Discussoes de Programacao e Tecnologia

Filter para .css/.js?

27 respostas
D
danilo.akamine

Estou utilizando um Filter para restringir acesso a pasta /admin da minha aplicação JSF.

Lá existe a seguinte estrutura:

/admin/index.xhtml
/admin/menu.xhtml
/admin/img/logo.gif
/admin/css/estilo.css
/admin/js/functions.js

Na verdade gostaria de restringir apenas acesso aos arquivos .xhtml da pasta /admin, não queria gastar processamento fazendo o filtro em imagens e arquivos .css, já que é totalmente desnecessário.

existe essa possibilidade?
essa ‘checagem’ do Filtro em imagens dá uma diferença significante no processamento?

obs: não queria mover a pasta img/css/js para fora de /admin por questões de organização.

Alura Desenvolvimento Front-End React Do primeiro componente à liderança técnica! HTML/CSS/JavaScript fundamental, React com hooks e...

27 Respostas

A
armeniocardoso

Danilo,

Eu tenho usado filtros para o controle de acesso com sucesso há muito tempo. Uma vez eu tive a curiosidade de verificar qual seria a “perda” com o uso desses filtros e aí eu coloquei o seguinte código no doFilter:

long ini = System.currentTimeMillis();

//o que desejo medir - tempo de processamento

long fim = System.currentTimeMillis();
long dif = fim - ini;
System.out.println("Tempo: " + dif + " em milissegundos.");

Foi surpreendente a relação custo X benefício. O filtro bem programado tem um custo muito baixo.

Quanto a sua questão: obtenha a URI (String URI = request.getRequestURI(); ) e verifique a String com endsWith. O ideal é criar uma lista com as extensões liberadas.

É possível também trabalhar com expressões regulares de forma a verificar padrões dentro da string, aumentando os recursos do filtro.

Espero ter sido útil.

D
danilo.akamine

É uma boa idéia, mas a minha intenção era que nem entrasse no Filter.
pelo jeito isso não é possível né?
pra evitar mexer no Filter, acho que vou dar um jeito de mover os diretórios pra fora de /admin mesmo.

Obrigado

B
bombbr

danilowz:
É uma boa idéia, mas a minha intenção era que nem entrasse no Filter.
pelo jeito isso não é possível né?
pra evitar mexer no Filter, acho que vou dar um jeito de mover os diretórios pra fora de /admin mesmo.

Obrigado

Recomendo você mudar a estrutura de diretórios de forma que estes recursos fiquem fora do filtro.

/admin/
/css/
/js/

Caso não queira fazer isto você pode especificar o recurso especifico que você queira que entre no filtro.

<filter-mapping>
  <filter-name>seuFiltro</filter-name>
  <url-pattern>/admin/index.xhtml</url-pattern>
  <url-pattern>/admin/menu.xhtml</url-pattern>
 </filter-mapping>
J
jeffjcosta

Pessoal,

Aproveitando o topico sobre filtros, gostaria de saber como posso fazer para restringir todas as minhas ações do Struts? É possível?
Eu fiz um filtro para restringir o acesso dos usuários, coloco os diretórios e os arquivos que não podem ser acessados sem login, porém eu tenho varias ações no meu sistema (varios .do) e não quero ficar listando todos dentro da url-pattern, tentei colocar /.do e não funcionou, se eu colocar / tambem nao va i, alguma ideia?

A
armeniocardoso

Jeff,

O filtro restringe todas as requisições se você colocar no web.xml o mapeamento /*, conforme o exemplo abaixo:

&lt;filter&gt;
        &lt;filter-name&gt;FiltroControleAcesso&lt;/filter-name&gt;
        &lt;filter-class&gt;br.com.acessos.FiltroControleAcesso&lt;/filter-class&gt;
        &lt;init-param&gt;
            &lt;description&gt;URLs a serem ignoradas pelo Controle de Acesso&lt;/description&gt;
            &lt;param-name&gt;enderecosLivres&lt;/param-name&gt;
            &lt;param-value&gt;/css;/img;/js&lt;/param-value&gt;
        &lt;/init-param&gt;
    &lt;/filter&gt;
    &lt;filter-mapping&gt;
        &lt;filter-name&gt;FiltroControleAcesso&lt;/filter-name&gt;
        &lt;url-pattern&gt;/*&lt;/url-pattern&gt;
    &lt;/filter-mapping&gt;

O meu controle de acesso usa uma tabela em um banco de dados para verificar a cada requisição se o usuário pode acessar uma determinada URI. Os endereços livres são processados no filtro e caso coincida com a URI, nenhuma nova verificação é feita.

