Acegi中文登录帐号问题的解决方案

方案

Acegi登陆使用中文帐号名登陆时会抛出异常，下面我贴出的JSP页面上抛出的错误信息（只贴出有分析价值的一部分）：

root cause

java.lang.IllegalArgumentException: 张三
org.apache.tomcat.util.http.ServerCookie.maybeQuote(ServerCookie.java:276)
org.apache.tomcat.util.http.ServerCookie.appendCookieValue(ServerCookie.java:209)
org.apache.coyote.tomcat5.CoyoteResponse.addCookie(CoyoteResponse.java:950)
org.apache.coyote.tomcat5.CoyoteResponseFacade.addCookie(CoyoteResponseFacade.java:291)
javax.servlet.http.HttpServletResponseWrapper.addCookie(HttpServletResponseWrapper.java:102)

分析异常的原因，应该是底层的ServerCookie试图增加一个值为张三的cookie导致的异常，(cookie的name肯定不能为中文，这个“张三”应该为value值，但value应该可以是中文的(我用的GBK编码,查看ServerCookie.java好象是用了isToken方法来验证这个cookie的value值)),另外这个cookie是acegi框架中如何传递给ServerCookie的很让人困惑。

我按cookie单词查找了acegi(1.0.5版本)的sourcecode,没有发现acegi中有增加中文cookie的地方，以下是跟cookie相关的类：

SavedRequest.java,SavedRequestAwareWrapper.java,RememberMeServices.java,TokenBasedRememberMeServices.java,我的acegi配置文件中没有配置rememberme相关的过滤器,所以cookie应该和rememberme类没关系,下面是我配置的acegi的过滤器：

/**=httpSessionContextIntegrationFilter,casProcessingFilter,logoutFilter,concurrentSessionFilter,authenticationProcessingFilter,securityContextHolderAwareRequestFilter,anonymousProcessingFilter,exceptionTranslationFilter,filterInvocationInterceptor

我在org.acegisecurity.util.FilterChainProxy类的VirtualFilterChain子类中删除session,cookie,

发现java.lang.IllegalArgumentException: 张三 的异常仍然存在，于是我怀疑到是否认证之后，org.apache.tomcat.util.http.ServerCookie是从request.getUserPrincipal().getName()中获取登陆名试图加入到cookie中的，request.getUserPrincipal().getName()返回的是张三，即中文登陆帐号，此值的赋值方式也非常奇怪，在org.acegisecurity.wrapper.SecurityContextHolderAwareRequestFilter.java中，有一句：

request = (HttpServletRequest) constructor.newInstance(new Object[] {request, portResolver});

在此句之前使用request.getUserPrincipal().getName()会抛出异常，因为getUserPrincipal()是空的，在执行了constructor.newInstance之后再运行request.getUserPrincipal().getName()，发现此句能获得登陆帐号“张三”，不知道这个newInstance是什么原理，怎么会自动地填充了principal信息(看来我的servletAPI原理了解的比较有限)？

一个简单的让acegi支持中文帐号登陆的方式就是在org.acegisecurity.ui.webapp.AuthenticationProcessingFilter中将从页面获得的登陆id进行替换，替换为中文对应的英文id,这种方式经测试是可行的，而且绕过了上面提到的cookie的问题，

具体实现就是首先获得页面的中文登陆帐号，然后从数据库的登陆帐号表中找到这个中文帐号（可以使用登陆帐号表的用户名称作为中文帐号），然后找到中文帐号对应的英文帐号，例如根据“张三”找到”zhangsan”，经过测试后，这种方式完全可行！参考下面AuthenticationProcessingFilter更改后的代码：

String username = obtainUsername(request);

String password = obtainPassword(request);

//使用替代方案,如果不支持中文登陆帐号,可建立一个中文帐号-英文帐号对照表,根据中文帐号替换为英文帐号,按英文帐号登录

String userid = "";

try

{

if(username!=null&&username.trim().length()>0)

{

userid = ServiceLocator.getDBSupportService().findSingleValueBySql("select user_id from eas_login_user where user_name=''"+username+"''", null).toString();

}

}

catch(Exception ex)

{

System.out.println("查询用户错误!");

}

if(userid==null)userid="";

if (username == null) {

username = "";

}

if (password == null) {

password = "";

}

username=userid; //将中文登陆帐号替换为英文帐号

UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username, password);

AuthenticationProcessingFilter是获取页面登录用户帐号和口令的入口点，所以在这里替换后，后面的生成Authentication和Principal信息都按照替换后的英文登陆帐号处理。

这种替换帐号的方式固然可行，不过cookie的问题还有很有继续研究的必要，这有助于我们从更深的层次了解servlet容器的原理。