从查询串中分离请求参数——acegi security中SecurityContextHolderA

大多数情况下我们是不需要单独处理HttpServletRequest查询串的，因为应用服务器(比如Tomcat)已经先期处理过了，已经将查询参数分离了出来，可以与post参数一样使用getParameter获得，但是在组合使用某些过滤器(Filter)的情况下，当处理转发(Forword)请求时，有可能已经错过了应用服务器处理查询串的时机，从而导致使用getParameter时得不到查询串中的参数。

例如同时使用urlrewrite和acegi security，并且为了统一管理请求资源，配置为先执行acegi security，而且acegi security也只过滤REQUEST请求，不处理FORWARD（2.4标准）请求。这样在urlrewrite重写url时中加入的查询参数（通常我们会把/users/user1.html重写为/user.do?username=user1），就可能丢失。

未登录时请求某一受acegi security保护的资源时，acegi security将如下处理：



通过SecurityContextHolderAwareRequestFilter保存当前的请求到SavedRequest，并存入Session，然后转到登录页；
成功登录后系统自动重定向到先前请求的资源，这时acegi security将再次处理重定向后的请求；
为了将原来请求的参数传递下去，acegi security将从Session中取出SavedRequest包装当前Request的getParameter及其他与上次请求相关的方法。


这样调用getParameter等方法只能返回SavedRequest中的内容，而不会理会以后再增加的参数。这似乎是acegi security的一个bug，但从安全角度考虑又是合理的。

由于acegi security配置为只处理REQUEST(2.3标准以及2.4标准的默认Filter配置)，而重写url时为了减少请求次数以及隐藏内部处理页，一般是使用forward方式的，这样urlrewrite是在转发请求时加入查询串，此后的转发acegi security不会再去处理，当然此后再用getParameter将得不到增加的参数，因为应用服务器处理后的参数是加在了未经acegi security包装的Request里。事实上，此后所有通过forward方式加入的参数都将取不到。

而此后要得到增加的参数，就要分析查询串了。 当然，如果不考虑编码问题（例如查询串中没有编码过的字符，例如查询串只是简单的不包含空格的英文字符），似乎分析起来很简单（indexOf方法基本就能解决），但要做到通用就要费点功夫了。下面的代码参考了tomcat处理查询串的方式。 

package com.aladdin.webapp.util;

import java.io.UnsupportedEncodingException;
import java.util.ArrayList;
import java.util.HashMap;
import java.util.List;
import java.util.Map;

import javax.servlet.http.HttpServletRequest;

public class RequestUtil {

    public static void mergeQueryParameters(HttpServletRequest request,
            Map parameters) {

        Map queryParameters = new HashMap();

        parseQueryParameters(request, queryParameters);

        for (Object obj : queryParameters.entrySet()) {
            Map.Entry entry = (Map.Entry) obj;
            Object value = parameters.get(entry.getKey());
            if (value == null) {
                parameters.put(entry.getKey(), entry.getValue());
            } else {
                parameters.put(entry.getKey(), mergeValues(value, entry
                        .getValue()));
            }
        }
    }

    public static void parseQueryParameters(HttpServletRequest request,
            Map parameters) {
        String encoding = request.getCharacterEncoding();
        if (encoding == null || "".equals(encoding)) {
            encoding = "UTF-8";
        }
        try {
            parseQueryParameters(parameters, request.getQueryString(), encoding);
        } catch (UnsupportedEncodingException e) {

        }
    }

    public static void parseQueryParameters(Map map, String queryString,
            String encoding) throws UnsupportedEncodingException {
        if (queryString != null && queryString.length() > 0) {
            byte[] data = null;
            try {
                if (encoding == null) {
                    data = queryString.getBytes();
                } else {
                    data = queryString.getBytes(encoding);
                }
            } catch (UnsupportedEncodingException uee) {
            }
            parseParameters(map, data, encoding);
        }
    }

    public static void parseParameters(Map map, byte[] data, String encoding)
            throws UnsupportedEncodingException {
        if (data != null && data.length > 0) {
            int ix = 0;
            int ox = 0;
            String key = null;
            String value = null;
            while (ix < data.length) {
                byte c = data[ix++];
                switch ((char) c) {
                case '&':
                    value = new String(data, 0, ox, encoding);
                    if (key != null) {
                        putMapEntry(map, key, value);
                        key = null;
                    }
                    ox = 0;
                    break;
                case '=':
                    if (key == null) {
                        key = new String(data, 0, ox, encoding);
                        ox = 0;
                    } else {
                        data[ox++] = c;
                    }
                    break;
                case '+':
                    data[ox++] = (byte) ' ';
                    break;
                case '%':
                    data[ox++] = (byte) ((convertHexDigit(data[ix++]) << 4) + convertHexDigit(data[ix++]));
                    break;
                default:
                    data[ox++] = c;
                }
            }

