Virgo_S
- 浏览: 1150885 次
- 性别:
- 来自: 北京
-
文章分类
最新评论
-
RebeccaZhong:
严重: StandardWrapper.Throwableco ...
三步发布java方式的rest服务 -
RebeccaZhong:
严重: StandardWrapper.Throwableco ...
三步发布java方式的rest服务 -
冷酷月光:
楼主。请教一下。arcgis for android 有提供地 ...
ArcGIS API For Android离线地图的实现 -
winney117:
请问如何GET已有网页上的指定内容?比如百度文库中的某一篇文章 ...
三步发布java方式的rest服务 -
zige1012:
您好,我想问问我想换个自己地图的切片,也有4层(L0-L3), ...
ArcGIS API For Android离线地图的实现
大多数情况下我们是不需要单独处理HttpServletRequest查询串的,因为应用服务器(比如Tomcat)已经先期处理过了,已经将查询参数分离了出来,可以与post参数一样使用getParameter获得,但是在组合使用某些过滤器(Filter)的情况下,当处理转发(Forword)请求时,有可能已经错过了应用服务器处理查询串的时机,从而导致使用getParameter时得不到查询串中的参数。
例如同时使用urlrewrite和acegi security,并且为了统一管理请求资源,配置为先执行acegi security,而且acegi security也只过滤REQUEST请求,不处理FORWARD(2.4标准)请求。这样在urlrewrite重写url时中加入的查询参数(通常我们会把/users/user1.html重写为/user.do?username=user1),就可能丢失。
未登录时请求某一受acegi security保护的资源时,acegi security将如下处理:
通过SecurityContextHolderAwareRequestFilter保存当前的请求到SavedRequest,并存入Session,然后转到登录页;
成功登录后系统自动重定向到先前请求的资源,这时acegi security将再次处理重定向后的请求;
为了将原来请求的参数传递下去,acegi security将从Session中取出SavedRequest包装当前Request的getParameter及其他与上次请求相关的方法。
这样调用getParameter等方法只能返回SavedRequest中的内容,而不会理会以后再增加的参数。这似乎是acegi security的一个bug,但从安全角度考虑又是合理的。
由于acegi security配置为只处理REQUEST(2.3标准以及2.4标准的默认Filter配置),而重写url时为了减少请求次数以及隐藏内部处理页,一般是使用forward方式的,这样urlrewrite是在转发请求时加入查询串,此后的转发acegi security不会再去处理,当然此后再用getParameter将得不到增加的参数,因为应用服务器处理后的参数是加在了未经acegi security包装的Request里。事实上,此后所有通过forward方式加入的参数都将取不到。
而此后要得到增加的参数,就要分析查询串了。 当然,如果不考虑编码问题(例如查询串中没有编码过的字符,例如查询串只是简单的不包含空格的英文字符),似乎分析起来很简单(indexOf方法基本就能解决),但要做到通用就要费点功夫了。下面的代码参考了tomcat处理查询串的方式。
package com.aladdin.webapp.util;
import java.io.UnsupportedEncodingException;
import java.util.ArrayList;
import java.util.HashMap;
import java.util.List;
import java.util.Map;
import javax.servlet.http.HttpServletRequest;
public class RequestUtil {
public static void mergeQueryParameters(HttpServletRequest request,
Map parameters) {
Map queryParameters = new HashMap();
parseQueryParameters(request, queryParameters);
for (Object obj : queryParameters.entrySet()) {
Map.Entry entry = (Map.Entry) obj;
Object value = parameters.get(entry.getKey());
if (value == null) {
parameters.put(entry.getKey(), entry.getValue());
} else {
parameters.put(entry.getKey(), mergeValues(value, entry
.getValue()));
}
}
}
public static void parseQueryParameters(HttpServletRequest request,
Map parameters) {
String encoding = request.getCharacterEncoding();
if (encoding == null || "".equals(encoding)) {
encoding = "UTF-8";
}
try {
parseQueryParameters(parameters, request.getQueryString(), encoding);
} catch (UnsupportedEncodingException e) {
}
}
public static void parseQueryParameters(Map map, String queryString,
String encoding) throws UnsupportedEncodingException {
if (queryString != null && queryString.length() > 0) {
byte[] data = null;
try {
if (encoding == null) {
data = queryString.getBytes();
} else {
data = queryString.getBytes(encoding);
}
} catch (UnsupportedEncodingException uee) {
}
parseParameters(map, data, encoding);
}
}
public static void parseParameters(Map map, byte[] data, String encoding)
throws UnsupportedEncodingException {
if (data != null && data.length > 0) {
int ix = 0;
int ox = 0;
String key = null;
String value = null;
while (ix < data.length) {
