本人原創,發現一些網站無道德的抓取,請自覺删去内容,轉載請注明出處:
http://asialee.iteye.com/blog/1772860
項目中遇到一個很奇怪的問題,在錯誤頁面404裡面取不到目前登入使用者,即 SecurityContextHolder.getContext().getAuthentication()取不到目前的登陸使用者資訊。這個問題花了我很長時間最終搞定了,下面講一下解決問題的過程。
首先來看一下項目的異常處理方式,在web.xml裡面配置了錯誤頁:
<error-page>
<error-code>404</error-code>
<location>/WEB-INF/pages/errors/404.jsp</location>
</error-page>
當通路一個不存在的url時,spring的前端控制器的邏輯如下:
其實就是會調用noHandlerFound函數,然後直接退出DispatcherServlet。
我們再來一下noHandlerFound的邏輯:
在這個裡面實際上是傳回一個404的錯誤,真正的錯誤頁面處理的轉向是由tomcat容器來完成的。通過調試發現在這個地方SecurityContextHolder.getContext().getAuthentication()還有值,但是通路404頁面的tag裡面就取不到了,後來通過監控網絡發現,通路errorpage是由容器重新發起的一個請求,這個請求裡面拿不到Authentication可能是沒有走springsecurity的前端攔截器 springSecurityFilterChain。
我們來看一下springSecurityFilterChain filter的配置:
<filter>
<filter-name>springSecurityFilterChain</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
突然想到極有可能是這個filter沒有轉發,後來看了下filter-mapping的配置,還真是這樣。filter-mapping裡面接受dispatcher參數。
我們就來看一下這個參數的含義。
2.4版本的servlet規範在部屬描述符中新增加了一個<dispatcher>元素,這個元素有四個可能的值:即REQUEST,FORWARD,INCLUDE和ERROR,可以在一個<filter-mapping>元素中加入任意數目的<dispatcher>,使得filter将會作用于直接從用戶端過來的request,通過forward過來的request,通過include過來的request和通過<error-page>過來的request。如果沒有指定任何< dispatcher >元素,預設值是REQUEST。
可以通過下面幾個例子來輔助了解。
<filter-mapping>
<filter-name>Logging Filter</filter-name>
<url-pattern>/products/*</url-pattern>
</filter-mapping>
這種情況下,過濾器将會作用于直接從用戶端發過來的以/products/…開始的請求。因為這裡沒有制定任何的< dispatcher >元素,預設值是REQUEST。
<filter-mapping>
<filter-name>Logging Filter</filter-name>
<servlet-name>ProductServlet</servlet-name>
<dispatcher>INCLUDE</dispatcher>
</filter-mapping>
這種情況下,如果請求是通過request dispatcher的include方法傳遞過來的對ProductServlet的請求,則要經過這個過濾器的過濾。其它的諸如從用戶端直接過來的對ProductServlet的請求等都不需要經過這個過濾器。
指定filter的比對方式有兩種方法:直接指定url-pattern和指定servlet,後者相當于把指定的servlet對應的url-pattern作為filter的比對模式
filter的路徑比對和servlet是一樣的,都遵循servlet規範中《SRV.11.2 Specification of Mappings》一節的說明
<filter-mapping>
<filter-name>Logging Filter</filter-name>
<url-pattern>/products/*</url-pattern>
<dispatcher>FORWARD</dispatcher>
<dispatcher>REQUEST</dispatcher>
</filter-mapping>
看了這個,我修改了下springSecurityFilterChain的filter-mapping的配置,就 好了。
修改後的配置如下:
<filter>
<filter-name>springSecurityFilterChain</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
<url-pattern>/*</url-pattern>
<dispatcher>REQUEST</dispatcher>
<dispatcher>ERROR</dispatcher>
</filter-mapping>
意思就是直接從用戶端過來的request和通過<error-page>過來的request 都要走這個filter,配置完後就果斷好了。
好了,就寫到這裡了,希望對大家有所幫助。關于springSecurityFilterChain這個我會另寫一篇部落格進行詳細講解。