Acegi(十): securityContextHolderAwareRequestFilter结

     在Acegi(八) 和Acegi(九) 里, 我们对securityContextHolderAwareRequestFilter有了个较为全面的剖析.在这篇做个小结, 也把一些漏落补上.
    
    在上两篇里,我们实际上是介绍了三个类: SecurityContextHolderAwareRequestFilter、 SecurityContextHolderAwareRequestWrapper和SavedRequestAwareWrapper(及由些想到的 SavedRequest). 现在我们回过头再看时,对它们之间也有了个更清醒的了认识: Acegi通过这个SecurityContextHolderAwareRequestFilter把Request给Wrap下, 而这个wrapper就是SecurityContextHolderAwareRequestWrapper或 SavedRequestAwareWrapper. SavedRequestAwareWrapper继承自SecurityContextHolderAwareRequestWrapper类.

    我们再看在Acegi(八)配置,          

 

<bean id="securityContextHolderAwareRequestFilter"
        class="org.acegisecurity.wrapper.SecurityContextHolderAwareRequestFilter" />

 

    通过这个配置, securityContextHolderAwareRequestFilter实际上用SavedRequestAwareWrapper来包装Acegi拦截下来的Request. 这是怎么回事? 配置中没体现出来呀. 看源码,发现原来SavedRequestAwareWrapper是通过" Class wrapperClass = SavedRequestAwareWrapper.class; "这个属性写死的. 这样默认情况下, securityContextHolderAwareRequestFilter就可以直接用了. 那怎么换呢? 有一个方法setWrapperClass,通过它可以替换究竟用哪个wrapper了. (这里又有一个问题了, 在Spring的配置文件中,用property标签设置 wrapperClass时,value里应该是一个String类型的,那怎么转成Class类型的呢? ).

    再看 securityContextHolderAwareRequestFilter类的文档, 发现,我们可以来自己的实现类来设置wrapperClass. 那自已定制的类又有什么特殊的要求呢?有, 自己定制的类就是要有一个公共的构造方法, 这个公共方法得接受两个参数: HttpServletRequest和 PortResolver. 当然定制的类是要继承 HttpServletRequestWrapper类 或实现 HttpServletRequest接口.

    -------------------------------
    至此, 对 securityContextHolderAwareRequestFilter介绍告一段落了. 下面说下在此过程中发现的一个Filter,即HttpRequestIntegrationFilter. 看名字好像能看出点什么来, 文档介绍是这样的:"Populates SecurityContext with the Authentication obtained from the container's HttpServletRequest.getUserPrincipal()". 也就是说通过这个filter把Web(或应用服务器)容器里传来的Security信息传给Acegi放到 SecurityContext中.
    通过这个Filter, Acegi可以跟Java里的标准JAAS结合,或像Tomcat自身的Security管理信息? 还没见过, 以后留意.