Por favor, explique melhor o que não funcionou para as URIs terminadas em DO, pois é perfeitamente viável o seu uso.

J
jeffjcosta

Armenio,

Eu vou rever meu web.xml aqui e tesar novamente, como é uma aplicação simples não vi a necessidade de criar uma tabela para dizer as permissões de cada usuário.
O que está acontecendo quando eu coloco /* é que a aplicação não roda, não sei se entra em loop, sei la, e quando colokei /*.do, eu tentei acessar uma ação e funcionou, mas como disse: vou rever aqui seguindo o teu exemplo, como estou fazendo mta coisa ao mesmo tempo, posso ter deixado algo passar sem perceber e me enganado.

Se eu colocasse no meu web.xml /*.do dentro do url-pattern, era para funcionar? Todas as minhas ações só seriam executadas se estivesse logado?

A
armeniocardoso

Uma dica Jeff,

O /* pega TUDO, ou seja, todas as requisições. Por isso não funcionou.

Você não precisa criar uma tabela agora enquanto estiver fazendo testes. Coloque no filtro um “if” para uma determinada URI terminada em DO de forma a redirecionar para uma página de erro. Por exemplo:

if (autorizado) {                         //autorizado
         chain.doFilter(request, response);
      } else if (!autorizado && usr != null) {  //não autorizado

         RequestDispatcher rd = hrequest.getRequestDispatcher("/login/nautor.jsp");
         rd.forward(request, response);
      } else {                                  //não logado
         session.setAttribute("URI", URI); //coloco isso para poder continuar se o usuário conseguir logar.
         RequestDispatcher rd = hrequest.getRequestDispatcher("/login/index.jsp");
         rd.forward(request, response);
      }

No lugar da minha flag “autorizado” teste se é uma determinada URI e redirecione para uma página de erro, ou então execute chain.doFilter para prosseguir normalmente.

Espero ter sido útil.

J
jeffjcosta

Entao o /* não irá funcionar mesmo?
Se eu coloco /* a aplicação é construida com sucesso, porém não abre nada no browser, parece q fica em loop.
Se eu colocar /*.do a aplicação nem roda nem eh construida, da erro na implementação do modulo.

A
armeniocardoso

O /* funciona sim, mas o código do filtro é que vai definir se o todo funciona ou não.

Quanto /*.do não funciona mesmo, pois o mapeamento precisa ter uma URI válida e URIs não têm extensão. Use somente nomes de pastas e o curinga *.

Como é o código do seu filtro?

J
jeffjcosta

O problema é que tenho varias ações, muitas mesmo, não quero ficar lsitando todas no meu web.xml nem verificando todas, queria alguma coisa mais automatica, mas enfim.

Meu filtro esta assim:

package catalogo.controle.seguranca;

import catalogo.modelo.Usuario;
import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

public class FiltroLogado implements Filter{

    public void init(FilterConfig filterConfig) throws ServletException {
    }

    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        
        HttpSession sessao = ((HttpServletRequest) request).getSession();

        Usuario usuario = (Usuario) sessao.getAttribute("usuario");

        if( usuario == null )
        {
            ((HttpServletResponse) response).sendRedirect("/Catalogo/");
        }        
        else
        {
            chain.doFilter(request, response);
        }
    }

    public void destroy() {
    }

}

Meu web.xml (por enkanto esta assim):

<filter>
        <filter-name>Filtro Logado</filter-name>
        <filter-class>catalogo.controle.seguranca.FiltroLogado</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>Filtro Logado</filter-name>
        <url-pattern>/home.jsp</url-pattern>
        <url-pattern>/acessoNegado.jsp</url-pattern>
        <url-pattern>/erroLogin.jsp</url-pattern>
        <url-pattern>/uteis/*</url-pattern>
        <url-pattern>/usuarios/*</url-pattern>
        <url-pattern>/configuracoes/*</url-pattern>
    </filter-mapping>
A
armeniocardoso

OK, Jeff, agora eu entendi.

O esquema é o seguinte: o mapeamento do filtro deve ser abrangente e o código do filtro é que deve ser detalhado.

