Авторизация и аутентификация Servlet
213
30 июля 2018, 01:10
День добрый. Подскажите пожалуйста в каком направлении идти.
У меня есть проект где разделен функционал пользователей и администраторов. Хочу настроить:
- Пути хождения по проекту. Пользователи/администраторы не прошедшие логирование на сайт не должны иметь доступ к сайту кроме как страницы входа. Так же пользователи не должны иметь возможности ходить там где могут администраторы.
- Чтобы один и тот же пользователь не мог заходить из разных браузеров. Использую tomcat, jsp, servlet. Искал информацию по данному вопросу. Но отдельные куски есть не понятна сама логика. Так же список пользователей может меняться, в бд есть разделение на роли. В зависимости от роли сервлет входа отправляет на разные страницы.
Просто пока не улавливаю логику как это должно работать. Ниже приведен код авторизации пользователей и определение их ролей.
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
String userName = request.getParameter("login");
String password = request.getParameter("password");
HttpSession session = request.getSession();
UsersService usersService = new UsersService();
int id_user = usersService.getRoleUser(userName, password);
Calendars calendars = new Calendars();
if (id_user != 0) {
Users user = usersService.getUserById(id_user);
if (user.getRole().equals("user")) {
session.setAttribute("userName", userName);
session.setAttribute("name",user.getFio_user());
session.setAttribute("magazine",user.getMagazine());
session.setAttribute("id_user", id_user);
session.setAttribute("date_now", calendars.getNowDate());
response.sendRedirect("userview/user.jsp");
}
if (user.getRole().equals("admin")) {
response.sendRedirect("adminview/admin.jsp");
}
}else
{
response.sendRedirect("index.jsp");
}
}
Answer 1
Можешь попробывать хранить информацию о роли в Cockies и вытаскивать от туда при переходе на новую страницу. А дальше уже смотреть в соответствии с ролью и редиректить его на правильную страницу
Либо же заведи таблицу user и храни там информацию о том кем является пользователь и авторизован ли он. Только не храни пароль в открытом виде, лучше хэшируй его.
Так же можешь использовать токен (генерировать и сохранять на сервере - бд строчку из случайных чисел), который будешь хранить в куках и сравнивать с токеном на сервере. Если они отличаются, то выкидывать пользователя на авторизацию
Answer 2
Благодаря внесенной ясности стало понятнее что именно нужно для данных вещей. Для того чтобы разделить хождение пользователей/администраторов. Было создано два фильтра.
- Отвечает за логины пользователей. То есть при попытке перехода на любую страницу, за исключением Index.jsp. Пользователя выбрасывает на страницу входа.
- Фильтр отвечает за разделение пользователей и хождение страниц.
Скрины как разложен функционал пользователей и администраторов будет внизу.
Filter которой проверяет все страницы на то что пользователь залогинен.
@WebFilter("/*")//Все страницы сайта обрабатывает данный фильтр
public class LoginFilter implements Filter {
@Override
public void init(FilterConfig filterConfig) throws ServletException {
}
@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
//получение данных сессии
HttpServletRequest request = (HttpServletRequest) servletRequest;
HttpServletResponse response = (HttpServletResponse) servletResponse;
HttpSession session = request.getSession(false);
//URL Запроса/переадресации на Servlet входа
String loginURI = request.getContextPath() + "/InvateServlet";
//Если сессия ранее создана
boolean loggedIn = session != null && session.getAttribute("userName") != null && session.getAttribute("userRole") != null;
boolean loginRequest = request.getRequestURI().equals(loginURI);
//Если запрос пришел со страницы с входом или сессия не пуста даем добро следовать дальше
//Если нет ридерект на страницу входа
if (loggedIn || loginRequest) {
filterChain.doFilter(request, response);
} else {
response.sendRedirect(loginURI);
}
}
@Override
public void destroy() {
}
}
InvateServlet
@WebServlet(name = "InvateServlet", urlPatterns = "/InvateServlet")
public class InvateServlet extends HttpServlet {
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
String userName = request.getParameter("login");
String password = request.getParameter("password");
//Объект генерирующий хеш пароля
Encryption encryption = new Encryption();
HttpSession session = request.getSession();
UsersService usersService = new UsersService();
int id_user = 0;
try {
id_user = usersService.getRoleUser(userName, encryption.getPasswordEncryption(password));
} catch (NoSuchAlgorithmException e) {
e.printStackTrace();
}
Calendars calendars = new Calendars();
if (id_user != 0) {
Users user = usersService.getUserById(id_user);
if (user.getRole().equals("user")) {
session.setAttribute("userName", userName);
session.setAttribute("userRole", user.getRole());
session.setAttribute("name",user.getFio_user());
session.setAttribute("magazine",user.getMagazine());
session.setAttribute("id_user", id_user);
session.setAttribute("date_now", calendars.getNowDate());
response.sendRedirect("userview/user.jsp");
}
if (user.getRole().equals("admin")) {
response.sendRedirect("adminview/admin.jsp");
}
}else
{
response.sendRedirect("index.jsp");
}
}
protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
request.getRequestDispatcher("/index.jsp").forward(request, response);
}
}
FIlter отслеживающий защищенную часть администратора.
@WebFilter("/adminview/*")//Защищаемае часть
public class AuthFilter implements Filter {
@Override
public void init(FilterConfig filterConfig) throws ServletException {
}
@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
HttpServletRequest request = (HttpServletRequest) servletRequest;
HttpServletResponse response = (HttpServletResponse) servletResponse;
HttpSession session = request.getSession(false);
//Существует ли сессиия
boolean loggedIn = session != null && session.getAttribute("userName") != null && session.getAttribute("userRole") != null;
if (loggedIn ){
//Если существует то получаем роль
String userRole = session.getAttribute("userRole").toString();
if (userRole.equals("user")){
response.sendRedirect(request.getContextPath() + "/userview/user.jsp");
}else if (userRole.equals("admin")){
response.sendRedirect(request.getContextPath() + "/adminview/admin.jsp");
}
//Если нет то на страницу входа.
}else response.sendRedirect(request.getContextPath() + "/InvateServlet");
}
@Override
public void destroy() {
}
}
-
21:33
Виртуальный выделенный сервер (VDS) становится отличным выбором
-
22:26
-
22:40
-
08:34
-
15:01
-
17:01
-
11:24
-
10:16
-
17:54
ТОП-10
- Почему SERVER_ADDR имеет не тот IP 47688 visits
- Как заменить $_SERVER[REMOTE_ADDR] на IP клиента в PHP за двумя Nginx? 30538 visits
- Хочу вывести несколько строк из массива в один div, выводит только много undefined; подскажите, что делать? 23715 visits
- Как через css изменить цвет png изображения? 10368 visits
- Blob video url download 9977 visits
- Php curl запрос через прокси с авторизацией 9235 visits
- Работа с captcha vk api 8112 visits
© "hostciti.net" 17.1.2025 | 08:44