StrutsWeb应用安全实现方案
立即解锁
发布时间: 2025-08-18 02:19:23 阅读量: 1 订阅数: 4 
# Struts Web应用安全实现方案
## 1. 保护JSP页面安全
### 1.1 问题描述
在Web应用中,我们常常需要确保只有已登录的用户才能访问特定的JSP页面。
### 1.2 解决方案
可以使用自定义的JSP标签来实现这一需求。以Struts邮件阅读器示例应用中的`checkLogon`标签为例,将其应用于需要用户登录才能访问的页面。以下是`CheckLogonTag`类的代码:
```java
package org.apache.struts.webapp.example;
import java.io.IOException;
import javax.servlet.ServletException;
import javax.servlet.http.HttpSession;
import javax.servlet.jsp.JspException;
import javax.servlet.jsp.tagext.TagSupport;
import org.apache.struts.config.ModuleConfig;
/**
* Check for a valid User logged on in the current session. If there is no
* such user, forward control to the logon page.
*
* @author Craig R. McClanahan
* @author Marius Barduta
* @version $Revision: 1.5 $ $Date: 2005/03/21 18:08:09 $
*/
public final class CheckLogonTag extends TagSupport {
// --------------------------------------------------- Instance Variables
/**
* The key of the session-scope bean we look for.
*/
private String name = Constants.USER_KEY;
/**
* The page to which we should forward for the user to log on.
*/
private String page = "/logon.jsp";
// ----------------------------------------------------------- Properties
/**
* Return the bean name.
*/
public String getName( ) {
return (this.name);
}
/**
* Set the bean name.
*
* @param name The new bean name
*/
public void setName(String name) {
this.name = name;
}
/**
* Return the forward page.
*/
public String getPage( ) {
return (this.page);
}
/**
* Set the forward page.
*
* @param page The new forward page
*/
public void setPage(String page) {
this.page = page;
}
// ----------- Public Methods -----------------
/**
* Defer our checking until the end of this tag is encountered.
*
* @exception JspException if a JSP exception has occurred
*/
public int doStartTag( ) throws JspException {
return (SKIP_BODY);
}
/**
* Perform our logged-in user check by looking for the existence of
* a session scope bean under the specified name. If this bean is not
* present, control is forwarded to the specified logon page.
*
* @exception JspException if a JSP exception has occurred
*/
public int doEndTag( ) throws JspException {
// Is there a valid user logged on?
boolean valid = false;
HttpSession session = pageContext.getSession( );
if ((session != null) && (session.getAttribute(name) != null)) {
valid = true;
}
// Forward control based on the results
if (valid) {
return (EVAL_PAGE);
} else {
ModuleConfig config =
(ModuleConfig) pageContext.getServletContext( ).getAttribute(
org.apache.struts.Globals.MODULE_KEY);
try {
pageContext.forward(config.getPrefix( ) + page);
} catch (ServletException e) {
throw new JspException(e.toString( ));
} catch (IOException e) {