byte c = data[ix++];
switch ((char) c) {
case '&':
value = new String(data, 0, ox, encoding);
if (key != null) {
putMapEntry(map, key, value);
key = null;
}
ox = 0;
break;
case '=':
if (key == null) {
key = new String(data, 0, ox, encoding);
ox = 0;
} else {
data[ox++] = c;
}
break;
case '+':
data[ox++] = (byte) ' ';
break;
case '%':
data[ox++] = (byte) ((convertHexDigit(data[ix++]) << 4) + convertHexDigit(data[ix++]));
break;
default:
data[ox++] = c;
}
}
if (key != null) {
value = new String(data, 0, ox, encoding);
putMapEntry(map, key, value);
}
}
}
private static byte convertHexDigit(byte b) {
if (b >= '0' && b <= '9') {
return (byte) (b - '0');
}
if (b >= 'a' && b <= 'f') {
return (byte) (b - 'a' + 10);
}
if (b >= 'A' && b <= 'F') {
return (byte) (b - 'A' + 10);
}
return 0;
}
private static void putMapEntry(Map map, String name, String value) {
String[] newValues = null;
String[] oldValues = (String[]) map.get(name);
if (oldValues == null) {
newValues = new String[1];
newValues[0] = value;
} else {
newValues = new String[oldValues.length + 1];
System.arraycopy(oldValues, 0, newValues, 0, oldValues.length);
newValues[oldValues.length] = value;
}
map.put(name, newValues);
}
private static String[] mergeValues(Object values1, Object values2) {
List list = new ArrayList();
addStringValues(list, values1);
addStringValues(list, values2);
String values[] = new String[list.size()];
return (String[]) list.toArray(values);
}
private static void addStringValues(List list, Object values) {
if (values != null) {
if (values instanceof String) {
list.add(values);
} else if (values instanceof String[]) {
for (String value : (String[]) values) {
list.add(value);
}
} else {
list.add(values.toString());
}
}
}
}
当然可用如下的Request包装类将查询参数合并到parameterMap中
package com.aladdin.webapp.wrapper;
import java.util.Enumeration;
import java.util.HashMap;
import java.util.Map;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import org.acegisecurity.ui.savedrequest.Enumerator;
import com.aladdin.webapp.util.RequestUtil;
public class QueryParameterRequestWrapper extends HttpServletRequestWrapper {
private Map parameters;
private String preQueryString;
private HttpServletRequest request;
public QueryParameterRequestWrapper(HttpServletRequest request) {
super(request);
this.request = request;
}
@Override
public String getParameter(String name) {
parseParameters();
Object value = parameters.get(name);
if (value == null) {
return null;
}
if (value instanceof String[]) {
return ((String[]) value)[0];
}
if (value instanceof String) {
return (String) value;
}
return value.toString();
}
@Override
public Map getParameterMap() {
parseParameters();
return parameters;
}
@Override
public Enumeration getParameterNames() {
parseParameters();
return new Enumerator(parameters.keySet());
}
@Override
public String[] getParameterValues(String name) {
parseParameters();
Object value = parameters.get(name);
if (value == null) {
return null;
}
if (value instanceof String[]) {
return (String[]) value;
}
String values[] = new String[1];
if (value instanceof String) {
values[0] = (String) value;
} else {
values[0] = value.toString();
}
return values;
}
private void parseParameters() {
String curQueryString = request.getQueryString();
