解决errorpage里面取不到Authentication的问题

标签: errorpage authentication 问题 | 发表时间:2013-01-23 18:00 | 作者:你爸是李刚
出处:http://www.blogjava.net

 项目中遇到一个很奇怪的问题,在错误页面404里面取不到当前登录用户,即 SecurityContextHolder.getContext().getAuthentication()取不到当前的登陆用户信息。这个问题花了我很长时间最终搞定了,下面讲一下解决问题的过程。
          首先来看一下项目的异常处理方式,在web.xml里面配置了错误页:
Xml代码:
1.<error-page>
2.        <error-code>404</error-code>
3.        <location>/WEB-INF/pages/errors/404.jsp</location>
4.    </error-page>
           当访问一个不存在的url时,spring的前端控制器的逻辑如下:
        其实就是会调用noHandlerFound函数,然后直接退出DispatcherServlet。
        我们再来一下noHandlerFound的逻辑:

         在这个里面实际上是返回一个404的错误,真正的错误页面处理的转向是由tomcat容器来完成的。通过调试发现在这个地方SecurityContextHolder.getContext().getAuthentication()还有值,但是访问404页面的tag里面就取不到了,后来通过监控网络发现,访问errorpage是由容器重新发起的一个请求,这个请求里面拿不到Authentication可能是没有走springsecurity的前端拦截器 springSecurityFilterChain。
         我们来看一下springSecurityFilterChain filter的配置:
Xml代码:

1.<filter>
2.        <filter-name>springSecurityFilterChain</filter-name>
3.        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
4.    </filter>
5.    <filter-mapping>
6.        <filter-name>springSecurityFilterChain</filter-name>
7.        <url-pattern>/*</url-pattern>
8.    </filter-mapping>

         突然想到极有可能是这个filter没有转发,后来看了下filter-mapping的配置,还真是这样。filter-mapping里面接受dispatcher参数。
         我们就来看一下这个参数的含义。
 
          2.4版本的servlet规范在部属描述符中新增加了一个<dispatcher>元素,这个元素有四个可能的值:即REQUEST,FORWARD,INCLUDE和ERROR,可以在一个<filter-mapping>元素中加入任意数目的<dispatcher>,使得filter将会作用于直接从客户端过来的request,通过forward过来的request,通过include过来的request和通过<error-page>过来的request。如果没有指定任何< dispatcher >元素,默认值是REQUEST。
            可以通过下面几个例子来辅助理解。
Xml代码:

  1. <filter-mapping> 
  2. <filter-name>Logging Filter</filter-name> 
  3. <url-pattern>/products/*</url-pattern> 
  4. </filter-mapping>

           这种情况下,过滤器将会作用于直接从客户端发过来的以/products/…开始的请求。因为这里没有制定任何的< dispatcher >元素,默认值是REQUEST。
Xml代码:

  1. <filter-mapping> 
  2. <filter-name>Logging Filter</filter-name> 
  3. <servlet-name>ProductServlet</servlet-name> 
  4. <dispatcher>INCLUDE</dispatcher> 
  5. </filter-mapping> 

        这种情况下,如果请求是通过request dispatcher的include方法传递过来的对ProductServlet的请求,则要经过这个过滤器的过滤。其它的诸如从客户端直接过来的对ProductServlet的请求等都不需要经过这个过滤器。
        指定filter的匹配方式有两种方法:直接指定url-pattern和指定servlet,后者相当于把指定的servlet对应的url-pattern作为filter的匹配模式
filter的路径匹配和servlet是一样的,都遵循servlet规范中《SRV.11.2 Specification of Mappings》一节的说明
 
Xml代码:

  1. <filter-mapping> 
  2. <filter-name>Logging Filter</filter-name> 
  3. <url-pattern>/products/*</url-pattern> 
  4. <dispatcher>FORWARD</dispatcher> 
  5. <dispatcher>REQUEST</dispatcher> 
  6. </filter-mapping> 

         看了这个,我修改了下springSecurityFilterChain的filter-mapping的配置,就     好了。
          修改后的配置如下:
Xml代码:
 

  1. <filter>
  2.         <filter-name>springSecurityFilterChain</filter-name>
  3.         <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
  4.     </filter>
  5.     <filter-mapping>
  6.         <filter-name>springSecurityFilterChain</filter-name>
  7.         <url-pattern>/*</url-pattern>
  8.         <dispatcher>REQUEST</dispatcher>
  9.         <dispatcher>ERROR</dispatcher>
  10.     </filter-mapping>

         意思就是直接从客户端过来的request和通过<error-page>过来的request 都要走这个filter,配置完后就果断好了。
         好了,就写到这里了,希望对大家有所帮助。关于springSecurityFilterChain这个我会另写一篇博客进行详细讲解。
本人原创,发现一些网站无道德的抓取,请自觉删去内容,转载请注明出处:http://www.software8.co/wzjs/java/2797.html


本文链接

相关 [errorpage authentication 问题] 推荐:

解决errorpage里面取不到Authentication的问题

- - BlogJava_首页
 项目中遇到一个很奇怪的问题,在错误页面404里面取不到当前登录用户,即 SecurityContextHolder.getContext().getAuthentication()取不到当前的登陆用户信息. 这个问题花了我很长时间最终搞定了,下面讲一下解决问题的过程.           首先来看一下项目的异常处理方式,在web.xml里面配置了错误页:.