throw new JspException(e.toString( ));
}
return (SKIP_PAGE);
}
}
/**
* Release any acquired resources.
*/
public void release( ) {
super.release( );
this.name = Constants.USER_KEY;
this.page = "/logon.jsp";
}
}
```
在需要用户登录的页面开头引入该标签,示例如下:
```jsp
<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<%@ taglib uri="/tags/app" prefix="app" %>
<%@ taglib uri="/tags/struts-bean" prefix="bean" %>
<%@ taglib uri="/tags/struts-html" prefix="html" %>
<%-- Check if the user is logged in and redirect to logon if not --%>
<app:checkLogon/>
<html>
<head>
<title><bean:message key="mainMenu.title"/></title>
<link rel="stylesheet" type="text/css" href="base.css" />
</head>
<h3><bean:message key="mainMenu.heading"/> <bean:write name="user"
property="fullName" /></h3>
<ul>
<li><html:link action="/EditRegistration?action=Edit"><bean:message
key="mainMenu.registration"/></html:link></li>
<li><html:link forward="logoff"><bean:message key="mainMenu.logoff"/>
</html:link></li>
</ul>
</body>
</html>
```
### 1.3 详细讨论
自定义JSP标签的好处在于可以将登录验证逻辑集中在一处,便于在整个应用中复用。`checkLogon`标签会尝试从HTTP会话中获取指定名称的对象,默认名称由`Constants.USER_KEY`定义。如果未找到该对象,标签会将请求转发到`page`属性指定的页面,默认是`/logon.jsp`。
你可以根据实际需求修改标签的属性,例如:
```jsp
<%-- Check if there's a user and redirect to registration if not --%>
<app:checkLogon name="user" page="/Register.do"/>
```
需要注意的是,这种方式仅能保护包含该标签的JSP页面,对于动作、静态HTML页面或其他Web资源则无法提供安全保护。如果将静态HTML页面转换为JSP页面,也可以使用`checkLogon`标签来保护。
## 2. 按角色限制动作访问
### 2.1 问题描述
在Web应用中,我们可能需要根据用户的角色来限制其对某些动作的访问权限。
### 2.2 解决方案
可以使用`action`元素的`roles`属性来指定允许访问该动作的角色。示例如下:
```xml
<!-- Display all users -->
<action path="/ViewUsers"
forward="/view_users.jsp"
roles="manager,sysadmin"
/>
```
### 2.3 详细讨论
在`struts-config.xml`文件中配置Struts动作时,通过`roles`属性可以将动作限制给特定角色的用户。该属性接受一个以逗号分隔的角色名称列表。当接收到对该动作的请求时,`RequestProcessor.processRoles()`方法会检查用户是否至少拥有其中一个指定的角色。如果用户不具备任何一个角色,将返回HTTP 403错误(禁止访问);否则,正常处理请求。以下是`RequestProcessor`中的`processRoles()`方法:
```java
protected boolean processRoles( HttpServletRequest request,
HttpServletResponse response,
ActionMapping mapping )
```
400次
会员资源下载次数
300万+
优质博客文章
1000万+
优质下载资源
1000万+
优质文库回答
0
0
复制全文
相关推荐
最低0.47元/天 解锁专栏
赠100次下载
百万级
高质量VIP文章无限畅学
千万级
优质资源任意下载
千万级
优质文库回答免费看
立即解锁
专栏目录
最新推荐
编程中的数组应用与实践
### 编程中的数组应用与实践
在编程领域,数组是一种非常重要的数据结构,它可以帮助我们高效地存储和处理大量数据。本文将通过几个具体的示例,详细介绍数组在编程中的应用,包括图形绘制、随机数填充以及用户输入处理等方面。
#### 1. 绘制数组图形
首先,我们来创建一个程序,用于绘制存储在 `temperatures` 数组中的值的图形。具体操作步骤如下:
1. **创建新程序**:选择 `File > New` 开始一个新程序,并将其保存为 `GraphTemps`。
2. **定义数组和画布大小**:定义一个 `temperatures` 数组,并设置画布大小为 250 像素×250 像
ApacheThrift在脚本语言中的应用
### Apache Thrift在脚本语言中的应用
#### 1. Apache Thrift与PHP
在使用Apache Thrift和PHP时,首先要构建I/O栈。以下是构建I/O栈并调用服务的基本步骤:
1. 将传输缓冲区包装在二进制协议中,然后传递给服务客户端的构造函数。
2. 构建好I/O栈后,打开套接字连接,调用服务,最后关闭连接。