O ideal é que o seu filtro acesse uma consulta que retorne as pastas que um determinado grupo de usuários têm direito a acessar. De posse dessa lista de pastas, você compara com a URI que o usuário está desejando acessar e aí libera ou não.

Os mapeamentos dos Actions do Struts devem ser compostos de "pastas" também, por exemplo: /alunos/manter.jsp executa um action /alunos/manter.do que inclui ou altera os dados do Aluno. A pasta a ser cadastrada no banco é /alunos.

Essa configuração que você usou no web.xml é ruim, pois é necessário listar uma série de mapeamentos.

O modelo de dados é relativamente simples: usuários —> grupos —> mapeamentos.

Espero ter sido útil.

J
jeffjcosta

Entendi, Armênio.

Então eu tenho que criar uma tabela com os acessos dos meus grupos de usuários?
Eu ja tinha pensado em colocar as ações do struts em pastas tambem, mas achei q não seria tao util, valeu pela ajuda.
Voce poderia me dar algum exemplo de como ficaria o meu web.xml mais abrangente como falou? Como ficaria minha tabela tambem?
No meu filtro eu vou ter que no doFilter acessar essa tabela passando o tipo de usuario(perfil), vou ter que criar um DAO para isso?

Ah soh um detalhe: a intenção desse meu filtro é apenas verificar se o usuario esta logado, por isso queria que fosse feito em todo os arquivos, inclusive ações do Struts, teria como fazer isso sem envovler BD? Ou seria melhor fazer um if em todos os jsps? Esse filtro apenas é para essa verificação, faço a verificação de autorização em outro filtro

A
armeniocardoso

Segue uma sugestão de filtro:

public void doFilter(ServletRequest request, ServletResponse response,
           FilterChain chain)
           throws IOException, ServletException {

      boolean autorizado = false;

      HttpServletRequest hrequest = (HttpServletRequest) request;

      //processa as URIs que estão na lista de exceções.
      String URI = hrequest.getRequestURI();
      String ctx = hrequest.getContextPath();
      for (int i = 0; i &lt; enderecosLivres.length; i++) {
         if (URI.startsWith(ctx + enderecosLivres[i] + "/")
                 || URI.equals(ctx + "/")
                 || URI.startsWith(ctx + "/login")
                 || URI.contains("favicon.ico")) {
            autorizado = true;
            break;
         }
      }

      HttpSession session = hrequest.getSession(true);
      String usr = null;
      String pwd = null;
      if (!autorizado) { //não está na lista de exceções
         usr = (String) session.getAttribute("corporativo_usr");
         pwd = (String) session.getAttribute("corporativo_pwd");
         if (!Validador.vazio(usr)) {
            autorizado = controle.autorizar(usr, pwd, URI); //aqui está uma classe que faz a consulta ao banco.
         }
      }

      if (autorizado) {                         //autorizado
         chain.doFilter(request, response);
      } else if (!autorizado && usr != null) {  //não autorizado

         RequestDispatcher rd = hrequest.getRequestDispatcher("/login/nautor.jsp");
         rd.forward(request, response);
      } else {                                  //não logado
         session.setAttribute("msg", "login");
         session.setAttribute("URI", URI);
         RequestDispatcher rd = hrequest.getRequestDispatcher("/login/index.jsp");
         rd.forward(request, response);
      }
   }

O fragmento do web.xml fica assim (adapte-o a sua realidade):

&lt;filter&gt;
        &lt;filter-name&gt;FiltroControleAcesso&lt;/filter-name&gt;
        &lt;filter-class&gt;br.com.corporativo.acessos.FiltroControleAcesso&lt;/filter-class&gt;
        &lt;init-param&gt;
            &lt;description&gt;URLs a serem ignoradas pelo Controle de Acesso&lt;/description&gt;
            &lt;param-name&gt;enderecosLivres&lt;/param-name&gt;
            &lt;param-value&gt;/css;/img;/js;/principal;/index.jsp;/fckeditor;/userfiles&lt;/param-value&gt;
        &lt;/init-param&gt;
    &lt;/filter&gt;
    &lt;filter-mapping&gt;
        &lt;filter-name&gt;FiltroControleAcesso&lt;/filter-name&gt;
        &lt;url-pattern&gt;/*&lt;/url-pattern&gt;
    &lt;/filter-mapping&gt;

Observe que o método da consulta retorna boolean, facilitando um pouco. Esse método é a chave de tudo, pois nele comparamos a URI desejada com os mapeamentos que o usuário tem acesso por intermédio do seu grupo. O ideal é criar um DAO para isolar o acesso ao banco de dados.

