那些遇到过的问题

从过滤器访问 servlet 注释

7 java servlets jakarta-ee

我需要一个过滤器,它在每个 servlet 之前被调用,并检查该 servlet 是否有说明它需要身份验证的注释,例如@ServletSecurity(@HttpConstraint(rolesAllowed={"user"}))在 Servlet 3 中。如果不是这种情况,则过滤器将返回。如果 servlet 需要身份验证,它将检查请求令牌是否具有user角色,如果没有,它将自动设置NOT_AUTHENTICATED响应,甚至不通过 servlet。

这项工作必须由过滤器完成,因为我需要验证请求中的 JWT 令牌并将解码的 JWT 添加到请求中,以便 servlet 可以使用它的有效负载。

如何从过滤器中检查 servlet 注释?在这种情况下,我可以像@RequiresAuth在 servlet 中一样创建一个更简单的注释吗?因为我不需要这个项目中的角色。

是否可以在不通过 servlet 的情况下从过滤器向客户端返回未经身份验证的响应?

是否可以以编程方式将过滤器设置为第一个过滤器?

这就是我使用 Jersey 解决它的方法,但我需要一个仅使用 servlet 的解决方案:

@Priority(Priorities.AUTHENTICATION)
public class AuthenticationFilter implements ContainerRequestFilter {

    @Context
    private ResourceInfo resourceInfo;

    @Override
    public void filter(ContainerRequestContext context) {
        final Method method = resourceInfo.getResourceMethod();

        if (method.isAnnotationPresent(PermitAll.class)) return;
        if (method.isAnnotationPresent(DenyAll.class)) {
            context.abortWith(Response.status(Response.Status.FORBIDDEN).build());
            return;
        }

        final RolesAllowed rolesAnnotation = method.getAnnotation(RolesAllowed.class);
        if (rolesAnnotation == null) return;
    }
}
Run Code Online (Sandbox Code Playgroud)

Ale*_* L. 0

如何从过滤器检查 servlet 注释?在这种情况下,我可以在 servlet 中创建一个更简单的注释,例如 @RequiresAuth 吗?因为我不需要这个项目中的角色。

这是可能的,但不建议这样做。过滤器旨在有选择地应用于需要它们的 servlet。对于您的情况,我只会将其映射到那些需要身份验证的 servlet。

在您的 Jersey 示例中,AuthenticationFilter 适用于所有端点。使用 servlet 过滤器,您可以决定要将此过滤器应用于哪些 servlet/url 模式。内省注释在这里不再有意义。

是否可以从过滤器向客户端返回未经身份验证的响应而不通过 servlet?

是的。您可以通过调用response.setStatus(401)而不是chain.doFilter从过滤器返回。

if (isAuthenticated()) {
    // this proceeds to the next filter or servlet in the chain
    chain.doFilter(request, response);
}
else {
    // this returns the response to the client
    response.setStatus(401);
}
Run Code Online (Sandbox Code Playgroud)

是否可以以编程方式将过滤器设置为第一个过滤器?

是的。通过注释是不可能的,但可以通过 web.xml 实现。它只是任何给定 servlet 或 url 模式的元素顺序。

<filter>
    <filter-name>filter1</filter-name>
    <filter-class>filter.Filter1</filter-class>
</filter>

<filter>
    <filter-name>filter2</filter-name>
    <filter-class>filter.Filter2</filter-class>
</filter>
    
<!-- filter2 will be applied 1st because it's listed 1st -->
<filter-mapping>
    <filter-name>filter2</filter-name>
    <servlet-name>some-servlet</servlet-name>
</filter-mapping>

<!-- filter1 will be applied after filter2 -->
<filter-mapping>
    <filter-name>filter1</filter-name>
    <servlet-name>some-servlet</servlet-name>
</filter-mapping>
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

576 次

最近记录:

4 年,5 月 前
相关归档
将java.util.Date转换为String 395
如何创建Android Facebook Key Hash? 165
使用Java进行Web抓取 72
如何使用Java列出存储桶中的所有AWS S3对象 58
对于纬度/经度,Java double vs BigDecimal 57
Java包与文件夹结构?有什么不同 55
使用纯java配置的Spring 3.2 @value注释不起作用,但Environment.getProperty可以工作 55
如何使用Java确定Windows的32位或64位架构? 54
Java Faces ManagedBean类中的ServletContext对象 5
如何在JSP文件中提交和发送HTML表单的值到Servlet? 2
难疑归档
如何在Python中安全地创建嵌套目录? 3909
为什么char []比字符串更适合密码? 3298
jQuery是否存在"存在"功能? 2669
如何使用CSS为文本或图像提供透明背景? 2211
在shell中,"2>&1"是什么意思? 2121
CSS三角形如何工作? 1791
如何解决"断点当前不会被命中.此文档没有加载任何符号." 警告? 1456
如何在Java中连接两个数组? 1299
如何撤消"git commit --amend"而不是"git commit" 1198
命名类 - 如何避免将所有内容称为"<WhatEver> Manager"? 1147