過濾器控制許可權

㈠ filter的使用 java 過濾器的幾種使用方法

過濾器來

過濾器是處於客戶端自與伺服器資源文件之間的一道過濾網，在訪問資源文件之前，通過一系列的過濾器對請求進行修改、判斷等，把不符合規則的請求在中途攔截或修改。也可以對響應進行過濾，攔截或修改響應。

過濾器一般用於登錄許可權驗證、資源訪問許可權控制、敏感詞彙過濾、字元編碼轉換等等操作，便於代碼重用，不必每個servlet中還要進行相應的操作。

㈡ Spring Security實現登錄認證和許可權控制

常見的安全管理框架包括Shiro、Spring Security，Shiro輕量級，但Spring Security易於Spring Cloud整合。Spring Security除了認證和授權兩個核心功能外，對常見的網路攻擊也提供了防禦策略。

Spring Security中，認證、授權等功能都是基於過濾器來完成的。這些過濾器按照既定的優先順序排序，最終形成一個過濾器鏈。默認過濾器鏈並不是直接放在Web項目的原生過濾器鏈中，而是通過一個FilterChainProxy來統一管理。

基本組件：AuthenticationManager、ProviderManager、AuthenticationProvider、

可以同時存在多個ProviderManager，即多種認證方式。實際執行認證方法的類是AuthenticationProvider，UserDetailsService的loadUserByUserName方法載入用戶信息，用戶信息會被存儲到SecurityContextHolder中，在進行許可權控制時可以在上下文中獲取用戶擁有的許可權。

參考AbstractSecurityInterceptor的源碼，SecurityMetadataSource載入所有的許可權到內存，AccessDecisionManager決策用戶是否有訪問許可權。

SecurityBuilder build方法構建過濾器鏈

SecurityBuilder 的實現類HttpSecurity的主要作用是用來構建一條過濾器鏈，也就是構建一個DefaultSecurityFilterChain對象。一個DefaultSecurityFilterChain對象包含一個路徑匹配器和多個Spring Security過濾器，HttpSecurity中通過收集各種各樣的xxxConfigurer， 將Spring Security過濾器對應的配置類收集起來，並保存到父類 的configures變數中，在後續的構建過程中，再將這些xxxConfigurer構建為具體的Spring Security過濾器，同時添加到HttpSecurity的filters對象中。FilterChainProxy統一管理執行這些過濾器。

相比於HttpSecurity，WebSecurity是在一個更大的層面上去構建過濾器。一個HttpSecurity對象可以構建一個過濾器鏈， 也就是一個 DefaultSecurityFilterChain對象，而一個項目中可以存在多個HttpSecurity對象，也就可以構建多個DefaultSecurityFilterChain過濾器鏈。WebSecurity負責將 HttpSecurity所構建的DefaultSecurityFilterChain對象（可能有多個），以及其他一些需要忽略的請求，再次重新構建為一個 FilterChainProxy對象，同時添加上HTTP防火牆。

參考 《深入淺出Spring Security》

㈢ Java項目怎麼控制許可權啊

用過濾器實現 ..需要進行web.xml的手工配置,
步驟一般是建一個過濾器,在doFilter這個方法里寫驗證session 中用戶的許可權,如果不符,則不能進入你所配置訪問的文件夾內所有的JSP頁面了..它便會自動重定向到你的指定頁,比如登入頁等
還有就是配置XML文件了.有多個許可權可以配置多個文件夾

下面是配置的代碼..
<filter>
<filter-name>AdminFilter</filter-name>
<filter-class>group1.filter.AdminFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>AdminFilter</filter-name>
<url-pattern>/affiche/*</url-pattern>
</filter-mapping>

㈣ java怎麼實現對某些需要登錄才能查看的頁面進行攔截不需要登錄的jsp頁面不需要攔截！請高手賜教！

如果是簡單的頁面許可權控制，採用過濾器完全就可以實現了。 實現思路：
1. 設計需要許可權訪問的頁面存放在指定的目錄，如： /A/xxx.JSP 。 不需要登錄訪問的頁面則不存放在A目錄下
2. 自己寫個過濾器， 過濾器攔截的URL為 /A/* (url-mapping的配置）； 過濾器的邏輯是，只有登錄的請求，才forward請求的頁面，沒有登錄的請求則跳轉到登陸頁面

