我有一个受SSO实施Shibboleth保护的Jersey API。 Shibboleth将登录用户的id放入请求属性中。在后端,我正在使用Shiro进行授权。 Shiro想知道登录用户,因此可以加载权限。
将userId从请求属性中移出并进入Shiro的正确方法是什么?现在,我正在尝试的是:
@Provider
public final class ShiroLoginFilter implements ContainerRequestFilter {
@Context
private HttpServletRequest request;
@Override
public void filter(final ContainerRequestContext requestContext)
throws IOException {
final String userId = (String) this.request.getAttribute("nameid");
final Subject subject = SecurityUtils.getSubject();
subject.login(new LocusAuthenticationToken(userId));
}
}
不幸的是,由于JERSEY-1960,我无法将请求上下文注入过滤器。每个用户都需要“登录”才能加载权限。我宁愿不必在API的每个方法中重复登录代码。我也不允许使用web.xml过滤器(由我的老板)。我有什么好的选择吗?
答案 0 :(得分:11)
您还应该能够直接从ServletRequest
通过ContainerRequestContext#getProperty获取ContainerRequestContext
属性,如方法的JavaDoc中所述:
在Servlet容器中,属性与
的属性集中ServletRequest
同步,并公开ServletRequest
中可用的所有属性。对属性的任何修改也会反映在关联的ServletRequest
。
注意:从Jersey 2.4(2013年10月发布)开始,注入HttpServletRequest
应该可以正常工作。