示例代码中的异常捕获块仅捕获Apache Thrift异常,并将其显示在Web服务器的错误日志中。
PHP错误通常在Web服务器的上下文中在服务器端表现出来。调试PHP程序的基本方法是检查Web服务器的错误日志。在Ubuntu 16.04系统中
AWSLambda冷启动问题全解析
### AWS Lambda 冷启动问题全解析
#### 1. 冷启动概述
在 AWS Lambda 中,冷启动是指函数实例首次创建时所经历的一系列初始化步骤。一旦函数实例创建完成,在其生命周期内不会再次经历冷启动。如果在代码中添加构造函数或静态初始化器,它们仅会在函数冷启动时被调用。可以在处理程序类的构造函数中添加显式日志,以便在函数日志中查看冷启动的发生情况。此外,还可以使用 X-Ray 和一些第三方 Lambda 监控工具来识别冷启动。
#### 2. 冷启动的影响
冷启动通常会导致事件处理出现延迟峰值,这也是人们关注冷启动的主要原因。一般情况下,小型 Lambda 函数的端到端延迟
Clojure多方法:定义、应用与使用场景
### Clojure 多方法:定义、应用与使用场景
#### 1. 定义多方法
在 Clojure 中,定义多方法可以使用 `defmulti` 函数,其基本语法如下:
```clojure
(defmulti name dispatch-fn)
```
其中,`name` 是新多方法的名称,Clojure 会将 `dispatch-fn` 应用于方法参数,以选择多方法的特定实现。
以 `my-print` 为例,它接受一个参数,即要打印的内容,我们希望根据该参数的类型选择特定的实现。因此,`dispatch-fn` 需要是一个接受一个参数并返回该参数类型的函数。Clojure 内置的
Hibernate:从基础使用到社区贡献的全面指南
# Hibernate:从基础使用到社区贡献的全面指南
## 1. Hibernate拦截器基础
### 1.1 拦截器代码示例
在Hibernate中,拦截器可以对对象的加载、保存等操作进行拦截和处理。以下是一个简单的拦截器代码示例:
```java
Type[] types) {
if ( entity instanceof Inquire) {
obj.flushDirty();
return true;
}
return false;
}
public boolean onLoad(Object obj,
Serial
JavaEE7中的MVC模式及其他重要模式解析
### Java EE 7中的MVC模式及其他重要模式解析
#### 1. MVC模式在Java EE中的实现
MVC(Model-View-Controller)模式是一种广泛应用于Web应用程序的设计模式,它将视图逻辑与业务逻辑分离,带来了灵活、可适应的Web应用,并且允许应用的不同部分几乎独立开发。
在Java EE中实现MVC模式,传统方式需要编写控制器逻辑、将URL映射到控制器类,还需编写大量的基础代码。但在Java EE的最新版本中,许多基础代码已被封装好,开发者只需专注于视图和模型,FacesServlet会处理控制器的实现。
##### 1.1 FacesServlet的
设计与实现RESTfulAPI全解析
### 设计与实现 RESTful API 全解析
#### 1. RESTful API 设计基础
##### 1.1 资源名称使用复数
资源名称应使用复数形式,因为它们代表数据集合。例如,“users” 代表用户集合,“posts” 代表帖子集合。通常情况下,复数名词表示服务中的一个集合,而 ID 则指向该集合中的一个实例。只有在整个应用程序中该数据类型只有一个实例时,使用单数名词才是合理的,但这种情况非常少见。
##### 1.2 HTTP 方法
在超文本传输协议 1.1 中定义了八种 HTTP 方法,但在设计 RESTful API 时,通常只使用四种:GET、POST、PUT 和
响应式Spring开发:从错误处理到路由配置
### 响应式Spring开发:从错误处理到路由配置
#### 1. Reactor错误处理方法
在响应式编程中,错误处理是至关重要的。Project Reactor为其响应式类型(Mono<T> 和 Flux<T>)提供了六种错误处理方法,下面为你详细介绍:
| 方法 | 描述 | 版本 |
| --- | --- | --- |
| onErrorReturn(..) | 声明一个默认值,当处理器中抛出异常时发出该值,不影响数据流,异常元素用默认值代替,后续元素正常处理。 | 1. 接收要返回的值作为参数<br>2. 接收要返回的值和应返回默认值的异常类型作为参数<br>3. 接收要返回
在线票务系统解析:功能、流程与架构
### 在线票务系统解析:功能、流程与架构
在当今数字化时代,在线票务系统为观众提供了便捷的购票途径。本文将详细解析一个在线票务系统的各项特性,包括系统假设、范围限制、交付计划、用户界面等方面的内容。
#### 系统假设与范围限制
- **系统假设**
- **Cookie 接受情况**:互联网用户不强制接受 Cookie,但预计大多数用户会接受。
- **座位类型与价格**:每场演出的座位分为一种或多种类型,如高级预留座。座位类型划分与演出相关,而非个别场次。同一演出同一类型的座位价格相同,但不同场次的价格结构可能不同,例如日场可能比晚场便宜以吸引家庭观众。
-
并发编程:多语言实践与策略选择
### 并发编程:多语言实践与策略选择
#### 1. 文件大小计算的并发实现
在并发计算文件大小的场景中,我们可以采用数据流式方法。具体操作如下:
- 创建两个 `DataFlowQueue` 实例,一个用于记录活跃的文件访问,另一个用于接收文件和子目录的大小。
- 创建一个 `DefaultPGroup` 来在线程池中运行任务。
```plaintext
graph LR
A[创建 DataFlowQueue 实例] --> B[创建 DefaultPGroup]
B --> C[执行 findSize 方法]
C --> D[执行 findTotalFileS
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
