从查询串中分离请求参数——acegi security中SecurityContextHolderA
大多数情况下我们是不需要单独处理HttpServletRequest查询串的,因为应用服务器(比如Tomcat)已经先期处理过了,已经将查询参数分离了出来,可以与post参数一样使用getParameter获得,但是在组合使用某些过滤器(Filter)的情况下,当处理转发(Forword)请求时,有可能已经错过了应用服务器处理查询串的时机,从而导致使用getParameter时得不到查询串中的参数。
例如同时使用urlrewrite和acegi security,并且为了统一管理请求资源,配置为先执行acegi security,而且acegi security也只过滤REQUEST请求,不处理FORWARD(2.4标准)请求。这样在urlrewrite重写url时中加入的查询参数(通常我们会把/users/user1.html重写为/user.do?username=user1),就可能丢失。
未登录时请求某一受acegi security保护的资源时,acegi security将如下处理:
通过SecurityContextHolderAwareRequestFilter保存当前的请求到SavedRequest,并存入Session,然后转到登录页;
成功登录后系统自动重定向到先前请求的资源,这时acegi security将再次处理重定向后的请求;
为了将原来请求的参数传递下去,acegi security将从Session中取出SavedRequest包装当前Request的getParameter及其他与上次请求相关的方法。
这样调用getParameter等方法只能返回SavedRequest中的内容,而不会理会以后再增加的参数。这似乎是acegi security的一个bug,但从安全角度考虑又是合理的。
由于acegi security配置为只处理REQUEST(2.3标准以及2.4标准的默认Filter配置),而重写url时为了减少请求次数以及隐藏内部处理页,一般是使用forward方式的,这样urlrewrite是在转发请求时加入查询串,此后的转发acegi security不会再去处理,当然此后再用getParameter将得不到增加的参数,因为应用服务器处理后的参数是加在了未经acegi security包装的Request里。事实上,此后所有通过forward方式加入的参数都将取不到。
而此后要得到增加的参数,就要分析查询串了。 当然,如果不考虑编码问题(例如查询串中没有编码过的字符,例如查询串只是简单的不包含空格的英文字符),似乎分析起来很简单(indexOf方法基本就能解决),但要做到通用就要费点功夫了。下面的代码参考了tomcat处理查询串的方式。
package com.aladdin.webapp.util;
import java.io.UnsupportedEncodingException;
import java.util.ArrayList;
import java.util.HashMap;
import java.util.List;
import java.util.Map;
import javax.servlet.http.HttpServletRequest;
public class RequestUtil {
public static void mergeQueryParameters(HttpServletRequest request,
Map parameters) {
Map queryParameters = new HashMap();
parseQueryParameters(request, queryParameters);
for (Object obj : queryParameters.entrySet()) {
Map.Entry entry = (Map.Entry) obj;
Object value = parameters.get(entry.getKey());
if (value == null) {
parameters.put(entry.getKey(), entry.getValue());
} else {
parameters.put(entry.getKey(), mergeValues(value, entry
.getValue()));
}
}
}
public static void parseQueryParameters(HttpServletRequest request,
Map parameters) {
String encoding = request.getCharacterEncoding();
if (encoding == null || "".equals(encoding)) {
encoding = "UTF-8";
}
try {
parseQueryParameters(parameters, request.getQueryString(), encoding);
} catch (UnsupportedEncodingException e) {
}
}
public static void parseQueryParameters(Map map, String queryString,
String encoding) throws UnsupportedEncodingException {
if (queryString != null && queryString.length() > 0) {
byte[] data = null;
try {
if (encoding == null) {
data = queryString.getBytes();
} else {
data = queryString.getBytes(encoding);
}
} catch (UnsupportedEncodingException uee) {
}
parseParameters(map, data, encoding);
}
}
public static void parseParameters(Map map, byte[] data, String encoding)
throws UnsupportedEncodingException {
if (data != null && data.length > 0) {
int ix = 0;
int ox = 0;
String key = null;
String value = null;
while (ix < data.length) {
byte c = data[ix++];
switch ((char) c) {
case '&':
value = new String(data, 0, ox, encoding);
if (key != null) {
putMapEntry(map, key, value);
key = null;
}
ox = 0;
break;
case '=':
if (key == null) {
key = new String(data, 0, ox, encoding);
ox = 0;
} else {
data[ox++] = c;
}
break;
case '+':
data[ox++] = (byte) ' ';
break;
case '%':
data[ox++] = (byte) ((convertHexDigit(data[ix++]) << 4) + convertHexDigit(data[ix++]));
break;
default:
data[ox++] = c;
}
}
if (key != null) {
value = new String(data, 0, ox, encoding);
putMapEntry(map, key, value);
}
}
}
private static byte convertHexDigit(byte b) {
if (b >= '0' && b <= '9') {
return (byte) (b - '0');
}
if (b >= 'a' && b <= 'f') {
return (byte) (b - 'a' + 10);
}