Shiro系列之Shiro+Mysql实现用户认证(Authentication)

- - CSDN博客推荐文章
网上大多数介绍Apache Shiro的资料都是使用ini文件的简单配置为例,很少用讲到如何配合数据库来实现用户认证的. 我也是刚刚开始接触Shiro,在这里介绍一个入门级别的Shiro+Mysql的配置方法,这个方法仅仅是个开始,并没有和Web,Spring,Mybatis等框架进行整合,后续我还会继续和大家分享我的学习过程及心得.

稿费问题

- Ruixing F - 创造社新任社长宋石男
据说现在全中国靠给平媒自由撰稿为生的,超不过1000人,而且不少处于相当窘迫的境况,就算想买根绳子来上吊,都买不起质量好的,结果绳子老断. 作为自由撰稿人的一员,我对此深有体会. 1999年国家版权局出台的基本稿酬标准,每千字30元-100元,至今仍为全国发行的报刊的“行业指导价”. 业内估计,全国报刊的稿费中位数大约也就在100元.

lvs 问题

- - 操作系统 - ITeye博客
1: LVS连接的持久时间. 1)同一个ip发来请求到同一台RS的持久超时时间. ipvsadm -A -t 192.168.169.100:80 -s rr -p 120     #该客户的请求120秒内被分配给同一台web.  2)一个链接创建后空闲时的超时时间(分别是:tcp的空闲超时时间、lvs收到客户端tcp fin的超时时间、udp的超时时间).

跨机房问题

- Shengbin - NOSQL Notes
跨机房问题一直都是一个老大难的问题,先看传统数据库的跨机房方案. Master/Slave方案. 这是最常用的方案,适用于大多数需求. Master将操作日志实时地发送到Slave,Slave当成Master的一个Hot Backup. Master宕机时,服务切换到Slave,需要修改客户端逻辑使得Master失效时自动寻找新的Master.

Hash Collision DoS 问题

- mazhechao - 酷壳 - CoolShell.cn
最近,除了国内明文密码的安全事件,还有一个事是比较大的,那就是 Hash Collision DoS (Hash碰撞的拒绝式服务攻击),有恶意的人会通过这个安全弱点会让你的服务器运行巨慢无比. 这个安全弱点利用了各语言的Hash算法的“非随机性”可以制造出N多的value不一样,但是key一样数据,然后让你的Hash表成为一张单向链表,而导致你的整个网站或是程序的运行性能以级数下降(可以很轻松的让你的CPU升到100%).

相关性问题

- - 扯氮集--上海魏武挥的博客 - 扯氮集--上海魏武挥的博客
人的本性是趋利避害的,任何合作(或者交易,或者搭伙,或者配对,反正就不是一个人干的事)都会存在三个可能:有利、有害、无利无害. 对于合作一方来说,至少应该保持一个无害的结果,这是常识. 如果觉得有害的可能性很大,于是,我们就会拒绝合作. 问题在于,谁也不是神仙,没有人可以事先100%断定合作必然会有利或至少无害,于是人们需要很多背景信息来供决策.

select 效率问题

- - C++博客_杨粼波
 很多人不知道SQL语句在SQL SERVER中是如何执行的,他们担心自己所写的SQL语句会被SQL SERVER误解. 一些人不知道以上两条语句的执行效率是否一样,因为如果简单的从语句先后上看,这两个语句的确是不一样,如果tID是一个聚合索引,那么后一句仅仅从表的10000条以后的记录中查找就行了;而前一句则要先从全表中查找看有几个name='zhangsan'的,而后再根据限制条件条件tID>10000来提出查询结果.

IE11兼容问题

- - 研发管理 - ITeye博客
IE11下载地址:http://www.microsoft.com/zh-cn/download/confirmation.aspx?id=40901. 安装IE10和IE11之前需要先保证操作系统是Service版本的. win7 sp1升级包下载地址:http://www.microsoft.com/zh-cn/download/details.aspx?id=5842.

Exception性能问题

- - 非技术 - ITeye博客
   1.从Exception往上介绍相关结构、代码.     class Exception里面没有什么新鲜东西,它继承自class Throwable,接下来我们看一下Throwable的结构,在它的构造函数中调用了fillInStackTrace这个函数. 接下来我们看看这个函数干了些什么.     fillInStackTrace函数的声明为.