如果是復雜的許可權控制，可以考慮採用spring security 組件來實現，從而節省開發時間

㈤ 什麼是java過濾器! 它的功能和作用是什麼啊

Servlet API 很久以前就已成為企業應用開發的基石，而 Servlet 過濾器則是對 J2EE 家族的相對較新的補充。在 J2EE 探索者 系列文章的最後一篇中，作者 Kyle Gabhart 將向您介紹 Servlet 過濾器體系結構，定義過濾器的許多應用，並指導您完成典型過濾器實現的三個步驟。他還會透露 bean 的一些激動人心的變化，預計剛發布的 Java Servlet 2.4 規范會引入這些變化。

Servlet 過濾器是可插入的 Web 組件，它允許我們實現 Web 應用程序中的預處理和後期處理邏輯。過濾器支持 servlet 和 JSP 頁面的基本請求處理功能，比如日誌記錄、性能、安全、會話處理、XSLT 轉換，等等。 過濾器最初是隨 Java Servlet 2.3 規范發布的，最近定稿的 2.4 規范對它進行了重大升級。在這 J2EE 探索者 系列文章的最後一篇中，我將向您介紹 Servlet 過濾器的基礎知識 —— 比如總體的體系結構設計、實現細節，以及在 J2EE Web 應用程序中的典型應用，還會涉及一些預計最新的 Servlet 規范將會提供的擴展功能。

Servlet 過濾器是什麼？
Servlet 過濾器是小型的 Web 組件，它們攔截請求和響應，以便查看、提取或以某種方式操作正在客戶機和伺服器之間交換的數據。過濾器是通常封裝了一些功能的 Web 組件，這些功能雖然很重要，但是對於處理客戶機請求或發送響應來說不是決定性的。典型的例子包括記錄關於請求和響應的數據、處理安全協議、管理會話屬性， 等等。過濾器提供一種面向對象的模塊化機制，用以將公共任務封裝到可插入的組件中，這些組件通過一個配置文件來聲明，並動態地處理。

Servlet 過濾器中結合了許多元素，從而使得過濾器成為獨特、強大和模塊化的 Web 組件。也就是說，Servlet 過濾器是：

聲明式的：過濾器通過 Web 部署描述符（web.xml）中的 XML 標簽來聲明。這樣允許添加和刪除過濾器，而無需改動任何應用程序代碼或 JSP 頁面。

動態的：過濾器在運行時由 Servlet 容器調用來攔截和處理請求和響應。

靈活的：過濾器在 Web 處理環境中的應用很廣泛，涵蓋諸如日誌記錄和安全等許多最公共的輔助任務。過濾器還是靈活的，因為它們可用於對來自客戶機的直接調用執行預處理和後期處 理，以及處理在防火牆之後的 Web 組件之間調度的請求。最後，可以將過濾器鏈接起來以提供必需的功能。

模塊化的：通過把應用程序處理邏輯封裝到單個類文件中，過濾器從而定義了可容易地從請求/響應鏈中添加或刪除的模塊化單元。

可移植的：與 Java 平台的其他許多方面一樣，Servlet 過濾器是跨平台和跨容器可移植的，從而進一步支持了 Servler 過濾器的模塊化和可重用本質。

可重用的：歸功於過濾器實現類的模塊化設計，以及聲明式的過濾器配置方式，過濾器可以容易地跨越不同的項目和應用程序使用。

透明的：在請求/響應鏈中包括過濾器，這種設計是為了補充（而不是以任何方式替代）servlet 或 JSP 頁面提供的核心處理。因而，過濾器可以根據需要添加或刪除，而不會破壞 servlet 或 JSP 頁面。
所以 Servlet 過濾器是通過一個配置文件來靈活聲明的模塊化可重用組件。過濾器動態地處理傳入的請求和傳出的響應，並且無需修改應用程序代碼就可以透明地添加或刪除它 們。最後，過濾器獨立於任何平台或者 Servlet 容器，從而允許將它們容易地部署到任何相容的 J2EE 環境中。

在接下來的幾小節中，我們將進一步考察 Servlet 過濾器機制的總體設計，以及實現、配置和部署過濾器所涉及的步驟。我們還將探討 Servlet 過濾器的一些實際應用，最後簡要考察一下模型-視圖-控制器（MVC）體系結構中包含的 Servlet 過濾器，從而結束本文的討論。

