从查询串中分离请求参数——acegi security中SecurityContextHolderA

最新推荐文章于 2022-10-25 18:18:52 发布
原创 最新推荐文章于 2022-10-25 18:18:52 发布 · 216 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Security #Acegi #Servlet #Tomcat #应用服务器

本文探讨了在使用特定过滤器组合时,如何解决转发请求中查询字符串参数丢失的问题,并提供了一个实用的解决方案。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

大多数情况下我们是不需要单独处理HttpServletRequest查询串的,因为应用服务器(比如Tomcat)已经先期处理过了,已经将查询参数分离了出来,可以与post参数一样使用getParameter获得,但是在组合使用某些过滤器(Filter)的情况下,当处理转发(Forword)请求时,有可能已经错过了应用服务器处理查询串的时机,从而导致使用getParameter时得不到查询串中的参数。

例如同时使用urlrewrite和acegi security,并且为了统一管理请求资源,配置为先执行acegi security,而且acegi security也只过滤REQUEST请求,不处理FORWARD(2.4标准)请求。这样在urlrewrite重写url时中加入的查询参数(通常我们会把/users/user1.html重写为/user.do?username=user1),就可能丢失。

未登录时请求某一受acegi security保护的资源时,acegi security将如下处理:


通过SecurityContextHolderAwareRequestFilter保存当前的请求到SavedRequest,并存入Session,然后转到登录页;
成功登录后系统自动重定向到先前请求的资源,这时acegi security将再次处理重定向后的请求;
为了将原来请求的参数传递下去,acegi security将从Session中取出SavedRequest包装当前Request的getParameter及其他与上次请求相关的方法。


这样调用getParameter等方法只能返回SavedRequest中的内容,而不会理会以后再增加的参数。这似乎是acegi security的一个bug,但从安全角度考虑又是合理的。

由于acegi security配置为只处理REQUEST(2.3标准以及2.4标准的默认Filter配置),而重写url时为了减少请求次数以及隐藏内部处理页,一般是使用forward方式的,这样urlrewrite是在转发请求时加入查询串,此后的转发acegi security不会再去处理,当然此后再用getParameter将得不到增加的参数,因为应用服务器处理后的参数是加在了未经acegi security包装的Request里。事实上,此后所有通过forward方式加入的参数都将取不到。

而此后要得到增加的参数,就要分析查询串了。 当然,如果不考虑编码问题(例如查询串中没有编码过的字符,例如查询串只是简单的不包含空格的英文字符),似乎分析起来很简单(indexOf方法基本就能解决),但要做到通用就要费点功夫了。下面的代码参考了tomcat处理查询串的方式。

package com.aladdin.webapp.util;

import java.io.UnsupportedEncodingException;
import java.util.ArrayList;
import java.util.HashMap;
import java.util.List;
import java.util.Map;

import javax.servlet.http.HttpServletRequest;

public class RequestUtil {

public static void mergeQueryParameters(HttpServletRequest request,
Map parameters) {

Map queryParameters = new HashMap();

parseQueryParameters(request, queryParameters);

for (Object obj : queryParameters.entrySet()) {
Map.Entry entry = (Map.Entry) obj;
Object value = parameters.get(entry.getKey());
if (value == null) {
parameters.put(entry.getKey(), entry.getValue());
} else {
parameters.put(entry.getKey(), mergeValues(value, entry
.getValue()));
}
}
}

public static void parseQueryParameters(HttpServletRequest request,
Map parameters) {
String encoding = request.getCharacterEncoding();
if (encoding == null || "".equals(encoding)) {
encoding = "UTF-8";
}
try {
parseQueryParameters(parameters, request.getQueryString(), encoding);
} catch (UnsupportedEncodingException e) {

}
}

public static void parseQueryParameters(Map map, String queryString,
String encoding) throws UnsupportedEncodingException {
if (queryString != null && queryString.length() > 0) {
byte[] data = null;
try {
if (encoding == null) {
data = queryString.getBytes();
} else {
data = queryString.getBytes(encoding);
}
} catch (UnsupportedEncodingException uee) {
}
parseParameters(map, data, encoding);
}
}

public static void parseParameters(Map map, byte[] data, String encoding)
throws UnsupportedEncodingException {
if (data != null && data.length > 0) {
int ix = 0;
int ox = 0;
String key = null;
String value = null;
while (ix < data.length) {
byte c = data[ix++];
switch ((char) c) {
case '&':
value = new String(data, 0, ox, encoding);
if (key != null) {
putMapEntry(map, key, value);
key = null;
}
ox = 0;
break;
case '=':
if (key == null) {
key = new String(data, 0, ox, encoding);
ox = 0;
} else {
data[ox++] = c;
}
break;
case '+':
data[ox++] = (byte) ' ';
break;
case '%':
data[ox++] = (byte) ((convertHexDigit(data[ix++]) << 4) + convertHexDigit(data[ix++]));
break;
default:
data[ox++] = c;
}
}

if (key != null) {
value = new String(data, 0, ox, encoding);
putMapEntry(map, key, value);
}
}
}