if ((preQueryString != null && !preQueryString.equals(curQueryString))
|| (curQueryString != null && !curQueryString
.equals(preQueryString))) {
parameters = new HashMap(request.getParameterMap());
RequestUtil.mergeQueryParameters(request, parameters);
preQueryString = curQueryString;
} else if(preQueryString == null && curQueryString == null){
parameters = request.getParameterMap();
}
}
}
用如下的过滤器将其加到处理流程中
package com.aladdin.webapp.filter;
import java.io.IOException;
import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.springframework.web.filter.OncePerRequestFilter;
import com.aladdin.webapp.wrapper.QueryParameterRequestWrapper;
public class QueryParameterFilter extends OncePerRequestFilter {
public void doFilterInternal(HttpServletRequest request,
HttpServletResponse response, FilterChain chain)
throws IOException, ServletException {
chain.doFilter(new QueryParameterRequestWrapper(request), response);
}
}
例如同时使用urlrewrite和acegi security,并且为了统一管理请求资源,配置为先执行acegi security,而且acegi security也只过滤REQUEST请求,不处理FORWARD(2.4标准)请求。这样在urlrewrite重写url时中加入的查询参数(通常我们会把/users/user1.html重写为/user.do?username=user1),就可能丢失。
未登录时请求某一受acegi security保护的资源时,acegi security将如下处理:
通过SecurityContextHolderAwareRequestFilter保存当前的请求到SavedRequest,并存入Session,然后转到登录页;
成功登录后系统自动重定向到先前请求的资源,这时acegi security将再次处理重定向后的请求;
为了将原来请求的参数传递下去,acegi security将从Session中取出SavedRequest包装当前Request的getParameter及其他与上次请求相关的方法。
这样调用getParameter等方法只能返回SavedRequest中的内容,而不会理会以后再增加的参数。这似乎是acegi security的一个bug,但从安全角度考虑又是合理的。
由于acegi security配置为只处理REQUEST(2.3标准以及2.4标准的默认Filter配置),而重写url时为了减少请求次数以及隐藏内部处理页,一般是使用forward方式的,这样urlrewrite是在转发请求时加入查询串,此后的转发acegi security不会再去处理,当然此后再用getParameter将得不到增加的参数,因为应用服务器处理后的参数是加在了未经acegi security包装的Request里。事实上,此后所有通过forward方式加入的参数都将取不到。
而此后要得到增加的参数,就要分析查询串了。 当然,如果不考虑编码问题(例如查询串中没有编码过的字符,例如查询串只是简单的不包含空格的英文字符),似乎分析起来很简单(indexOf方法基本就能解决),但要做到通用就要费点功夫了。下面的代码参考了tomcat处理查询串的方式。
package com.aladdin.webapp.util;
import java.io.UnsupportedEncodingException;
import java.util.ArrayList;
import java.util.HashMap;
import java.util.List;
import java.util.Map;
import javax.servlet.http.HttpServletRequest;
public class RequestUtil {
public static void mergeQueryParameters(HttpServletRequest request,
Map parameters) {
Map queryParameters = new HashMap();
parseQueryParameters(request, queryParameters);
for (Object obj : queryParameters.entrySet()) {
Map.Entry entry = (Map.Entry) obj;
Object value = parameters.get(entry.getKey());
if (value == null) {
parameters.put(entry.getKey(), entry.getValue());
} else {
parameters.put(entry.getKey(), mergeValues(value, entry
.getValue()));
}
}
}
public static void parseQueryParameters(HttpServletRequest request,
Map parameters) {
String encoding = request.getCharacterEncoding();
if (encoding == null || "".equals(encoding)) {
encoding = "UTF-8";
}
try {
parseQueryParameters(parameters, request.getQueryString(), encoding);
} catch (UnsupportedEncodingException e) {
}
}
public static void parseQueryParameters(Map map, String queryString,
String encoding) throws UnsupportedEncodingException {
if (queryString != null && queryString.length() > 0) {
byte[] data = null;
try {
if (encoding == null) {
data = queryString.getBytes();
} else {
data = queryString.getBytes(encoding);
}
} catch (UnsupportedEncodingException uee) {