Servlet 過濾器體系結構
正如其名稱所暗示的，Servlet 過濾器 用於攔截傳入的請求和/或傳出的響應，並監視、修改或以某種方式處理正在通過的數據流。過濾器是自包含、模塊化的組件，可以將它們添加到請求/響應鏈中， 或者在無需影響應用程序中其他 Web 組件的情況下刪除它們。過濾器僅只是改動請求和響應的運行時處理，因而不應該將它們直接嵌入 Web 應用程序框架，除非是通過 Servlet API 中良好定義的標准介面來實現。

Web 資源可以配置為沒有過濾器與之關聯（這是默認情況）、與單個過濾器關聯（這是典型情況），甚至是與一個過濾器鏈相關聯。那麼過濾器究竟做什麼呢？ 像 servlet 一樣，它接受請求並響應對象。然後過濾器會檢查請求對象，並決定將該請求轉發給鏈中的下一個組件，或者中止該請求並直接向客戶機發回一個響應。如果請求被 轉發了，它將被傳遞給鏈中的下一個資源（另一個過濾器、servlet 或 JSP 頁面）。在這個請求設法通過過濾器鏈並被伺服器處理之後，一個響應將以相反的順序通過該鏈發送回去。這樣就給每個過濾器都提供了根據需要處理響應對象的機 會。

當過濾器在 Servlet 2.3 規范中首次引入時，它們只能過濾 Web 客戶機和客戶機所訪問的指定 Web 資源之間的內容。如果該資源然後將請求調度給其他 Web 資源，那就不能向幕後委託的任何請求應用過濾器。2.4 規范消除了這個限制。Servlet 過濾器現在可以應用於 J2EE Web 環境中存在請求和響應對象的任何地方。因此，Servlet 過濾器可以應用在客戶機和 servlet 之間、servlet 和 servlet 或 JSP 頁面之間，以及所包括的每個 JSP 頁面之間。這才是我所稱的強大能力和靈活性！

實現一個 Servlet 過濾器
他們說「好事多磨」。我不知道「他們」指的是誰，或者這句古老的諺語究竟有多真實，但是實現一個 Servlet 過濾器的確要經歷三個步驟。首先要編寫過濾器實現類的程序，然後要把該過濾器添加到 Web 應用程序中（通過在 Web 部署描述符 /web.xml 中聲明它），最後要把過濾器與應用程序一起打包並部署它。我們將詳細研究這其中的每個步驟。

1. 編寫實現類的程序
過濾器 API 包含 3 個簡單的介面（又是數字 3！），它們整潔地嵌套在 javax.servlet 包中。那 3 個介面分別是 Filter、FilterChain 和 FilterConfig。從編程的角度看，過濾器類將實現 Filter 介面，然後使用這個過濾器類中的 FilterChain 和 FilterConfig 介面。該過濾器類的一個引用將傳遞給 FilterChain 對象，以允許過濾器把控制權傳遞給鏈中的下一個資源。FilterConfig 對象將由容器提供給過濾器，以允許訪問該過濾器的初始化數據。

為了與我們的三步模式保持一致，過濾器必須運用三個方法，以便完全實現 Filter 介面：

init()：這個方法在容器實例化過濾器時被調用，它主要設計用於使過濾器為處理做准備。該方法接受一個 FilterConfig 類型的對象作為輸入。

doFilter()：與 servlet 擁有一個 service() 方法（這個方法又調用 doPost() 或者 doGet()）來處理請求一樣，過濾器擁有單個用於處理請求和響應的方法——doFilter()。這個方法接受三個輸入參數：一個 ServletRequest、response 和一個 FilterChain 對象。

destroy()：正如您想像的那樣，這個方法執行任何清理操作，這些操作可能需要在自動垃圾收集之前進行。展示了一個非常簡單的過濾器，它跟蹤滿足一個客戶機的 Web 請求所花的大致時間。

一個過濾器類實現
import javax.servlet.*;
import java.util.*;
import java.io.*;

public class TimeTrackFilter implements Filter {
private FilterConfig filterConfig = null;

public void init(FilterConfig filterConfig)
throws ServletException {

this.filterConfig = filterConfig;
}

public void destroy() {

this.filterConfig = null;
}

public void doFilter( ServletRequest request,
ServletResponse response, FilterChain chain )
throws IOException, ServletException {

Date startTime, endTime;
double totalTime;

startTime = new Date();

// Forward the request to the next resource in the chain
chain.doFilter(request, wrapper);

// -- Process the response -- \\

// Calculate the difference between the start time and end time
endTime = new Date();
totalTime = endTime.getTime() - startTime.getTime();
totalTime = totalTime / 1000; //Convert from milliseconds to seconds