As tabelas são simples:
usuarios —> id de usuário, nome, senha etc
grupos_usuarios —> id do usuário, id do grupo.
grupos —> id do grupo, nome do grupo, etc.
mapeamentos —> id do mapeamento, id do grupo, URI do mapeamento.

Estou considerando que um usuário pode pertencer a vários grupos e um grupo tem vários mapeamentos. Um mapeamento poderia aparecer em vários grupos se você quiser, mas eu preferi um modelo mais simples.

Procure implementar aos poucos de forma a poder testar e dominar completamente o modelo.

Boa Sorte!

J
jeffjcosta

Armênio,

Muito obrigado pela ajuda.
Confesso que fiquei com algumas dúvidas e um pouco perdido, mas vou tentando aqui e aos poucos vou postando o que não conseguir resolver.
Só mais uma coisa: esse filtro que estou implementando agora ainda não é para verificar as permissões do usuário e sim verificar se o usuário está logado para poder acessar algum arquivo, acho que apenas para verificar se está logado não preciso envolver BD, ou estou errado? Como posso melhorar meu web.xml e meu filtro para apenas ser utilizado para a verificação da autenticação do usuario, ja que não esta legal o meu web.xml?

A
armeniocardoso

Jeff,

Implemente o filtro como eu passei comentando as linhas 28 e 29 que fazem acesso ao controle. Com isso você já fica sabendo se o usuário está logado ou não (através das variáveis de sessão). Não se esqueça de colocar essas variáveis na sessão no processo de login.

Fique tranquilo, pois o assunto não é tão trivial assim. Vamos seguindo passo-a-passo, entendendo cada etapa / conceito.

Conte comigo para matar as dúvidas.

J
jeffjcosta

Vou tentar aqui.
Qualquer duvida vou postando.
Qualquer coisa abro um novo topico.
Muito obrigado pela atenção e paciencia, quem dera se todos do forum fossem assim.
Obrigado mesmo.

J
jeffjcosta

Surgiu uma duvida aqui agora:
Como devo criar a variavel enderecosLivres?

A
armeniocardoso

Jeff,

Segue uma sugestão de código:

public class FiltroControleAcesso implements Filter {

   private FilterConfig filterConfig = null;
   private String[] enderecosLivres = null;
   private ControleAcesso controle = null;

   @Override
   public void init(FilterConfig filterConfig) {
      try {
         this.filterConfig = filterConfig;
         this.enderecosLivres = filterConfig.getInitParameter("enderecosLivres").split(";");
         InitialContext ictx = new InitialContext();
         controle = (ControleAcesso) ictx.lookup("corporativo/ControleAcessoBean");
      } catch (Exception ex) {
         ex.printStackTrace();
      }

   }

   @Override
   public void doFilter(ServletRequest request, ServletResponse response,
           FilterChain chain)
           throws IOException, ServletException {

      boolean autorizado = false;

      HttpServletRequest hrequest = (HttpServletRequest) request;

      //processa as URIs que estão na lista de exceções.
      String URI = hrequest.getRequestURI();
      String ctx = hrequest.getContextPath();
      for (int i = 0; i &lt; enderecosLivres.length; i++) {
         if (URI.startsWith(ctx + enderecosLivres[i] + "/")
                 || URI.equals(ctx + "/")
                 || URI.startsWith(ctx + "/login")
                 || URI.contains("favicon.ico")) {
            autorizado = true;
            break;
         }
      }

      HttpSession session = hrequest.getSession(true);
      String usr = null;
      String pwd = null;
      if (!autorizado) { //não está na lista de exceções
         usr = (String) session.getAttribute("corporativo_usr");
         pwd = (String) session.getAttribute("corporativo_pwd");
         if (!Validador.vazio(usr)) {
            autorizado = controle.autorizar(usr, pwd, URI);
         }
      }

      if (autorizado) {                         //autorizado
         chain.doFilter(request, response);
      } else if (!autorizado && usr != null) {  //não autorizado