private static byte convertHexDigit(byte b) {
if (b >= '0' && b <= '9') {
return (byte) (b - '0');
}
if (b >= 'a' && b <= 'f') {
return (byte) (b - 'a' + 10);
}
if (b >= 'A' && b <= 'F') {
return (byte) (b - 'A' + 10);
}
return 0;
}

private static void putMapEntry(Map map, String name, String value) {
String[] newValues = null;
String[] oldValues = (String[]) map.get(name);
if (oldValues == null) {
newValues = new String[1];
newValues[0] = value;
} else {
newValues = new String[oldValues.length + 1];
System.arraycopy(oldValues, 0, newValues, 0, oldValues.length);
newValues[oldValues.length] = value;
}
map.put(name, newValues);
}

private static String[] mergeValues(Object values1, Object values2) {
List list = new ArrayList();
addStringValues(list, values1);
addStringValues(list, values2);
String values[] = new String[list.size()];
return (String[]) list.toArray(values);
}

private static void addStringValues(List list, Object values) {
if (values != null) {
if (values instanceof String) {
list.add(values);
} else if (values instanceof String[]) {
for (String value : (String[]) values) {
list.add(value);
}
} else {
list.add(values.toString());
}
}
}

}


当然可用如下的Request包装类将查询参数合并到parameterMap中


package com.aladdin.webapp.wrapper;

import java.util.Enumeration;
import java.util.HashMap;
import java.util.Map;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

import org.acegisecurity.ui.savedrequest.Enumerator;

import com.aladdin.webapp.util.RequestUtil;

public class QueryParameterRequestWrapper extends HttpServletRequestWrapper {

private Map parameters;

private String preQueryString;

private HttpServletRequest request;

public QueryParameterRequestWrapper(HttpServletRequest request) {
super(request);
this.request = request;
}

@Override
public String getParameter(String name) {
parseParameters();
Object value = parameters.get(name);
if (value == null) {
return null;
}
if (value instanceof String[]) {
return ((String[]) value)[0];
}
if (value instanceof String) {
return (String) value;
}
return value.toString();
}

@Override
public Map getParameterMap() {
parseParameters();
return parameters;
}

@Override
public Enumeration getParameterNames() {
parseParameters();
return new Enumerator(parameters.keySet());
}

@Override
public String[] getParameterValues(String name) {
parseParameters();
Object value = parameters.get(name);
if (value == null) {
return null;
}
if (value instanceof String[]) {
return (String[]) value;
}
String values[] = new String[1];
if (value instanceof String) {
values[0] = (String) value;
} else {
values[0] = value.toString();
}
return values;
}

private void parseParameters() {
String curQueryString = request.getQueryString();
if ((preQueryString != null && !preQueryString.equals(curQueryString))
|| (curQueryString != null && !curQueryString
.equals(preQueryString))) {
parameters = new HashMap(request.getParameterMap());
RequestUtil.mergeQueryParameters(request, parameters);
preQueryString = curQueryString;
} else if(preQueryString == null && curQueryString == null){
parameters = request.getParameterMap();
}
}

}


用如下的过滤器将其加到处理流程中


package com.aladdin.webapp.filter;

import java.io.IOException;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.web.filter.OncePerRequestFilter;

import com.aladdin.webapp.wrapper.QueryParameterRequestWrapper;

public class QueryParameterFilter extends OncePerRequestFilter {

public void doFilterInternal(HttpServletRequest request,
HttpServletResponse response, FilterChain chain)
throws IOException, ServletException {

