`
Virgo_S
  • 浏览: 1150885 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类
最新评论

从查询串中分离请求参数——acegi security中SecurityContextHolderA

    博客分类:
  • JAVA
阅读更多
大多数情况下我们是不需要单独处理HttpServletRequest查询串的,因为应用服务器(比如Tomcat)已经先期处理过了,已经将查询参数分离了出来,可以与post参数一样使用getParameter获得,但是在组合使用某些过滤器(Filter)的情况下,当处理转发(Forword)请求时,有可能已经错过了应用服务器处理查询串的时机,从而导致使用getParameter时得不到查询串中的参数。

例如同时使用urlrewrite和acegi security,并且为了统一管理请求资源,配置为先执行acegi security,而且acegi security也只过滤REQUEST请求,不处理FORWARD(2.4标准)请求。这样在urlrewrite重写url时中加入的查询参数(通常我们会把/users/user1.html重写为/user.do?username=user1),就可能丢失。

未登录时请求某一受acegi security保护的资源时,acegi security将如下处理:



通过SecurityContextHolderAwareRequestFilter保存当前的请求到SavedRequest,并存入Session,然后转到登录页;
成功登录后系统自动重定向到先前请求的资源,这时acegi security将再次处理重定向后的请求;
为了将原来请求的参数传递下去,acegi security将从Session中取出SavedRequest包装当前Request的getParameter及其他与上次请求相关的方法。


这样调用getParameter等方法只能返回SavedRequest中的内容,而不会理会以后再增加的参数。这似乎是acegi security的一个bug,但从安全角度考虑又是合理的。

由于acegi security配置为只处理REQUEST(2.3标准以及2.4标准的默认Filter配置),而重写url时为了减少请求次数以及隐藏内部处理页,一般是使用forward方式的,这样urlrewrite是在转发请求时加入查询串,此后的转发acegi security不会再去处理,当然此后再用getParameter将得不到增加的参数,因为应用服务器处理后的参数是加在了未经acegi security包装的Request里。事实上,此后所有通过forward方式加入的参数都将取不到。

而此后要得到增加的参数,就要分析查询串了。 当然,如果不考虑编码问题(例如查询串中没有编码过的字符,例如查询串只是简单的不包含空格的英文字符),似乎分析起来很简单(indexOf方法基本就能解决),但要做到通用就要费点功夫了。下面的代码参考了tomcat处理查询串的方式。 

package com.aladdin.webapp.util;

import java.io.UnsupportedEncodingException;
import java.util.ArrayList;
import java.util.HashMap;
import java.util.List;
import java.util.Map;

import javax.servlet.http.HttpServletRequest;

public class RequestUtil {

    public static void mergeQueryParameters(HttpServletRequest request,
            Map parameters) {

        Map queryParameters = new HashMap();

        parseQueryParameters(request, queryParameters);

        for (Object obj : queryParameters.entrySet()) {
            Map.Entry entry = (Map.Entry) obj;
            Object value = parameters.get(entry.getKey());
            if (value == null) {
                parameters.put(entry.getKey(), entry.getValue());
            } else {
                parameters.put(entry.getKey(), mergeValues(value, entry
                        .getValue()));
            }
        }
    }

    public static void parseQueryParameters(HttpServletRequest request,
            Map parameters) {
        String encoding = request.getCharacterEncoding();
        if (encoding == null || "".equals(encoding)) {
            encoding = "UTF-8";
        }
        try {
            parseQueryParameters(parameters, request.getQueryString(), encoding);
        } catch (UnsupportedEncodingException e) {

        }
    }

    public static void parseQueryParameters(Map map, String queryString,
            String encoding) throws UnsupportedEncodingException {
        if (queryString != null && queryString.length() > 0) {
            byte[] data = null;
            try {
                if (encoding == null) {
                    data = queryString.getBytes();
                } else {
                    data = queryString.getBytes(encoding);
                }
            } catch (UnsupportedEncodingException uee) {
            }
            parseParameters(map, data, encoding);
        }
    }

    public static void parseParameters(Map map, byte[] data, String encoding)
            throws UnsupportedEncodingException {
        if (data != null && data.length > 0) {
            int ix = 0;
            int ox = 0;
            String key = null;
            String value = null;
            while (ix < data.length) {
                byte c = data[ix++];
                switch ((char) c) {
                case '&':
                    value = new String(data, 0, ox, encoding);
                    if (key != null) {
                        putMapEntry(map, key, value);
                        key = null;
                    }
                    ox = 0;
                    break;
                case '=':
                    if (key == null) {
                        key = new String(data, 0, ox, encoding);
                        ox = 0;
                    } else {
                        data[ox++] = c;
                    }
                    break;
                case '+':
                    data[ox++] = (byte) ' ';
                    break;
                case '%':
                    data[ox++] = (byte) ((convertHexDigit(data[ix++]) << 4) + convertHexDigit(data[ix++]));
                    break;
                default:
                    data[ox++] = c;
                }
            }

