Jersey ContainerRequestFilter中的读取请求属性

时间:2013-10-30 19:08:41

标签: jersey

我有一个受SSO实施Shibboleth保护的Jersey API。 Shibboleth将登录用户的id放入请求属性中。在后端,我正在使用Shiro进行授权。 Shiro想知道登录用户,因此可以加载权限。

将userId从请求属性中移出并进入Shiro的正确方法是什么?现在,我正在尝试的是:

@Provider
public final class ShiroLoginFilter implements ContainerRequestFilter {

    @Context
    private HttpServletRequest request;

    @Override
    public void filter(final ContainerRequestContext requestContext)
        throws IOException {

        final String userId = (String) this.request.getAttribute("nameid");
        final Subject subject = SecurityUtils.getSubject();
        subject.login(new LocusAuthenticationToken(userId));

    }
}

不幸的是,由于JERSEY-1960,我无法将请求上下文注入过滤器。每个用户都需要“登录”才能加载权限。我宁愿不必在API的每个方法中重复登录代码。我也不允许使用web.xml过滤器(由我的老板)。我有什么好的选择吗?

1 个答案:

答案 0 :(得分:11)

您还应该能够直接从ServletRequest通过ContainerRequestContext#getProperty获取ContainerRequestContext属性,如方法的JavaDoc中所述:

  

在Servlet容器中,属性与ServletRequest同步,并公开ServletRequest中可用的所有属性。对属性的任何修改也会反映在关联的ServletRequest

的属性集中

注意:从Jersey 2.4(2013年10月发布)开始,注入HttpServletRequest应该可以正常工作。