chain.doFilter(new QueryParameterRequestWrapper(request), response);
}
}
java multipartrequestwrapper,如何从Servlet3SecurityContextHolderAwareRequestWrapper获取MultipartRequest...
weixin_30716611的博客
03-01 1357
I'm using Grails 2.4.3 and I have a with method set to post, but I'm not getting a MutlipartRequest in my controller action. Instead I'm getting a Servlet3SecurityContextHolderAwareRequestWrapper wh...
acegisecurity内所有jar包
03-19
包含acegi-security-1.0.7.jar,acegi-security-1.0.7-sources.jar,acegi-security-cas-1.0.7.jar,acegi-security-cas-1.0.7-sources.jar,acegi-security-catalina-1.0.7.jar,acegi-security-catalina-1.0.7-...
Acegi(八): securityContextHolderAwareRequestFilter
rmn190
03-01 205
  上篇 中我们说了下 LogoutFilter的配置, 这篇里接着看另一个常见的配置SecurityContextHolderAwareRequestFilter. 下面先看怎么把它配置到Acegi里.     应该说对 securityContextHolderAwareRequestFilter 的配置要比LogoutFilter的更简单些. 有以下两步:          Ste...
切割字符用于分离query传参中的地址与参数
zc010107的博客
09-18 196
切割字符用于分离query传参中的地址与参数
SpringSecurity 笔记
爱折腾的技术人
10-25 2992
SpringSecurity 笔记...
若依RuoYi-Vue代码学习一---若依如何基于OncePerRequestFilter【Spring Security的过滤器】验证的token与用户信息
weixin_46037781的博客
11-25 6299
文章目录一、通过token获取用户信息二、验证token过期 一、通过token获取用户信息 代码位置:com.ruoyi.framework.security.filter.JwtAuthenticationTokenFilter 直接上代码: /** * token过滤器 验证token有效性 * 每个请求过滤器一次OncePerRequestFilter * @author ruoyi */ @Component public class JwtAuthenticationTokenFil
acegisecurity-1.0.7.zip_.acegisecuri_acegi security 1.0.7_acegi
09-24
在本文中,我们将深入探讨Acegi Security 1.0.7版本中的核心概念和关键特性。 首先,我们要了解Acegi Security的核心目标是权限管理。在企业级应用中,确保用户访问权限的安全性和可控性至关重要。Acegi Security...
Acegi Security 1.0.4中文手册:企业应用全面安全解决方案
Acegi Security v1.0.4中文参考手册提供了一个全面的J2EE企业应用安全解决方案。该手册强调了分层安全的概念,认为每个安全层次应独立保护系统,如底层的输入验证、系统认证以防止中间人攻击,防火墙和网络安全策略...
Acegi Security完整demo中logoutFilter的应用
2. logoutFilter应用:logoutFilter是Acegi框架中的一个组件,用于处理用户登出请求。当用户选择登出或会话到期时,logoutFilter会负责清理用户的认证信息,销毁会话,并将用户重定向到登录页面。在使用logoutFilter...
Acegi Security v1.0.4参考手册:企业级应用安全解决方案
"Acegi Security是针对基于J2EE的企业应用软件的一个全面安全框架,提供了高可配置的安全解决方案。这个框架旨在让应用程序安全配置变得更加简单,同时强调了在整个系统层次实施‘分层安全’的重要性。Acegi ...
Spring Security 核心过滤器链分析
weixin_33725515的博客
12-27 944
前言: 在熟悉Spring Security的使用和基本操作后,有时根据项目需求,我们需要在security原有的过滤器链中,添加符合我们自己的过滤器来实现功能时,我们就必须得先了解security的核心过滤链的流程和每个过滤器的各自功能,以此,我们才可以在特点的过滤器前后加入属于我们项目需求的过滤器。 一、Filter Chain 图解 在配置了spring security了之后,会在运行...
acegi security实践教程—form认证
webdev
02-26 255
上篇博客给大家介绍了basic认证,同时也带领大家debug了一下源码,所以流程想必大家都已经了解了,那么现在只剩下各种认证的配置了。 具体步骤如下: 开发环境: MyEclispe10.7.1+tomcat6.0.37+acegi1.0.5+spring2.0 项目目录如下: 其中readme主要用来记录本次验证目的 配置文件 web.xml: ...
SpringBoot集成SpringSecurity完成权限拦截操作
志豪的博客
01-15 1万+
SpringBoot集成 SpringSecurity和JWT 实现认证和授权(一) SpringSecurity(SpringSecurity是一个强大的可高度定制的认证和授权框架,对于Spring应用来说它是一套Web安全标准) JWT(JWT是JSON WEB TOKEN的缩写,它是基于 RFC 7519 标准定义的一种可以安全传输的的JSON对象,由于使用了数字签名,所以是可信任和安全的。...
SpringsecuritySecurityContextHolderStrategy
weixin_34343308的博客
08-19 725
2019独角兽企业重金招聘Python工程师标准>>> ...
Springboot之OncePerRequestFilter
weixin_44636027的博客
11-14 5236
类说明 OncePerRequestFilter能够确保在一次请求只通过一次filter,而不需要重复执行。 记录到问题 在使用springSecurity的过程中遇到已经放权校验的url,在请求头依然携带有效的token信息,依然被拦截。 解决方案 使用JwtAuthenticationTokenFilter继承OncePerRequestFilter,重写doFilterInternal()方法,将请求头中的token信息去掉。 实现代码如下。 @Component @Slf4j public clas
SecurityContextHolder多线程无法获取登录信息的原因
杨海吉
08-23 6972
在 Spring Security 中,我就想从子线程获取用户登录信息,怎么办? 大家知道在 Spring Security 中想要获取登录用户信息,不能在子线程中获取,只能在当前线程中获取,其中一个重要的原因就是 SecurityContextHolder 默认将用户信息保存在 ThreadLocal 中。 但是实际上 SecurityContextHolder 一共定义了三种存储策略: public class SecurityContextHolder { public static final S
【Spring Boot】SecurityContextHolder.getContext().getAuthentication()为null的情况
热门推荐
小哲的博客
03-23 2万+
SecurityContextHolder.getContext().getAuthentication()为null的情况 问题描述 在登录的时候,用如下方法获取输入的用户名: /** * 获得当前用户名称 */ private String getUsername() { String username = SecurityContextHolder.getContext().ge...
Acegi中文登录帐号问题的解决方案
anjichan4261的博客
05-14 163
Acegi中文登录帐号问题的解决方案 Acegi登陆使用中文帐号名登陆时会抛出异常,下面我贴出的JSP页面上抛出的错误信息(只贴出有分析价值的一部分): root cause java.lang.IllegalArgumentException: 张三 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值