getParameter("origin"));
}
如果凭据无效,我们在error变量中设置一条消息。否则,我们用User对象更新会话。
6. 检查登录信息
最后,让我们创建主页。它只显示会话信息并有一个注销链接:
<body>
current session info: ${user.name}
<a href="logout">logout</a>
</body>
我们的主页Servlet所做的就是将User对象转发到主页:
@WebServlet("/home")
public class UserCheckServlet extends HttpServlet {
protected void doGet(HttpServletRequest request, HttpServletResponse response) {
User user = (User) session.getAttribute("user");
request.setAttribute("user", user);
forward(request, response, "/home.jsp");
}
}
这就是它的样子:
7. 注销
要注销,我们只需撤销当前会话并重定向到主页。之后,我们的UserCheckFilter会检测到无会话请求,并将我们重定向回登录页面,重新开始流程:
@WebServlet("/logout")
public class UserCheckLogoutServlet extends HttpServlet {
protected void doGet(HttpServletRequest request, HttpServletResponse response) {
request.getSession().invalidate();
response.sendRedirect("./");
}
}
8. 总结
在这篇文章中,我们详细了解了完整的登录循环创建过程。现在,我们有了对Servlet访问的完全控制,仅通过一个过滤器。简而言之,通过这种方法,我们总能在需要的地方确保有一个有效的会话。同样,我们可以扩展这个机制来实现更细粒度的访问控制。
如往常一样,源代码可以在GitHub上找到。