StringWriter sw = new StringWriter();
PrintWriter writer = new PrintWriter(sw);

writer.println();
writer.println("===============");
writer.println("Total elapsed time is: " + totalTime + " seconds." );
writer.println("===============");

// Log the resulting string
writer.flush();
filterConfig.getServletContext().
log(sw.getBuffer().toString());

}
}
復制代碼
這個過濾器的生命周期很簡單，不管怎樣，我們還是研究一下它吧：

初始化
當容器第一次載入該過濾器時，init() 方法將被調用。該類在這個方法中包含了一個指向 FilterConfig 對象的引用。我們的過濾器實際上並不需要這樣做，因為其中沒有使用初始化信息，這里只是出於演示的目的。

過濾
過濾器的大多數時間都消耗在這里。doFilter() 方法被容器調用，同時傳入分別指向這個請求/響應鏈中的 ServletRequest、ServletResponse 和 FilterChain 對象的引用。然後過濾器就有機會處理請求，將處理任務傳遞給鏈中的下一個資源（通過調用 FilterChain 對象引用上的 doFilter()方法），之後在處理控制權返回該過濾器時處理響應。

析構
容器緊跟在垃圾收集之前調用 destroy() 方法，以便能夠執行任何必需的清理代碼。

2. 配置 Servlet 過濾器
過濾器通過 web.xml 文件中的兩個 XML 標簽來聲明。<filter> 標簽定義過濾器的名稱，並且聲明實現類和 init() 參數。<filter-mapping> 標簽將過濾器與 servlet 或 URL 模式相關聯。

摘自一個 web.xml 文件，它展示了如何聲明過濾器的包含關系：

在 web.xml 中聲明一個過濾器
<filter>
<filter-name>Page Request Timer</filter-name>
<filter-class>TimeTrackFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>Page Request Timer</filter-name>
<servlet-name>Main Servlet</servlet-name>
</filter-mapping>
<servlet>
<servlet-name>Main Servlet</servlet-name>
<servlet-class>MainServlet</servlet-class>
</servlet>
<servlet-mapping>
<servlet-name>Main Servlet</servlet-name>
<url-pattern>/*</url-pattern>
</servlet-mapping>
復制代碼
上 面的代碼示例聲明了一個過濾器（"Page Request Timer"），並把它映射到一個 servlet（"Main Servlet"）。然後為該 servlet 定義了一個映射，以便把每個請求（由通配符指定）都發送到該 servlet。這是控制器組件的典型映射聲明。您應該注意這些聲明的順序，因為千萬不能背離這些元素的順序。

3. 部署 Servlet 過濾器
事實上，與 Web 應用程序一起部署過濾器絕對不涉及任何復雜性。只需把過濾器類和其他 Web 組件類包括在一起，並像您通常所做的那樣把 web.xml 文件（連同過濾器定義和過濾器映射聲明）放進 Web 應用程序結構中，servlet 容器將處理之後的其他所有事情。

過濾器的許多應用
您在 J2EE Web 應用程序中利用過濾器的能力，僅受到您自己的創造性和應用程序設計本領的限制。在適合使用裝飾過濾器模式或者攔截器模式的任何地方，您都可以使用過濾器。過濾器的一些最普遍的應用如下：

載入：對於到達系統的所有請求，過濾器收集諸如瀏覽器類型、一天中的時間、轉發 URL 等相關信息，並對它們進行日誌記錄。

性能：過濾器在內容通過線路傳來並在到達 servlet 和 JSP 頁面之前解壓縮該內容，然後再取得響應內容，並在將響應內容發送到客戶機機器之前將它轉換為壓縮格式。

安全：過濾器處理身份驗證令牌的管理，並適當地限制安全資源的訪問，提示用戶進行身份驗證和/或將他們指引到第三方進行身份驗證。過濾器甚至能夠管理訪問 控制列表（Access Control List，ACL），以便除了身份驗證之外還提供授權機制。將安全邏輯放在過濾器中，而不是放在 servlet 或者 JSP 頁面中，這樣提供了巨大的靈活性。在開發期間，過濾器可以關閉（在 web.xml 文件中注釋掉）。在生產應用中，過濾器又可以再次啟用。此外還可以添加多個過濾器，以便根據需要提高安全、加密和不可拒絕的服務的等級。

會話處理：將 servlet 和 JSP 頁面與會話處理代碼混雜在一起可能會帶來相當大的麻煩。使用過濾器來管理會話可以讓 Web 頁面集中精力考慮內容顯示和委託處理，而不必擔心會話管理的細節。