}
parseParameters(map, data, encoding);
}
}
public static void parseParameters(Map map, byte[] data, String encoding)
throws UnsupportedEncodingException {
if (data != null && data.length > 0) {
int ix = 0;
int ox = 0;
String key = null;
String value = null;
while (ix < data.length) {
byte c = data[ix++];
switch ((char) c) {
case '&':
value = new String(data, 0, ox, encoding);
if (key != null) {
putMapEntry(map, key, value);
key = null;
}
ox = 0;
break;
case '=':
if (key == null) {
key = new String(data, 0, ox, encoding);
ox = 0;
} else {
data[ox++] = c;
}
break;
case '+':
data[ox++] = (byte) ' ';
break;
case '%':
data[ox++] = (byte) ((convertHexDigit(data[ix++]) << 4) + convertHexDigit(data[ix++]));
break;
default:
data[ox++] = c;
}
}
if (key != null) {
value = new String(data, 0, ox, encoding);
putMapEntry(map, key, value);
}
}
}
private static byte convertHexDigit(byte b) {
if (b >= '0' && b <= '9') {
return (byte) (b - '0');
}
if (b >= 'a' && b <= 'f') {
return (byte) (b - 'a' + 10);
}
if (b >= 'A' && b <= 'F') {
return (byte) (b - 'A' + 10);
}
return 0;
}
private static void putMapEntry(Map map, String name, String value) {
String[] newValues = null;
String[] oldValues = (String[]) map.get(name);
if (oldValues == null) {
newValues = new String[1];
newValues[0] = value;
} else {
newValues = new String[oldValues.length + 1];
System.arraycopy(oldValues, 0, newValues, 0, oldValues.length);
newValues[oldValues.length] = value;
}
map.put(name, newValues);
}
private static String[] mergeValues(Object values1, Object values2) {
List list = new ArrayList();
addStringValues(list, values1);
addStringValues(list, values2);
String values[] = new String[list.size()];
return (String[]) list.toArray(values);
}
private static void addStringValues(List list, Object values) {
if (values != null) {
if (values instanceof String) {
list.add(values);
} else if (values instanceof String[]) {
for (String value : (String[]) values) {
list.add(value);
}
} else {
list.add(values.toString());
}
}
}
}
当然可用如下的Request包装类将查询参数合并到parameterMap中
package com.aladdin.webapp.wrapper;
import java.util.Enumeration;
import java.util.HashMap;
import java.util.Map;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import org.acegisecurity.ui.savedrequest.Enumerator;
import com.aladdin.webapp.util.RequestUtil;
public class QueryParameterRequestWrapper extends HttpServletRequestWrapper {
private Map parameters;
private String preQueryString;
private HttpServletRequest request;
public QueryParameterRequestWrapper(HttpServletRequest request) {
super(request);
this.request = request;
}
@Override
public String getParameter(String name) {
parseParameters();
Object value = parameters.get(name);
if (value == null) {
return null;
}
if (value instanceof String[]) {
return ((String[]) value)[0];
}
if (value instanceof String) {
return (String) value;
}
return value.toString();
}
@Override
public Map getParameterMap() {
parseParameters();
return parameters;
}
@Override
public Enumeration getParameterNames() {
parseParameters();
return new Enumerator(parameters.keySet());
}
@Override
public String[] getParameterValues(String name) {
parseParameters();
Object value = parameters.get(name);
if (value == null) {
return null;
}