         RequestDispatcher rd = hrequest.getRequestDispatcher("/login/nautor.jsp");
         rd.forward(request, response);
      } else {                                  //não logado
         session.setAttribute("msg", "login");
         session.setAttribute("URI", URI);
         RequestDispatcher rd = hrequest.getRequestDispatcher("/login/index.jsp");
         rd.forward(request, response);
      }
   }

   public FilterConfig getFilterConfig() {
      return (this.filterConfig);
   }

   public void setFilterConfig(FilterConfig filterConfig) {
      this.filterConfig = filterConfig;
   }

   @Override
   public String toString() {
      if (filterConfig == null) {
         return ("FiltroControleAcesso()");
      }
      StringBuffer sb = new StringBuffer("FiltroControleAcesso(");
      sb.append(filterConfig);
      sb.append(")");
      return (sb.toString());
   }

   @Override
   public void destroy() {
   }
}

Ignore as linhas 12, 13, 48, 49, 50 que se referem ao controle de acesso propriamente dito.

Espero ter sido útil.

J
jeffjcosta

Peguei o teu código e alterei com as minhas necessidades e alterei tambem o meu web.xml, mas não esta funcionando, se eu tento acessar algum arquivo que não esta na miha lista de permissoes(web.xml) nao sou redirecionado para a pagina de login.

web.xml 
<filter>
        <filter-name>FiltroControleAcesso</filter-name>
        <filter-class>catalogo.controle.seguranca.FiltroControleAcesso</filter-class>
        <init-param>
            <description>URLs a serem ignoradas pelo Controle de Acesso</description>
            <param-name>enderecosLivres</param-name>
            <param-value>/css;/imagens/;/uteis;/login.jsp</param-value>
        </init-param>
    </filter>
    <filter-mapping>
        <filter-name>FiltroControleAcesso</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>
Filtro: 
package catalogo.controle.seguranca;

import catalogo.modelo.Usuario;
import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.RequestDispatcher;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpSession;


public class FiltroControleAcesso implements Filter {

   private FilterConfig filterConfig = null;
   private String[] enderecosLivres = null;
   //private ControleAcesso controle = null;

   @Override
   public void init(FilterConfig filterConfig) {

       try
       {
           this.filterConfig = filterConfig;
           this.enderecosLivres = filterConfig.getInitParameter("enderecosLivres").split(";");
           //InitialContext ictx = new InitialContext();
           //controle = (ControleAcesso) ictx.lookup("corporativo/ControleAcessoBean");
       }
       catch (Exception ex)
       {
           ex.printStackTrace();
       }
   }

   @Override
   public void doFilter(ServletRequest request,
                        ServletResponse response,
                        FilterChain chain)
                throws IOException, ServletException {
       boolean autorizado = false;
       HttpServletRequest hrequest = (HttpServletRequest) request;

       //processa as URIs que estão na lista de exceções.
       String URI = hrequest.getRequestURI();
       String ctx = hrequest.getContextPath();

       for (int i = 0; i < enderecosLivres.length; i++)
       {
           if (URI.startsWith(ctx + enderecosLivres[i] + "/")
               || URI.equals(ctx + "/")
               || URI.startsWith(ctx + "/")) 
           {
               autorizado = true;
               break;
           }
       }

       HttpSession session = hrequest.getSession(true);
       Usuario user = null;
       //String pwd = null;
       
       if (!autorizado) //não está na lista de exceções
       {
           user = (Usuario) session.getAttribute("usuario");
           //pwd = (String) session.getAttribute("corporativo_pwd");

         /*if (!Validador.vazio(usr)) {
            autorizado = controle.autorizar(usr, pwd, URI);
         }*/
       }
       
       if (autorizado) //autorizado
       {
           chain.doFilter(request, response);
       }
       else if (!autorizado && user != null) //não autorizado
       {
           RequestDispatcher rd = hrequest.getRequestDispatcher("/acessoNEgado.do");
           rd.forward(request, response);
       }
       else //não logado
       {
           session.setAttribute("msg", "login");
           session.setAttribute("URI", URI);
           RequestDispatcher rd = hrequest.getRequestDispatcher("/logar.do");
           rd.forward(request, response);
       }
   }

   public FilterConfig getFilterConfig() {
       return (this.filterConfig);
   }

   public void setFilterConfig(FilterConfig filterConfig) {
       this.filterConfig = filterConfig;
   }

   @Override
   public String toString() {
       
       if (filterConfig == null) {
           return ("FiltroControleAcesso()");
       }