            if (key != null) {
                value = new String(data, 0, ox, encoding);
                putMapEntry(map, key, value);
            }
        }
    }

    private static byte convertHexDigit(byte b) {
        if (b >= '0' && b <= '9') {
            return (byte) (b - '0');
        }
        if (b >= 'a' && b <= 'f') {
            return (byte) (b - 'a' + 10);
        }
        if (b >= 'A' && b <= 'F') {
            return (byte) (b - 'A' + 10);
        }
        return 0;
    }

    private static void putMapEntry(Map map, String name, String value) {
        String[] newValues = null;
        String[] oldValues = (String[]) map.get(name);
        if (oldValues == null) {
            newValues = new String[1];
            newValues[0] = value;
        } else {
            newValues = new String[oldValues.length + 1];
            System.arraycopy(oldValues, 0, newValues, 0, oldValues.length);
            newValues[oldValues.length] = value;
        }
        map.put(name, newValues);
    }

    private static String[] mergeValues(Object values1, Object values2) {
        List list = new ArrayList();
        addStringValues(list, values1);
        addStringValues(list, values2);
        String values[] = new String[list.size()];
        return (String[]) list.toArray(values);
    }

    private static void addStringValues(List list, Object values) {
        if (values != null) {
            if (values instanceof String) {
                list.add(values);
            } else if (values instanceof String[]) {
                for (String value : (String[]) values) {
                    list.add(value);
                }
            } else {
                list.add(values.toString());
            }
        }
    }

}


当然可用如下的Request包装类将查询参数合并到parameterMap中



package com.aladdin.webapp.wrapper;

import java.util.Enumeration;
import java.util.HashMap;
import java.util.Map;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

import org.acegisecurity.ui.savedrequest.Enumerator;

import com.aladdin.webapp.util.RequestUtil;

public class QueryParameterRequestWrapper extends HttpServletRequestWrapper {

    private Map parameters;

    private String preQueryString;

    private HttpServletRequest request;

    public QueryParameterRequestWrapper(HttpServletRequest request) {
        super(request);
        this.request = request;
    }

    @Override
    public String getParameter(String name) {
        parseParameters();
        Object value = parameters.get(name);
        if (value == null) {
            return null;
        }
        if (value instanceof String[]) {
            return ((String[]) value)[0];
        }
        if (value instanceof String) {
            return (String) value;
        }
        return value.toString();
    }

    @Override
    public Map getParameterMap() {
        parseParameters();
        return parameters;
    }

    @Override
    public Enumeration getParameterNames() {
        parseParameters();
        return new Enumerator(parameters.keySet());
    }

    @Override
    public String[] getParameterValues(String name) {
        parseParameters();
        Object value = parameters.get(name);
        if (value == null) {
            return null;
        }
        if (value instanceof String[]) {
            return (String[]) value;
        }
        String values[] = new String[1];
        if (value instanceof String) {
            values[0] = (String) value;
        } else {
            values[0] = value.toString();
        }
        return values;
    }

    private void parseParameters() {
        String curQueryString = request.getQueryString();
        if ((preQueryString != null && !preQueryString.equals(curQueryString))
                || (curQueryString != null && !curQueryString
                        .equals(preQueryString))) {
            parameters = new HashMap(request.getParameterMap());
            RequestUtil.mergeQueryParameters(request, parameters);
            preQueryString = curQueryString;
        } else if(preQueryString == null && curQueryString == null){
            parameters = request.getParameterMap();
        }
    }

}


用如下的过滤器将其加到处理流程中



package com.aladdin.webapp.filter;

import java.io.IOException;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.web.filter.OncePerRequestFilter;

import com.aladdin.webapp.wrapper.QueryParameterRequestWrapper;

public class QueryParameterFilter extends OncePerRequestFilter {

    public void doFilterInternal(HttpServletRequest request,
            HttpServletResponse response, FilterChain chain)
            throws IOException, ServletException {

        chain.doFilter(new QueryParameterRequestWrapper(request), response);
    }
}
分享到:
评论

相关推荐

    acegisecurity内所有jar包

    包含acegi-security-1.0.7.jar,acegi-security-1.0.7-sources.jar,acegi-security-cas-1.0.7.jar,acegi-security-cas-1.0.7-sources.jar,acegi-security-catalina-1.0.7.jar,acegi-security-catalina-1.0.7-...