if (value instanceof String[]) {
return (String[]) value;
}
String values[] = new String[1];
if (value instanceof String) {
values[0] = (String) value;
} else {
values[0] = value.toString();
}
return values;
}
private void parseParameters() {
String curQueryString = request.getQueryString();
if ((preQueryString != null && !preQueryString.equals(curQueryString))
|| (curQueryString != null && !curQueryString
.equals(preQueryString))) {
parameters = new HashMap(request.getParameterMap());
RequestUtil.mergeQueryParameters(request, parameters);
preQueryString = curQueryString;
} else if(preQueryString == null && curQueryString == null){
parameters = request.getParameterMap();
}
}
}
用如下的过滤器将其加到处理流程中
package com.aladdin.webapp.filter;
import java.io.IOException;
import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.springframework.web.filter.OncePerRequestFilter;
import com.aladdin.webapp.wrapper.QueryParameterRequestWrapper;
public class QueryParameterFilter extends OncePerRequestFilter {
public void doFilterInternal(HttpServletRequest request,
HttpServletResponse response, FilterChain chain)
throws IOException, ServletException {
chain.doFilter(new QueryParameterRequestWrapper(request), response);
}
}
分享到:
发表评论
-
Java中文排序
2011-06-14 13:11 1774所谓中文排序就是按照汉语拼音的顺序进行排序,在Java中进行排 ... -
三步发布java方式的rest服务
2010-10-18 09:47 19483大家好: 最近大家都想知道怎么发布一个java的rest方式的 ... -
JDK路径设置全解
2010-05-28 23:44 1692PATH:.;D:\Java\jdk1.6.0_10\bin ... -
java.util.Properties类的使用
2009-02-10 10:21 1826Properties 类已不是新东西了,它在 Java 编程的 ... -
java导入导出excel操作(jxl),整理中。。。
2009-02-10 10:15 4061jxl.jar 包 下载地址: http://www.and ... -
使用Struts和Velocity开发web应用
2008-12-25 23:31 1420http://www.edu999.com/IT/JAVA/2 ... -
关于JAVA断点续传
2008-10-18 10:20 2184SiteFileFetch.java负责整个文件的抓取,控制内 ... -
Spring中Quartz的配置实例
2008-10-13 15:29 2085Quartz是一个强大的企业级任务调度框架,Spring中继承 ... -
Spring中Quartz的Cron配置说明
2008-10-13 10:43 3346一个Cron-表达式是一个 ... -
在Hibernate应用中如何处理批量更新和批量删除?
2008-10-07 10:03 1149批量更新是指在一个事务中更新大批量数据,批量删除是指在一个事务 ... -
Servlet和Filter的url匹配以及url-pattern详解
2008-09-22 16:33 1895Servlet和filter是J2EE开发 ... -
动态代理(Dynamic Proxy)Java Servlet
2008-09-16 21:02 2102从JDK1.3开始,Java就引入了动态代理的概念。动态代理( ... -
用Java动态代理实现AOP
2008-09-16 20:36 1085目前整个开发社区对AOP(Aspect Oriented Pr ... -
JAVA中的反射机制详解
2008-09-16 14:44 2144JAVA反射机制是在运行状态中,对于任意一个类,都能够知道这个 ... -
使用RememberMeProcessingFilter来实现cookies自动登陆
2008-09-03 17:56 2187要使用cookies自动登陆,我们需要配置过滤器Remembe ... -
Acegi concurrent session
2008-09-03 16:33 1342. <bean id="concurrent ... -
Web开发中的Listener和Filter
2008-08-28 16:12 2988http://www.javadby.com/Web_Serv ... -
关于struts2无法加载struts.properties的问题
2008-08-15 15:17 1689最近整合了struts2和spring的问题,其中看到一个st ... -
Hibernate配置详解
2008-08-02 23:19 1734表 3.3. Hibernate配置属 ... -
jar 命令详解
2008-08-01 08:43 1295jar 是随 JDK 安装的,在 ...
相关推荐
包含acegi-security-1.0.7.jar,acegi-security-1.0.7-sources.jar,acegi-security-cas-1.0.7.jar,acegi-security-cas-1.0.7-sources.jar,acegi-security-catalina-1.0.7.jar,acegi-security-catalina-1.0.7-...
通过上述详细步骤的介绍,开发者可以了解到如何从零开始配置SSL环境、整合CAS Server与Acegi Security,最终实现安全且高效的单点登录解决方案。这种整合方案在企业级应用中尤为常见,对于提高应用的安全性和便捷性...
这个"acegi-security-tiger-1.0.0-RC2.jar.zip"压缩包包含的是Acegi Security的一个早期版本——1.0.0 Release Candidate 2(RC2),专门针对Tiger(Java SE 5.0)版本的Java开发环境。 Acegi Security的主要功能...