       StringBuffer sb = new StringBuffer("FiltroControleAcesso(");
       sb.append(filterConfig);
       sb.append(")");
       return (sb.toString());
   }

   @Override
   public void destroy() {
   }
}

Fiquei com algumas dúvidas no for dentro do doFilter, que percorre a lsita de endereços livres, acho que posso ter errado ali

A
armeniocardoso

Realmente o for está errado, pois não considera o próprio login como aberto para acesso. Veja o for original que mandei:

for (int i = 0; i &lt; enderecosLivres.length; i++) {
         if (URI.startsWith(ctx + enderecosLivres[i] + "/")
                 || URI.equals(ctx + "/")
                 || URI.startsWith(ctx + "/login") // &lt;---- AQUI
                 || URI.contains("favicon.ico")) {
            autorizado = true;
            break;
         }
      }

Além disso, você tem que colocar o nome do usuário na session após o login.

Acho que é isso :slight_smile:

J
jeffjcosta

Eu coloco o objeto usuario na sessao, após o login.

Eu alterei esse for, pois eu coloquei como arquivo inicial o login.jsp, entao quando eu acesso localhost://8084/Aplicacao, abre o login.jsp, sem precisar colocar nada depois da /, achei que fazendo isso funcionaria, como eu não tenho um diretorio soh para login, terei que colocar /login.jsp?
Tenho que manter URI.contains(“favicon.ico”) dentro do if? Eu nao uso ennhum favin.ico

J
jeffjcosta

Funcionou.

Pelo menos até agora esta funcionado, estou conseguindo acessar o login e se eu digitar alguma ação ou arquivo sem estar logado volto para a pagina de login.

Só nao estou entendendo porque que quando eu clico em uma ação que só admin pode ter acesso e se meu usuario nao for admin eu sou blokeado, mas se eu digitar direto na url eu consigo acessar, to achando q nao estou eliminando corretamente a sessao, muito estranho

J
jeffjcosta

Esse filtro nao funciona para ações do Struts?

Na minha lista de endereços livres está apenas o arquivo de login.jsp, porém eu nao consigo logar, acho que porque não liberei a ação login.do, mas se eu colocar essa ação na minha lista, tambem nao funciona.
Por que será?

A
armeniocardoso

Jeff,

Vamos separar autenticação de autorização. No primeiro momento, pelo que entendi, você quer fazer autenticação. Para que isso funcione, é preciso “acertar” o código do “if” que faz o teste de autorização de forma a permitir tudo:

Estava assim:

if (!autorizado) { //não está na lista de exceções
         usr = (String) session.getAttribute("corporativo_usr");
         pwd = (String) session.getAttribute("corporativo_pwd");
         if (!Validador.vazio(usr)) {
            autorizado = controle.autorizar(usr, pwd, URI);
         }
      }

Deve ficar assim:

if (!autorizado) { //não está na lista de exceções
         usr = (String) session.getAttribute("corporativo_usr");
         pwd = (String) session.getAttribute("corporativo_pwd");
//       if (!Validador.vazio(usr)) {
//          autorizado = controle.autorizar(usr, pwd, URI);
//       }
         if(usr != null) {
            autorizado = true;
         }
      }

Em um segundo momento você começa a implementar a autorização.

J
jeffjcosta

Eu comentei o if como voce havia falado, pois por enquanto só quero ver se o usuário está logado mesmo, não quero verificar se ele tem permissão ou nao.

O problema é o seguinte: eu coloquei na minha lista de endereços livres o login.jsp, então qualquer pessoa pode acessar esse arquivo, pois não estou validando, para esse arquivo, se o usuario esta logado ou nao, só que esse arquivo tem um formulario com action para login.do, mesmo eu colocando essa minha action na minha lista de permissoes, eu nao consigo logar, nao sei se errei em outro lugar, mas pelo que entendi, eu não estou conseguindo logar pq no login.do ainda nao criei a sessao do usuario, vou cirar no final do procedimento de login, com isso eu nao logo e volto para a pagina de login. Deu para entender?
Mesmo eu colocando o login.do na minha lista de endereços livres eu nao consigo logar, sou sempre jogado para a pagina de login de novo

A
armeniocardoso

Entendi, meu amigo. Vamos ver.