            if (key != null) {
                value = new String(data, 0, ox, encoding);
                putMapEntry(map, key, value);
            }
        }
    }

    private static byte convertHexDigit(byte b) {
        if (b >= '0' && b <= '9') {
            return (byte) (b - '0');
        }
        if (b >= 'a' && b <= 'f') {
            return (byte) (b - 'a' + 10);
        }
        if (b >= 'A' && b <= 'F') {
            return (byte) (b - 'A' + 10);
        }
        return 0;
    }

    private static void putMapEntry(Map map, String name, String value) {
        String[] newValues = null;
        String[] oldValues = (String[]) map.get(name);
        if (oldValues == null) {
            newValues = new String[1];
            newValues[0] = value;
        } else {
            newValues = new String[oldValues.length + 1];
            System.arraycopy(oldValues, 0, newValues, 0, oldValues.length);
            newValues[oldValues.length] = value;
        }
        map.put(name, newValues);
    }

    private static String[] mergeValues(Object values1, Object values2) {
        List list = new ArrayList();
        addStringValues(list, values1);
        addStringValues(list, values2);
        String values[] = new String[list.size()];
        return (String[]) list.toArray(values);
    }

    private static void addStringValues(List list, Object values) {
        if (values != null) {
            if (values instanceof String) {
                list.add(values);
            } else if (values instanceof String[]) {
                for (String value : (String[]) values) {
                    list.add(value);
                }
            } else {
                list.add(values.toString());
            }
        }
    }

}


当然可用如下的Request包装类将查询参数合并到parameterMap中



package com.aladdin.webapp.wrapper;

import java.util.Enumeration;
import java.util.HashMap;
import java.util.Map;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

import org.acegisecurity.ui.savedrequest.Enumerator;

import com.aladdin.webapp.util.RequestUtil;

public class QueryParameterRequestWrapper extends HttpServletRequestWrapper {

    private Map parameters;

    private String preQueryString;

    private HttpServletRequest request;

    public QueryParameterRequestWrapper(HttpServletRequest request) {
        super(request);
        this.request = request;
    }

    @Override
    public String getParameter(String name) {
        parseParameters();
        Object value = parameters.get(name);
        if (value == null) {
            return null;
        }
        if (value instanceof String[]) {
            return ((String[]) value)[0];
        }
        if (value instanceof String) {
            return (String) value;
        }
        return value.toString();
    }

    @Override
    public Map getParameterMap() {
        parseParameters();
        return parameters;
    }

    @Override
    public Enumeration getParameterNames() {
        parseParameters();
        return new Enumerator(parameters.keySet());
    }

    @Override
    public String[] getParameterValues(String name) {
        parseParameters();
        Object value = parameters.get(name);
        if (value == null) {
            return null;
        }
        if (value instanceof String[]) {
            return (String[]) value;
        }
        String values[] = new String[1];
        if (value instanceof String) {
            values[0] = (String) value;
        } else {
            values[0] = value.toString();
        }
        return values;
    }

    private void parseParameters() {
        String curQueryString = request.getQueryString();
        if ((preQueryString != null && !preQueryString.equals(curQueryString))
                || (curQueryString != null && !curQueryString
                        .equals(preQueryString))) {
            parameters = new HashMap(request.getParameterMap());
            RequestUtil.mergeQueryParameters(request, parameters);
            preQueryString = curQueryString;
        } else if(preQueryString == null && curQueryString == null){
            parameters = request.getParameterMap();
        }
    }

}


用如下的过滤器将其加到处理流程中



package com.aladdin.webapp.filter;

import java.io.IOException;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.web.filter.OncePerRequestFilter;

import com.aladdin.webapp.wrapper.QueryParameterRequestWrapper;

public class QueryParameterFilter extends OncePerRequestFilter {

    public void doFilterInternal(HttpServletRequest request,
            HttpServletResponse response, FilterChain chain)
            throws IOException, ServletException {

        chain.doFilter(new QueryParameterRequestWrapper(request), response);
    }
}