Java会话filter与用户和管理员登录

在我的Web应用程序中，我有2个主要部分

1. 用户
2. 管理员

我正在使用java会话filter来检查用户会话并允许访问网站的特定部分。 因此，用户只能访问用户页面部分，管理员可以访问管理部分。

用户的会话filter已经实现，并且工作正常。 它检查用户（来自数据库的用户名和密码 – mysql），并允许访问受限制的子文件夹，其中我有xhtml页面。

如果我希望filter检查管理员部分身份validation（管理员用户名和密码存储在数据库中）并允许他们根据用户级别进行访问。

我需要再创建1个filter – 管理员吗？

目前这是我对用户的实现：

package com.shadibandhan.ControllerLayer; import java.io.IOException; import java.util.ArrayList; import java.util.StringTokenizer; import javax.servlet.*; import javax.servlet.http.HttpServlet; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import javax.servlet.http.HttpSession; import javax.servlet.http.Cookie; /** * * @author MUDASSIR */ public class SessionFilter implements Filter { private ArrayList urlList; private String toGoTo = null; private boolean userCookieExists = false; @Override public void init(FilterConfig config) throws ServletException { System.out.println("****************************************"); System.out.println("***Session Filter Servlet initialized***"); System.out.println("****************************************"); String urls = config.getInitParameter("avoid-urls"); System.out.println("The urls to avoid are = " + urls); StringTokenizer token = new StringTokenizer(urls, ","); urlList = new ArrayList(); while (token.hasMoreTokens()) { urlList.add(token.nextToken()); } } @Override public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException { System.out.println("This is the doFilter method"); HttpServletRequest request = (HttpServletRequest) req; HttpServletResponse response = (HttpServletResponse) res; String contextRelativeURI = null; String contextRelativeURIForAdmin = null; contextRelativeURI = request.getRequestURI().substring(request.getContextPath().length()); String contextPath = request.getContextPath(); String remoteHost = request.getRemoteHost(); String url = contextPath + contextRelativeURI; System.out.println("-----------------> Servlet path is = " + contextRelativeURI); System.out.println("-----------------> Context path is " + contextPath); System.out.println("-----------------> URL is " + url); System.out.println("-----------------> Remote Host is " + remoteHost); boolean allowedRequest = false; if (urlList.contains(contextRelativeURI)) { allowedRequest = true; } if (!allowedRequest) { HttpSession session = request.getSession(false); if (null == session) { System.out.println("Session is not present"); response.sendRedirect(contextPath); return; } if (null != session) { System.out.println("Session is present"); System.out.println("\nSession no. is = " + session.getId()); if (session.getAttribute("logged-in") == "true") { System.out.println("Session logged-in attribute is true, " + session.getAttribute("sessionUsername") + " is logged in."); RequestDispatcher dispatcher = request.getRequestDispatcher(contextRelativeURI); dispatcher.forward(request, response); return; } else { System.out.println("Session logged-in attribute is not true"); response.sendRedirect(contextPath); return; } } } chain.doFilter(req, res); } @Override public void destroy() { } } 

这是我对filter的web.xml映射

  SessionFilter  com.shadibandhan.ControllerLayer.SessionFilter   avoid-urls     SessionFilter /com.shadibandhan.Restricted/*  

现在，我还将管理页面放在受限文件夹中吗？ 或者我把它们放在另一个单独的文件夹中 我还看到了这里提到的servlet身份validation方法，该方法建议更改tomcat-users.xml文件，但我在db中有我的用户名和密码。

请建议推荐的方法。

   AdminPages  accessible by authorised users  /admin/* GET   These are the roles who have access ADMIN   

• 如何创建嵌套的json作为HttpPost实体
• 使用Jscape FTP获取以A或B结尾的文件列表

• 调用超类方法而不是子类方法
• 可以减少Spring Boot中的堆栈跟踪吗？
• Applet类加载器无法在applet的jar中找到类
• 在jar包中定位资源
• 在NetBeans中编译任何JavaFX项目都会返回Unsupported major.minor版本52.0
• 我如何迭代列表以在java中每次获得10个元素
• Java：使用TCP套接字的简单http GET请求
• 管理分布在多台计算机上的大量日志文件
• 为什么Java中的哈希表（Hashtable）中的’t’没有大写