Você deve ter colocado sua lista de endereços livres mais ou menos assim:

/css;/img;/js;/principal;/index.jsp;/login/index.jsp;/login/login.do

Não esqueça de colocar uma / na frente dos endereços porque estes serão concatendos com o endereço da aplicação para formar a URI. Além disso, eu estou assumindo que as páginas estão dentro da pasta /login e o mapeamento do struts-config.xml está /login/login.do.

É isso?

J
jeffjcosta

Nao.
Eu tentei mudar as minhas paginas e ações de login para dentro de um diretorio /login e dar permissão para esse diretorio, mas começou a dar muito erro e voltei ao que estava antes.
Eu quebrei a cabeça aqui e acabei modificando o codigo que voce me mostrou nos topicos acima, até que funcionou, vou postar aqui para voce, se puder, dar uma olhada e me dizer suas criticas.
Como fiquei muito tempo em cima disso, modifiquei os codigos aqui, dei uma testada rapida e parti para outra coisa, mas pelo que pude perceber esta funcionando com um porem: se eu acessar digitando o nome direto na url parece q para de verificar se o usuario esta logado ou nao, se tem acesso ou nao, parece q soh faz a verificação se eu clicar no link, algo assim, sei la.
Meus codigos alterados agora:

web.xml:

<filter>
        <filter-name>FiltroControleAcesso</filter-name>
        <filter-class>catalogo.controle.seguranca.FiltroControleAcesso</filter-class>
        <init-param>
            <description>URLs a serem ignoradas pelo Controle de Acesso</description>
            <param-name>enderecosLivres</param-name>
            <param-value>/css;/imagens;/uteis;/login.jsp;/login.do;/logout.do</param-value>
        </init-param>
    </filter>
    <filter-mapping>
        <filter-name>FiltroControleAcesso</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

Filtro:

...
public class FiltroControleAcesso implements Filter {

   private FilterConfig filterConfig = null;
   private String[] enderecosLivres = null;

   @Override
   public void init(FilterConfig filterConfig) {

       try
       {
           this.filterConfig = filterConfig;
           this.enderecosLivres = filterConfig.getInitParameter("enderecosLivres").split(";");
       }
       catch (Exception ex)
       {
           ex.printStackTrace();
       }
   }

   @Override
   public void doFilter(ServletRequest request,
                        ServletResponse response,
                        FilterChain chain)
                throws IOException, ServletException {
       boolean autorizado = false;
       HttpServletRequest hrequest = (HttpServletRequest) request;

       //processa as URIs que estão na lista de exceções.
       String URI = hrequest.getRequestURI();
       String ctx = hrequest.getContextPath();

       for (int i = 0; i < enderecosLivres.length; i++)
       {
           if (URI.startsWith(ctx + enderecosLivres[i] + "/")
               || URI.equals(ctx + "/login.jsp")
               || URI.equals(ctx + "/login.do")
               || URI.equals(ctx + "/logout.do"))
           {
               autorizado = true;
               break;
           }
       }

       HttpSession session = hrequest.getSession(true);
       Usuario user = null;
       
       if (autorizado) //autorizado
       {
           chain.doFilter(request, response);
       }
       else //não está na lista de exceções
       {
           user = (Usuario) session.getAttribute("usuario");

           if (user != null)
           {
               chain.doFilter(request, response);
           }
           else
           {
               RequestDispatcher rd = hrequest.getRequestDispatcher("/logar.do");
               rd.forward(request, response);
           }
   }

   @Override
   public void destroy() {
   }
}
Criado 12 de abril de 2010
Ultima resposta 13 de abr. de 2010
Respostas 27
Participantes 4

Topicos relacionados

Retirar barra de endereco e outras 4 respostas Podem me explicar que erro eh esse? 16 respostas Como dividir o Layout (Menu, Topo, Rodapé)? 11 respostas criaçao de um botao em jsp 8 respostas Escurecer todo o site 5 respostas
Alura Git Flow: entenda o que é, como e quando utilizar Entenda o que é Git Flow, como funciona seu fluxo com branches como Master, Develop, Feature, Release e Hotfix, além de vantagens e desvantagens.
Casa do Codigo Desmistificando WebAssembly: Alta performance,... Por Raphael Amorim — Casa do Codigo
Fiap Pos-Tech: Front-end Engineering Pós-Graduação para desenvolver habilidades avançadas em tecnologias front-end, com foco em...