《Acegi Security 1.0.7:Spring框架的安全认证组件深度解析》 Acegi Security是Spring框架的一个扩展,专为Java企业级应用提供安全认证和授权服务。它在Spring框架的基础上构建了一套完整的安全解决方案,使开发者...
在本文中,我们将深入探讨Acegi Security 1.0.7版本中的核心概念和关键特性。 首先,我们要了解Acegi Security的核心目标是权限管理。在企业级应用中,确保用户访问权限的安全性和可控性至关重要。Acegi Security...
4. **CSRF(Cross-Site Request Forgery)防护**:尽管Acegi Security 1.0.7的时代稍早,未明确提及对CSRF的防护,但现代的安全框架通常都会包含此类防护措施,以防止恶意网站伪造用户请求,执行非预期操作。...
这个"acegi-security-0.8.1.1.jar.zip"文件是Acegi Security 0.8.1.1版本的归档包,包含了该版本的核心库文件——"acegi-security-0.8.1.1.jar",以及相关的许可证文件——"springframework-license.txt"。...
Acegi Security System for Spring Acegi Security是一款针对Spring框架的安全组件,它提供了全面的身份验证、授权和服务层安全功能。在深入探讨Acegi Security的源码之前,我们需要了解一些基本概念和背景知识。 ...
Acegi Security是一个已退役的安全框架,它在Java社区中曾被广泛用于构建安全的Web应用程序。这个"acegi-security-1.0.7.jar.zip"文件包含的是Acegi Security 1.0.7版本的库,它是一个压缩的Java Archive(JAR)文件...
Acegi Security通过ConfigAttribute接口及其实现类SecurityConfig来表示这些配置参数,使得安全策略能够细化到每一个具体的请求上。 Acegi Security的强大之处在于其高度的定制性和灵活性,能够根据应用程序的具体...
4. **CSRF防护**: 跨站请求伪造(CSRF)是一种常见的安全威胁,Acegi Security提供了防止此类攻击的机制,通过在请求中添加一个不可预测的令牌来验证请求的来源。 5. **异常处理**: Acegi Security有强大的异常处理...
Acegi Security是一款已退役的安全框架,它在Java社区中曾被广泛使用,为Spring Framework提供了安全集成方案。这个"acegi-security-0.6.1.jar.zip"文件包含的是Acegi Security 0.6.1版本的库,以及相关的许可证信息...
Acegi Security是一个已退役的安全框架,它在Java社区中曾被广泛使用,特别是在Spring MVC的早期版本中。这个框架提供了一套全面的访问控制和身份验证解决方案,旨在增强基于Java的应用程序的安全性。 Acegi ...
Acegi Security是一个已退役的安全框架,它在Java社区中曾被广泛使用,特别是在Spring Framework早期版本中,作为提供身份验证和授权服务的重要组件。Acegi Security后来被Spring Security所吸收和替代,后者现在是...
Acegi Security是一款已退役的安全框架,它在Java社区中曾被广泛用于Spring应用程序的安全管理。这个框架的主要目标是提供身份验证、授权以及其他的安全性服务。Acegi Security 0.8.1是该框架的一个版本,它包含了对...
在本案例中,我们关注的是`acegi-security-resin-0.8.1.1.jar.zip`这个压缩包,其中包含了`acegi-security-resin-0.8.1.1.jar`文件和`springspringframework-license.txt`。这两个文件分别代表了Acegi Security...
Acegi Security为基于J2EE的企业应用软件提供全面的安全解决方案。正如你在本手册中看到的那样,我们尝试为您提供有用的,高可配置的安全系统。 Acegi Security专注于在企业应用安全层为您提供帮助,你将会发现和...
5. **CSRF防护**:跨站请求伪造(CSRF)是一种常见的网络安全威胁,Acegi Security提供了防护机制,确保只有合法的请求才能被执行。 Jetty是一款轻量级的Java Web服务器和Servlet容器,它以其小巧、快速和高度可...
acegi-security 1.0.2.jar