track

[luz/luz.git] / src / com / lavans / luz2 / http / session / AccessFilter.java

/* $Id: AccessFilter.java 411 2011-07-28 23:05:04Z dobashi $\r
 * created: 2006/01/20\r
 */\r
package com.lavans.luz2.http.session;\r
\r
import java.io.IOException;\r
\r
import javax.servlet.Filter;\r
import javax.servlet.FilterChain;\r
import javax.servlet.FilterConfig;\r
import javax.servlet.ServletException;\r
import javax.servlet.ServletRequest;\r
import javax.servlet.ServletResponse;\r
import javax.servlet.http.HttpServletRequest;\r
import javax.servlet.http.HttpSession;\r
import javax.xml.xpath.XPathExpressionException;\r
\r
import com.lavans.luz2.util.Config;\r
\r
\r
/**\r
 * 連続アクセスを制御するフィルター。\r
 * セッションIDまたは口座番号をキーとしてアクセス回数をカウントする。\r
 * 1秒以内に規定回数以上のアクセスがあったら、エラーとする。\r
 *\r
 * @author dobashi\r
 */\r
public class AccessFilter implements Filter {\r
        /** 設定ファイル読込クラス */\r
        private static Config config = Config.getInstance();\r
\r
    /** オーバーフローがあった場合のフラグ */\r
    public static final String ACCESS_FLG = "access_flg";\r
\r
    /**  */\r
    public static final String ACCESSDATA_KEY = "accessdata_key";\r
\r
        /** アクセスのインターバル(ミリ秒) */\r
        private static final long ACCESS_INTERVAL = 1000;\r
\r
        /** アクセスの可能回数 */\r
        private static int maxAccessCount = 10;\r
\r
        static{\r
                String accControl = null;\r
                try {\r
                        accControl = config.getNodeValue("/luz/http/access_control");\r
                } catch (XPathExpressionException e) {\r
                }\r
                if(!accControl.equals("")){\r
                        // 未指定ならデフォルトの10とする。\r
                        maxAccessCount = Integer.parseInt(accControl);\r
                }\r
        }\r
\r
        /**\r
         * 1秒あたりのアクセス回数をチェックする。\r
         * 個別のActionクラスでアクセス解除できるように、ここではセッションにフラグを\r
         * 立てるだけで例外はThrowしない。ここで例外をThrowすると、画像の一覧表示などが\r
         * できなくなる。\r
         */\r
        public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {\r
            // セッション管理ロジック\r
            HttpSession session = ((HttpServletRequest)req).getSession();\r
\r
            // 0以下ならアクセスチェック無し\r
            if(maxAccessCount<1){\r
                        chain.doFilter(req, res);\r
                        return;\r
            }\r
\r
            // セッションIDをキーにアクセス数を取得する。\r
                AccessData data = (AccessData)session.getAttribute(ACCESSDATA_KEY);\r
                if(data==null){\r
                        data = new AccessData(maxAccessCount);\r
                        session.setAttribute(ACCESSDATA_KEY, data);\r
                }\r
            // 毎回時刻比較を行わなくて済むように、maxのカウント数を入れておいて\r
            // カウントが0になったときだけ比較するようにする。\r
\r
        // アクセス可能回数をチェック\r
        if(data.getCount()>0){\r
                    // アクセス可能回数を減らす\r
                data.decreaseCount();\r
        }else{\r
                // カウントが0になった\r
            // 前回のアクセス時刻、現在時刻を取得\r
            long now = System.currentTimeMillis();\r
                    // 現在時刻と10回前のアクセス時刻の差をチェック\r
                    if((now - data.getLastAccessTime()) < ACCESS_INTERVAL){\r
                        // 1秒以内ならエラーフラグをセット\r
                        session.setAttribute(ACCESS_FLG, req.getRemoteAddr());\r
//                      throw new AccessOverFlowException("Too many access from["+ req.getRemoteAddr() +":"+ session.getId() +"]");\r
                    }else{\r
                        // 1秒以上たっているなら初期化\r
                        data.init(maxAccessCount);\r
                        session.removeAttribute(ACCESS_FLG);\r
                    }\r
        }\r
\r
                chain.doFilter(req, res);\r
        }\r
\r
\r
        /* (非 Javadoc)\r
         * @see javax.servlet.Filter#init(javax.servlet.FilterConfig)\r
         */\r
        public void init(FilterConfig arg0) throws ServletException {\r
        }\r
\r
        /* (非 Javadoc)\r
         * @see javax.servlet.Filter#destroy()\r
         */\r
        public void destroy() {\r
        }\r
\r
}\r
\r