Zugriff auf Benutzernamen mit getRemoteUser() bei der Verwendung von benutzerdefinierten Authentifizierung-filter

Kurze version: Wie bekomme ich HttpServletRequest.getRemoteUser() Rückkehr der Benutzername, wenn ich mit einer benutzerdefinierten Authentifizierung-filter?

Lange version:

Ich bin ändern der Tomcat-Anwendung, die derzeit verwendet deklarative Sicherheit (web.xml & tomcat-users.xml), um stattdessen die Verwendung einer benutzerdefinierten (von mir geschrieben) authentication filter (abgeleitet von javax.- servlet.- Filter). Es gibt eine Menge Informationen heraus dort auf, wie dies zu tun und es sieht sehr einfach.

Allerdings die bestehende Anwendung Aufrufe an HttpServletRequest.getRemoteUser(), und ich gehe davon aus, dass, wenn ich etwas tun, um diese Eigenschaft festzulegen, in meinem filter, es wird null zurückgegeben. Ich kann nicht finden alle Informationen auf, wie zum Auffüllen der getRemoteUser() Eigenschaft in einem filter (es gibt keine setRemoteUser()). Ich fand eine post gibt, die empfiehlt, das einwickeln der request-Objekt in den filter. Ich werde dies tun, wenn ich muss, aber ich bin der Hoffnung, es ist eine weniger invasive Art und Weise, dies zu erreichen.

Kann jemand helfen?

InformationsquelleAutor John Fitzpatrick | 2012-09-16
  1. 2

    Ja, die einzige Möglichkeit zum ändern eines HttpServletRequest oder HttpServletResponse ist, um es zu schmücken und bieten Ihre eigene Implementierung für die Methoden von Interesse, die durch überschreiben von Ihnen. Dies ist ein standard-Muster mit Authentifizierung Filter und das ist der Zweck des HttpServletRequestWrapper (die Antwort Gegenstück ist HttpServletResponseWrapper). Wir tun es auf diese Weise wickeln Sie einen kerberisierten Anfrage wie folgt

    public class KerbHttpServletRequest extends HttpServletRequestWrapper
{
    private Principal myPrincipal;
    private String myAuthType;

    public KerbHttpServletRequest(HttpServletRequest aRequest,
        Principal aPrincipal,
        String aAuthType)
    {
        super(aRequest);
        myPrincipal = aPrincipal;
        myAuthType = aAuthType;
    }

    /**
     * This method returns the Remote User name as user\@domain.com.
     */
    @Override
    public String getRemoteUser()
    {
        return myPrincipal.getName();
    }

    @Override
    public String getAuthType()
    {
        return myAuthType;
    }

    @Override
    public Principal getUserPrincipal()
    {
        return myPrincipal;
    }
}
    • Vielen Dank, sieht einfach genug. Sub-Frage: ich sehe, Sie erstellen eine Principal und überschreiben getUserPrincipal(). Wir verwenden keine Principals in dieser Anwendung. Werde ich etwas zu brechen irgendwo, wenn wir nicht überschreiben getUserPincipal() und nur überschreiben getRemoteUser()?
    • Keine, die Sie nicht (das ist mein spezifischer Fall, der für die kerberos-Authentifizierung). Alles, was Sie interessiert, ist getRemoteUser() und so lange, wie Sie zurück der Wert, den Sie herausgeführt, indem Sie mit dem authentication-Protokoll, reicht es (wieder unter der Annahme, dass alle clients von HttpServletRequest verwenden getRemoteUser (), um die Benutzer-login).
    InformationsquelleAutor Vikdor
Schreibe einen Kommentar