XSLT 轉換：不管是使用移動客戶端還是使用基於 XML 的 Web 服務，無需把邏輯嵌入應用程序就在 XML 語法之間執行轉換的能力都絕對是無價的。

使過濾器適應 MVC 體系結構
模型-視圖-控制器（Model-View-Controller，MVC）體系結構是一個有效的設計，它現在已作為最重要的設計方法學，整合到了諸如 Jakarta Struts 和 Turbine 等大多數流行的 Web 應用框架中。過濾器旨在擴充 MVC 體系結構的請求/響應處理流。不管請求/響應發生在客戶機和伺服器之間，還是發生在伺服器上的其他組件之間，過濾器在處理流中的應用都是相同的。從 MVC 的觀點看，調度器組件（它或者包括在控制器組件中，或者配合控制器組件工作）把請求轉發給適當的應用程序組件以進行處理。這使得控制器層成為包括 Servlet 過濾器的最佳位置。通過把過濾器放在控制器組件本身的前面，過濾器可以應用於所有請求，或者通過將它放在控制器/調度器與模型和控制器之間，它可以應用於 單獨的 Web 組件。

MVC 體系結構廣為傳播，並具有良好的文檔。請通過 參考資料 中的鏈接了解關於 MVC 和 MVC 體系結構中的 Servlet 實現的更多信息。

結束語
雖然過濾器才出現幾年時間，但它們本身已作為一個關鍵組件嵌入到了所有敏捷的、面向對象的 J2EE Web 應用程序中。本文向您介紹了 Servlet 過濾器的使用。本文討論了過濾器的高級設計，比較了當前規范（2.4）和以前（2.3）的模型，講述了實現過濾器所涉及的精確步驟，以及如何在 Web 應用程序中聲明過濾器，然後與應用程序一起部署它。本文還闡述了 Servlet 過濾器的一些最普遍應用，並提到了過濾器如何適應傳統的 MVC 體系結構。

這是 J2EE 探索者 系列的最後一篇文章。我們在年初通過粗略研究 Enterprise JavaBean 組件來開始我們的旅程，並提到了何時使用這些組件才真正有意義，以及何時這些組件才會變得大材小用的問題。然後我們將目光轉向了 Web 層，繪制了一條通過 Servlet、JSP 頁面、JavaBean 技術以及 Java Servlet API 中的無數選擇和功能的路徑。在這個系列文章中與您一起艱苦跋涉真是一件快樂的事情。我享受著編寫這個系列文章的樂趣，並且我從大家的反饋中知道，這對您也 是一個很有價值的過程。
Java 過濾器的作用

㈥ 許可權管理中，怎樣過濾顯示欄位

1、用過濾器filter 2、在session中存放用戶信息，然後判斷session是否存在和其中保存的許可權是否滿足 不滿足則跳轉，

㈦ vivox6手機輸入了ip過濾許可權為什還是連不上wifi

手機無法連接WiF有以下幾種情況：
1、通過手機設置--WLAN--需要連接的網路--忘記密碼--輸入正確的密碼重試（輸入密碼時勾選「顯示密碼」選項，可以看到您輸入的密碼）。
2、如密碼正確，請檢查連接手機的WiFi信號是否穩定，信號弱或者不穩定會導致長時間無法連接，請連接信號穩定的WiFi。
3、路由器伺服器設置限制，如設置了MAC地址或IP地址過濾許可權及限制連接時間和個數等，這些情況可聯系路由器管理員處理。
4、如果以前可以正常連接的，請重啟路由器連接試試。
5、對比其他手機是否可以正常連接同一個WiFi上網，如果無法連接，則可能是路由器的設置或者硬體故障。
6、如其他手機正常連接，請備份手機資料，將手機還原所有設置後連接WiFi（進入設置--更多設置--恢復出廠設置--還原所有設置）。
若問題依然存在，請帶上您的手機、發票和保修卡，前往最近的vivo售後服務中心檢測。

㈧ 一個網站的許可權管理，用過濾器還是攔截器更好

Struts2項目通過使用Struts的if標簽進行了session判斷，使得未登錄的用戶不能看到頁面，但是這 種現僅僅在view層進行，如果未登錄用戶直接在地址欄輸入登錄用戶才能訪問的地址，那麼相應的action還是會執行，僅僅是不讓用戶看到罷了。這樣顯然是不好的，所以研究了一下Struts2的許可權驗證。
許可權最核心的是業務邏輯，具體用什麼技術來實現就簡單得多。
通常：用戶與角色建立多對多關系，角色與業務模塊構成多對多關系，許可權管理在後者關系中。
對許可權的攔截，如果系統請求量大，可以用Struts2攔截器來做，請求量小可以放在filter中。但一般單級攔截還不夠，要做到更細粒度的許可權控制，還需要多級攔截。

