目录：

Ⅰ 条件

Ⅱ 目的

Ⅲ 分析

Ⅳ 实现

Ⅴ 具体代码实现

--------------------------------------------------------------------------------------

一、条件
　　1. 假设有个项目的目录如图一所示。（图一）
　　2. 其中login.jsp和index.jsp是放在/WebRoot目录下的。其余的放在相应的文件夹里。
　　3. 现在要求用户在未登录的情况下，只能进入login.jsp页面，如果登录了，就可以进入index.jsp和其它页面。
　　4. 如果用户直接在地址栏上输入URI进行非法请求，既绕过登录验证直接访问其它内容页的话，将重定向页面到login.jsp页面。
(图一)
二、目的
　　1. 防止用户直接输入URL绕过登录进行访问;

三、分析
　　1. URL的形式有两种，一种是通过Struts2的*.action，另一种是jsp的*.jsp，都要对其进行控制。
　　2. *.action形式的访问使用struts2的拦截器进行验证。
　　3. *.jsp形式的访问使用Filter过滤器进行验证。
四、实现
　　1. Filter的实现：
　　　　①. 获取请求的URI；并把该URI截取到访问的相对路径，可以通过这个来进行相应的权限控制。把最后的地址保存为uri;

　　　　　  如：/ElectiveSystem/login.jsp ---截取---> /login.jsp
　　　　②. 判断uri是否为"login.jsp"，如果是，直接放行；如果不是，那么就通过request.getSession()获取session，在通过session

　　　　　  获取用户登录信息，如果登录信息为空，则重定向到login.jsp页面；如果不为空，那么就直接放行。

　　2. Interceptor的实现（Struts2 的拦截器）：
　　　①. 通过invocation获取ActionContext对象。 （ActionContext context = invocation.getInvocationContext()）
　　　②. 再通过ActionContext对象获取HttpServletRequest对象。

（HttpServletRequest request  = (HttpServletRequest)context.get(StrutsStatics.HTTP_REQUEST)）

　　　③. 获取请求的URI；并把该URI截取到访问的相对路径，可以通过这个来进行相应的权限控制。把最后的地址保存为uri;

　　　　  如： /ElectiveSystem/admin/admin_login.action -->/admin/admin_login.action
　　　④. 判断uri。
五、具体代码实现：

PowerFilter：

    @Override

					public

					void doFilter(ServletRequest req, ServletResponse resp,

            FilterChain chain) throws IOException, ServletException {

        HttpServletRequest request = (HttpServletRequest) req;

        HttpServletResponse response = (HttpServletResponse) resp;

					//取得根目录的绝对路径

        String currentURL = request.getRequestURI();

//        System.out.println("当前请求的路径: " + currentURL);

        //截取到访问的相对路径，可以通过这个来进行相应的权限控制

        currentURL =currentURL.substring(currentURL.indexOf("/", 1), currentURL.length());

//        System.out.println("当前请求的路径: " + currentURL);

				if("/login.jsp".equals(currentURL)||"/login.jsp"==currentURL) {

					//所有人都能请求到的URI，放行

            chain.doFilter(request, response);

        } else {    //下面是判断是否有session，也就是用户是否已登录状态；

            HttpSession session = request.getSession();

            Object obj = session.getAttribute("user");

					if(obj == null) {

					//System.out.println("URI:" + currentURL + ">>>>访问被拒绝！");

                response.sendRedirect("/ElectiveSystem/login.jsp");

            } else {

                chain.doFilter(request, response);

            }

        }

    }

PowerInterceptor：

    @Override

					public String intercept(ActionInvocation invocation) throws Exception {

        ActionContext context = invocation.getInvocationContext();

					//通过ActionContext来获取httpRequest

        HttpServletRequest request = (HttpServletRequest)context.get(StrutsStatics.HTTP_REQUEST);

					//也可以通过ServletActionContext来获取httpRequest

        //HttpServletRequest request = ServletActionContext.getRequest();

        //取得根目录的绝对路径

        String currentURL = request.getRequestURI();

					//截取到访问的相对路径，可以通过这个来进行相应的权限控制

//      System.out.println("当前请求的路径: " + currentURL); // 如：  /ElectiveSystem/admin/admin_login.action

        String targetURL = currentURL.substring(currentURL.indexOf("/", 1), currentURL.length());

//      System.out.println("当前请求的路径: " + currentURL); //如：  /admin/admin_login.action

				if("/admin/admin_login.action".equals(targetURL)||"/stu/stu_login.action".equals(targetURL)||"/th/th_login.action".equals(targetURL)){

					//执行方法，获取返回值

            String result = invocation.invoke();

					//System.out.println(result);

				return result;

        }else{

					//通过ActionContext获取session的信息。

            Object obj = context.getSession().get("user");

					//获取容器里面的user值，如果存在说明该用户已经登录，让他执行操作，如果未登录让他进行登录

				if(obj!=null){

					return invocation.invoke();

            }

        }

					return "input";

    }