Chinaunix首页 | 论坛 | 博客
  • 博客访问: 827138
  • 博文数量: 190
  • 博客积分: 2991
  • 博客等级: 少校
  • 技术积分: 2400
  • 用 户 组: 普通用户
  • 注册时间: 2012-09-24 18:11
文章分类

全部博文(190)

文章存档

2015年(3)

2014年(1)

2013年(65)

2012年(121)

我的朋友

分类: Java

2013-01-21 12:25:04

  项目中遇到一个很奇怪的问题,在错误页面404里面取不到当前登录用户,即 SecurityContextHolder.getContext().getAuthentication()取不到当前的登陆用户信息。这个问题花了我很长时间最终搞定了,下面讲一下解决问题的过程。
          首先来看一下项目的异常处理方式,在web.xml里面配置了错误页:
Xml代码:
1.
2.        404
3.        /WEB-INF/pages/errors/404.jsp
4.   

           当访问一个不存在的url时,spring的前端控制器的逻辑如下:
        其实就是会调用noHandlerFound函数,然后直接退出DispatcherServlet。
        我们再来一下noHandlerFound的逻辑:

         在这个里面实际上是返回一个404的错误,真正的错误页面处理的转向是由tomcat容器来完成的。通过调试发现在这个地方SecurityContextHolder.getContext().getAuthentication()还有值,但是访问404页面的tag里面就取不到了,后来通过监控网络发现,访问errorpage是由容器重新发起的一个请求,这个请求里面拿不到Authentication可能是没有走springsecurity的前端拦截器 springSecurityFilterChain。
         我们来看一下springSecurityFilterChain filter的配置:
Xml代码:

1.
2.        springSecurityFilterChain
3.        org.springframework.web.filter.DelegatingFilterProxy
4.   

5.   
6.        springSecurityFilterChain
7.        /*
8.   

         突然想到极有可能是这个filter没有转发,后来看了下filter-mapping的配置,还真是这样。filter-mapping里面接受dispatcher参数。
         我们就来看一下这个参数的含义。
 
          2.4版本的servlet规范在部属描述符中新增加了一个元素,这个元素有四个可能的值:即REQUEST,FORWARD,INCLUDE和ERROR,可以在一个元素中加入任意数目的,使得filter将会作用于直接从客户端过来的request,通过forward过来的request,通过include过来的request和通过过来的request。如果没有指定任何< dispatcher >元素,默认值是REQUEST。
            可以通过下面几个例子来辅助理解。
Xml代码:

  1.  
  2. Logging Filter 
  3. /products/* 

           这种情况下,过滤器将会作用于直接从客户端发过来的以/products/…开始的请求。因为这里没有制定任何的< dispatcher >元素,默认值是REQUEST。
Xml代码:

  1.  
  2. Logging Filter 
  3. ProductServlet 
  4. INCLUDE 
  5.  

        这种情况下,如果请求是通过request dispatcher的include方法传递过来的对ProductServlet的请求,则要经过这个过滤器的过滤。其它的诸如从客户端直接过来的对ProductServlet的请求等都不需要经过这个过滤器。
        指定filter的匹配方式有两种方法:直接指定url-pattern和指定servlet,后者相当于把指定的servlet对应的url-pattern作为filter的匹配模式
filter的路径匹配和servlet是一样的,都遵循servlet规范中《SRV.11.2 Specification of Mappings》一节的说明
 
Xml代码:

  1.  
  2. Logging Filter 
  3. /products/* 
  4. FORWARD 
  5. REQUEST 
  6.  

         看了这个,我修改了下springSecurityFilterChain的filter-mapping的配置,就     好了。
          修改后的配置如下:
Xml代码:
 

  1.         springSecurityFilterChain
  2.         org.springframework.web.filter.DelegatingFilterProxy
  3.    
  4.    
  5.         springSecurityFilterChain
  6.         /*
  7.         REQUEST
  8.         ERROR
  9.    

         意思就是直接从客户端过来的request和通过过来的request 都要走这个filter,配置完后就果断好了。
         好了,就写到这里了,希望对大家有所帮助。关于springSecurityFilterChain这个我会另写一篇博客进行详细讲解。
本人原创,发现一些网站无道德的抓取,请自觉删去内容,转载请注明出处原文来自站长网

阅读(2553) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~