我有一个受SSO实施的Shibboleth保护的Jersey API.Shibboleth将登录用户的id放入请求属性中.在后端,我正在使用Shiro进行授权.Shiro想知道登录用户,因此它可以加载权限.
将userId从请求属性中移出并进入Shiro的正确方法是什么?现在,我正在尝试的是:
@Provider
public final class ShiroLoginFilter implements ContainerRequestFilter {
@Context
private HttpServletRequest request;
@Override
public void filter(final ContainerRequestContext requestContext)
throws IOException {
final String userId = (String) this.request.getAttribute("nameid");
final Subject subject = SecurityUtils.getSubject();
subject.login(new LocusAuthenticationToken(userId));
}
}
不幸的是,由于JERSEY-1960,我无法将请求上下文注入过滤器.每个用户都需要"登录"才能加载权限.我宁愿不必在API的每个方法中重复登录代码.我也不允许使用web.xml过滤器(由我的老板).我有什么好的选择吗?
Mic*_*dos 11
您还应该能够ServletRequest直接从ContainerRequestContextvia ContainerRequestContext#getProperty获取属性,如方法的JavaDoc中所述:
在Servlet容器中,属性与其同步
ServletRequest并公开可用的所有属性ServletRequest.对属性的任何修改也会反映在关联属性的集合中ServletRequest.
注意:HttpServletRequest自Jersey 2.4(2013年10月发布)以来,注入应该按预期工作.
| 归档时间: |
|
| 查看次数: |
9453 次 |
| 最近记录: |