#java #servlet-filters
#java #сервлет-фильтры
Вопрос:
Я работаю с домашним фильтром безопасности, SCMIS Security Filter, в нашем веб-приложении, которое вызывает java-файл исключения, когда пользователь не проходит проверку подлинности для доступа к веб-приложению, расположенному в файле зависимостей JAR. Этот фильтр определен в нашем web.xml файл, но я хотел бы знать, есть ли в любом случае возможность обойти этот фильтр безопасности при вызове этого конкретного исключения, чтобы я мог перенаправить пользователя на определенную страницу JSP в этом же веб-приложении?
Вот web.xml:
<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns="http://java.sun.com/xml/ns/javaee"
xmlns:web="http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"
xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"
id="WebApp_ID" version="2.5">
<display-name>SCMIS</display-name>
<filter>
<filter-name>Waffle SecurityFilter</filter-name>
<filter-class>waffle.servlet.NegotiateSecurityFilter</filter-class>
</filter>
<filter>
<display-name>SCMIS Security Filter</display-name>
<filter-name>SCMISSecurityFilter</filter-name>
<filter-class>org.texashealth.scmis.security.Filter</filter-class>
</filter>
<filter>
<display-name>Stripes Filter</display-name>
<filter-name>StripesFilter</filter-name>
<filter-class>net.sourceforge.stripes.controller.StripesFilter</filter-class>
<init-param>
<param-name>ActionResolver.Packages</param-name>
<param-value>org.texashealth.scm.stripes,org.texashealth.scmis.stripes</param-value>
</init-param>
<init-param>
<param-name>Extension.Packages</param-name>
<param-value>org.texashealth.scmis.stripes.ext</param-value>
</init-param>
<init-param>
<param-name>PopulationStrategy.Class</param-name>
<param-value>net.sourceforge.stripes.tag.BeanFirstPopulationStrategy</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>Waffle SecurityFilter</filter-name>
<url-pattern>*.jsp</url-pattern>
<dispatcher>REQUEST</dispatcher>
</filter-mapping>
<filter-mapping>
<filter-name>Waffle SecurityFilter</filter-name>
<url-pattern>*.action</url-pattern>
<dispatcher>REQUEST</dispatcher>
</filter-mapping>
<filter-mapping>
<filter-name>SCMISSecurityFilter</filter-name>
<url-pattern>*.jsp</url-pattern>
<dispatcher>REQUEST</dispatcher>
</filter-mapping>
<filter-mapping>
<filter-name>SCMISSecurityFilter</filter-name>
<url-pattern>*.action</url-pattern>
<dispatcher>REQUEST</dispatcher>
</filter-mapping>
<filter-mapping>
<filter-name>StripesFilter</filter-name>
<url-pattern>*.jsp</url-pattern>
<dispatcher>REQUEST</dispatcher>
<dispatcher>FORWARD</dispatcher>
</filter-mapping>
<filter-mapping>
<filter-name>StripesFilter</filter-name>
<servlet-name>StripesDispatcher</servlet-name>
<dispatcher>REQUEST</dispatcher>
</filter-mapping>
<servlet>
<display-name>Stripes Dispatcher</display-name>
<servlet-name>StripesDispatcher</servlet-name>
<servlet-class>net.sourceforge.stripes.controller.DispatcherServlet</servlet-class>
<load-on-startup>1</load-on-startup>
</servlet>
<servlet-mapping>
<servlet-name>StripesDispatcher</servlet-name>
<url-pattern>*.action</url-pattern>
</servlet-mapping>
<error-page>
<exception-type>java.lang.Exception</exception-type>
<location>/error.jsp</location>
</error-page>
<welcome-file-list>
<welcome-file>index.html</welcome-file>
<welcome-file>index.htm</welcome-file>
<welcome-file>index.jsp</welcome-file>
<welcome-file>default.html</welcome-file>
<welcome-file>default.htm</welcome-file>
<welcome-file>default.jsp</welcome-file>
</welcome-file-list>
</web-app>
Метод исключения, вызываемый в JAR из фильтра, является:
public UnauthorizedException(final HttpServletResponse response, final String userName) throws IOException {
//response.sendError(HttpServletResponse.SC_UNAUTHORIZED, "User: " userName.toUpperCase() " is not authorized to access this resource");
response.sendRedirect("/nau/unAuthorizedUser.jsp");
}
Прямо сейчас я застреваю в цикле при запуске моего локального сервера tomcat, потому что я нахожусь в фильтре безопасности, который продолжает пытаться аутентифицировать пользователя для доступа к веб-приложению, и я не могу получить пользователя на страницу unAuthorizedUser.jsp.
Любая помощь / направление будут оценены.
Ответ №1:
Прямо сейчас вы сопоставили фильтр безопасности *.jsp , который, очевидно, будет перехватывать все *.jsp запросы, включая unAuthorizedUser.jsp страницу. В основном есть два способа решить эту проблему:
- Вам нужно изменить сопоставление фильтров, поскольку оно не соответствует
unAuthorizedUser.jspзапросу. Например, измените его на/app/*и поместите все ограниченные страницы в/appпапку. - Вам нужно добавить дополнительную
ifпроверкуrequest.getRequestURI(), чтобы узнать, был лиunAuthorizedUser.jspзапрошен запрос, и если да, то пропустите проверку авторизации и продолжите цепочку фильтров.
Комментарии:
1. Спасибо за помощь и время.. Я попробую это сделать.