0

我正在使用 servlet 构建一个简单的 WebApplication。我是一个初学者,但已经尝试过学习这项技术的大部分内容。有件事我想不通。我的 servlet 之一是有用的 BalusC FileServlet

http://balusc.blogspot.mx/2007/07/fileservlet.html

它使用所需文件响应 GET 请求,干净整洁。

我使用这个 FileServlet 为 Dygraph 提供 CSV 文件

http://dygraphs.com/

我有两种类型的用户:客人和管理员。客人应该能够看到图表,但不能下载 CSV 文件。管理员应该能够做到这两点。

fileServlet 对 URL 模式的响应为:file/*(* 是文件名),当 Dygraph 读取 URL 中指定的文件时,这非常方便。

在这个 web 应用程序中构建了一个 loginServlet,如果用户只是复制粘贴为 Dygraph 提供的 URL,我希望能够避免使用 fileservlet 来提供文件。FileServlet 已经能够从该会话中获取会话和登录用户,但我不知道如何检测调用 GET 方法的页面是什么。我希望 fileservlet 仅在从 JSP 代码中调用时才提供文件,而不是从浏览器的地址栏中调用。

让我解释一下:

我的意思是 - 作为来宾用户 - 以下 Javascript 代码应该显示图形(FileServlet 提供文件)

<div id="graphdiv2" style="width:640px; height:480px;">
<script type="text/javascript">
g2 = new Dygraph(
document.getElementById("graphdiv2"),
"${messages.rutacsv}", // path to CSV file
{
rollPeriod: 10,
showRoller: true
}
);
</script>            
</div>

变量:“${messages.rutacsv}”被 servlet 替换,如下所示:

“文件/2012-04-20_1.csv”

所以 Dygraph 可以很好地加载文件并绘制线条。

但是,我希望 FileServlet 能够检测到用户何时在 ContextName 之后复制粘贴此 URL 并阻止它,因此只有 Dygraph 可以下载文件。

例如,如果用户在他的浏览器中键入:

http://localhost:8080/MyWebApp/file/2012-04-20_1.csv

应该是不能下载的。只有管​​理员应该能够。

现在,我在想也许我应该实现 FileServlet,因此必须使用另一个 URL 模式或 POST 方法调用它,这样简单的用户复制意大利面就无法通过“origining-JSP”检查。

顺便说一句,我尝试使用 Struts2 回来了,这对于这个应用程序来说太复杂了。为了方便和易于使用简单的 servlet 和 JSP 进行开发,我放弃了它。

4

2 回答 2

2

使用过滤器检查用户角色。也就是说,在进行任何重要操作之前,必须检查用户是否有权执行此操作。这是任务 servlet 过滤器。

您必须doFilter()在类扩展中实现该方法,javax.servlet.Filter如下所示:

public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws   IOException, ServletException {

    HttpServletRequest req = (HttpServletRequest) request;

    HttpSession session = req.getSession();

    String currentRole = (String) session.getAttribute("userRole");

    if ("admin".equals(currentRole)) {
         successRedirect(); 
    } else {
         failRedirect();
    }
    chain.doFilter(request, response);
}

并且不要忘记将此过滤器映射到 web.xml 文件中所需的地址:

<filter>
    <filter-name>CheckRightAccessFilter</filter-name>
    <filter-class>yourproject.CheckRightAccessFilter</filter-class>
</filter>
<filter-mapping>
    <filter-name>CheckRightAccessFilter</filter-name>
    <url-pattern>*.csv</url-pattern>
</filter-mapping>
于 2012-04-30T01:17:39.230 回答
2

使用 servlet 过滤器检查提交的 url,并根据会话对象识别用户角色。如果找到授权用户,则可以重定向到下载页面

于 2012-06-21T10:44:18.460 回答