不大理解filter（過濾器）和interceptor（攔截器）的區別，遂google之。博文中有介紹：
1、攔截器是基於java的反射機制的，而過濾器是基於函數回調 。
2、過濾器依賴與servlet容器，而攔截器不依賴與servlet容器 。
3、攔截器只能對action請求起作用，而過濾器則可以對幾乎所有的請求 起作用 。
4、攔截器可以訪問action上下文、值棧里的對象，而過濾器不能 。
5、在action的生命周期中，攔截器可以多次被調用，而過濾器只能在容 器初始化時被調用一次 。

㈨ struts2 攔截器和過濾器的作用是什麼

攔截器的工作原理：
當接收到一個httprequest ,
a) 當外部的httpservletrequest到來時
b) 初始到了servlet容器 傳遞給一個標準的過濾器鏈
c) FilterDispatecher會去查找相應的ActionMapper，如果找到了相應的ActionMapper它將會將控制許可權交給ActionProxy
d) ActionProxy將會通過ConfigurationManager來查找配置struts.xml
i. 下一步將會 通過ActionInvocation來負責命令模式的實現（包括調用一些攔截Interceptor框架在調用action之前）
ii. Interceptor做一些攔截或者初始的工作
e) 一旦action返回，會查找相應的Result
f) Result類型可以是 jsp或者freeMark 等
g) 這些組件和ActionMapper一起返回給請求的url（注意攔截器的執行順序）
h) 響應的返回是通過我們在web.xml中配置的過濾器
i) 如果ActionContextCleanUp是當前使用的，則FilterDispatecher將不會清理sreadlocal ActionContext;如果ActionContextCleanUp不使用，則將會去清理sreadlocals。
攔截器實現原理：

1、攔截器是基於java反射機制的，而過濾器是基於函數回調的。
2、過濾器依賴於servlet容器，而攔截器不依賴於servlet容器。
3、攔截器只能對Action請求起作用，而過濾器則可以對幾乎所有請求起作用。
4、攔截器可以訪問Action上下文、值棧里的對象，而過濾器不能。
5、在Action的生命周期中，攔截器可以多次調用，而過濾器只能在容器初始化時被調用一次。

過濾器的作用：
(1)執行Actions
過濾器通過ActionMapper對象，來判斷是否應該被映射到Action.如果mapper對象指示他應該被映射，過濾鏈將會被終止，然後Action被調用。這一點非常重要，如果同時使用SiteMesh filter，則SiteMesh filter應該放到該過濾器前，否則Action的輸出將不會被裝飾。
(2)清除ActionContext
過濾器為了確保內存溢出，會自動的清除ActionContext。這可能會存在一些問題，在和其它的框架集成時，例如SiteMesh。ActionContextCleanUp提供了怎麼處理這些問題的一些信息。
(3)維護靜態內容
過濾器也會維護在Struts2中使用的一些公共的靜態的內容，例如JavaScript文件，CSS文件等。搜索/struts/*范圍內的請求，然後將/struts/後面的值映射到一些struts的公共包中，也可以在你的類路徑中搜索。默認情況下會去查找以下包：org.apache.struts2.static.template。這樣你只用請求/struts/xhtml/styles.css，XHTML UI主題默認的樣式表將會被返回。同樣，AJAX UI組件需要的JavaScript文件，也可以在org.apache.struts2.static包中被找到。如果你想加入其它被搜索的包，在web.xml中設置filter時，通過給"actionPackages"初始參數一個逗號隔開的包列表值來設定。

㈩ java web的用戶角色許可權管理是如何實現的

用戶許可權管理一般是用servlet的過濾器來實現的。
過濾器會過濾訪問相關資源（這個是在web.xml裡面配置的）的請求。
如果樓主要實現防止未登錄用戶訪問相關資源。只要在過濾器里判斷該用戶是否登錄，也就是樓主所說的session中的用戶狀態屬性。是登陸的則放行，否則拒絕。
過濾器的用法就不在這里寫了，網上很多的。
不知能否解決樓主的問題呢？