    Acegi Security整合CAS实例

    通过上述详细步骤的介绍,开发者可以了解到如何从零开始配置SSL环境、整合CAS Server与Acegi Security,最终实现安全且高效的单点登录解决方案。这种整合方案在企业级应用中尤为常见,对于提高应用的安全性和便捷性...

    acegi-security-tiger-1.0.0-RC2.jar.zip

    这个"acegi-security-tiger-1.0.0-RC2.jar.zip"压缩包包含的是Acegi Security的一个早期版本——1.0.0 Release Candidate 2(RC2),专门针对Tiger(Java SE 5.0)版本的Java开发环境。 Acegi Security的主要功能...

    acegisecurity-1.0.7

    《Acegi Security 1.0.7:Spring框架的安全认证组件深度解析》 Acegi Security是Spring框架的一个扩展,专为Java企业级应用提供安全认证和授权服务。它在Spring框架的基础上构建了一套完整的安全解决方案,使开发者...

    acegisecurity-1.0.7.zip_.acegisecuri_acegi security 1.0.7_acegi

    在本文中,我们将深入探讨Acegi Security 1.0.7版本中的核心概念和关键特性。 首先,我们要了解Acegi Security的核心目标是权限管理。在企业级应用中,确保用户访问权限的安全性和可控性至关重要。Acegi Security...

    acegi-security-tiger-1.0.7.jar

    4. **CSRF(Cross-Site Request Forgery)防护**:尽管Acegi Security 1.0.7的时代稍早,未明确提及对CSRF的防护,但现代的安全框架通常都会包含此类防护措施,以防止恶意网站伪造用户请求,执行非预期操作。...

    acegi-security-0.8.1.1.jar.zip

    这个"acegi-security-0.8.1.1.jar.zip"文件是Acegi Security 0.8.1.1版本的归档包,包含了该版本的核心库文件——"acegi-security-0.8.1.1.jar",以及相关的许可证文件——"springframework-license.txt"。...

    acegi-security源码包

    Acegi Security System for Spring Acegi Security是一款针对Spring框架的安全组件,它提供了全面的身份验证、授权和服务层安全功能。在深入探讨Acegi Security的源码之前,我们需要了解一些基本概念和背景知识。 ...

    acegi-security-1.0.7.jar.zip

    Acegi Security是一个已退役的安全框架,它在Java社区中曾被广泛用于构建安全的Web应用程序。这个"acegi-security-1.0.7.jar.zip"文件包含的是Acegi Security 1.0.7版本的库,它是一个压缩的Java Archive(JAR)文件...

    Spring安全系统:Acegi Security--星月夜

    Acegi Security通过ConfigAttribute接口及其实现类SecurityConfig来表示这些配置参数,使得安全策略能够细化到每一个具体的请求上。 Acegi Security的强大之处在于其高度的定制性和灵活性,能够根据应用程序的具体...

    acegi-security-0.8.2.jar.zip

    4. **CSRF防护**: 跨站请求伪造(CSRF)是一种常见的安全威胁,Acegi Security提供了防止此类攻击的机制,通过在请求中添加一个不可预测的令牌来验证请求的来源。 5. **异常处理**: Acegi Security有强大的异常处理...

    acegi-security-0.6.1.jar.zip

    Acegi Security是一款已退役的安全框架,它在Java社区中曾被广泛使用,为Spring Framework提供了安全集成方案。这个"acegi-security-0.6.1.jar.zip"文件包含的是Acegi Security 0.6.1版本的库,以及相关的许可证信息...

    acegi-security-1.0.4.jar.zip

    Acegi Security是一个已退役的安全框架,它在Java社区中曾被广泛使用,特别是在Spring MVC的早期版本中。这个框架提供了一套全面的访问控制和身份验证解决方案,旨在增强基于Java的应用程序的安全性。 Acegi ...

    acegi-security.jar.zip

    Acegi Security是一个已退役的安全框架,它在Java社区中曾被广泛使用,特别是在Spring Framework早期版本中,作为提供身份验证和授权服务的重要组件。Acegi Security后来被Spring Security所吸收和替代,后者现在是...

    acegi-security-0.8.1.jar.zip

    Acegi Security是一款已退役的安全框架,它在Java社区中曾被广泛用于Spring应用程序的安全管理。这个框架的主要目标是提供身份验证、授权以及其他的安全性服务。Acegi Security 0.8.1是该框架的一个版本,它包含了对...

    acegi-security-resin-0.8.1.1.jar.zip

    在本案例中,我们关注的是`acegi-security-resin-0.8.1.1.jar.zip`这个压缩包,其中包含了`acegi-security-resin-0.8.1.1.jar`文件和`springs‌pringframework-license.txt`。这两个文件分别代表了Acegi Security...

    acegi-security-1.0.4-src.zip源码,jar(全套)

    Acegi Security为基于J2EE的企业应用软件提供全面的安全解决方案。正如你在本手册中看到的那样,我们尝试为您提供有用的,高可配置的安全系统。 Acegi Security专注于在企业应用安全层为您提供帮助,你将会发现和...

    acegi-security-jetty-0.8.3.jar.zip

    5. **CSRF防护**:跨站请求伪造(CSRF)是一种常见的网络安全威胁,Acegi Security提供了防护机制,确保只有合法的请求才能被执行。 Jetty是一款轻量级的Java Web服务器和Servlet容器,它以其小巧、快速和高度可...

    acegi-security 1.0.2

    acegi-security 1.0.2.jar

Global site tag (gtag.js) - Google Analytics