if (b >= 'A' && b <= 'F') {
return (byte) (b - 'A' + 10);
}
return 0;
}
private static void putMapEntry(Map map, String name, String value) {
String[] newValues = null;
String[] oldValues = (String[]) map.get(name);
if (oldValues == null) {
newValues = new String[1];
newValues[0] = value;
} else {
newValues = new String[oldValues.length + 1];
System.arraycopy(oldValues, 0, newValues, 0, oldValues.length);
newValues[oldValues.length] = value;
}
map.put(name, newValues);
}
private static String[] mergeValues(Object values1, Object values2) {
List list = new ArrayList();
addStringValues(list, values1);
addStringValues(list, values2);
String values[] = new String[list.size()];
return (String[]) list.toArray(values);
}
private static void addStringValues(List list, Object values) {
if (values != null) {
if (values instanceof String) {
list.add(values);
} else if (values instanceof String[]) {
for (String value : (String[]) values) {
list.add(value);
}
} else {
list.add(values.toString());
}
}
}
}
当然可用如下的Request包装类将查询参数合并到parameterMap中
package com.aladdin.webapp.wrapper;
import java.util.Enumeration;
import java.util.HashMap;
import java.util.Map;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import org.acegisecurity.ui.savedrequest.Enumerator;
import com.aladdin.webapp.util.RequestUtil;
public class QueryParameterRequestWrapper extends HttpServletRequestWrapper {
private Map parameters;
private String preQueryString;
private HttpServletRequest request;
public QueryParameterRequestWrapper(HttpServletRequest request) {
super(request);
this.request = request;
}
@Override
public String getParameter(String name) {
parseParameters();
Object value = parameters.get(name);
if (value == null) {
return null;
}
if (value instanceof String[]) {
return ((String[]) value)[0];
}
if (value instanceof String) {
return (String) value;
}
return value.toString();
}
@Override
public Map getParameterMap() {
parseParameters();
return parameters;
}
@Override
public Enumeration getParameterNames() {
parseParameters();
return new Enumerator(parameters.keySet());
}
@Override
public String[] getParameterValues(String name) {
parseParameters();
Object value = parameters.get(name);
if (value == null) {
return null;
}
if (value instanceof String[]) {
return (String[]) value;
}
String values[] = new String[1];
if (value instanceof String) {
values[0] = (String) value;
} else {
values[0] = value.toString();
}
return values;
}
private void parseParameters() {
String curQueryString = request.getQueryString();
if ((preQueryString != null && !preQueryString.equals(curQueryString))
|| (curQueryString != null && !curQueryString
.equals(preQueryString))) {
parameters = new HashMap(request.getParameterMap());
RequestUtil.mergeQueryParameters(request, parameters);
preQueryString = curQueryString;
} else if(preQueryString == null && curQueryString == null){
parameters = request.getParameterMap();
}
}
}
用如下的过滤器将其加到处理流程中
package com.aladdin.webapp.filter;
import java.io.IOException;
import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.springframework.web.filter.OncePerRequestFilter;
import com.aladdin.webapp.wrapper.QueryParameterRequestWrapper;
public class QueryParameterFilter extends OncePerRequestFilter {
public void doFilterInternal(HttpServletRequest request,
HttpServletResponse response, FilterChain chain)
throws IOException, ServletException {
chain.doFilter(new QueryParameterRequestWrapper(request), response);
}
}
例如同时使用urlrewrite和acegi security,并且为了统一管理请求资源,配置为先执行acegi security,而且acegi security也只过滤REQUEST请求,不处理FORWARD(2.4标准)请求。这样在urlrewrite重写url时中加入的查询参数(通常我们会把/users/user1.html重写为/user.do?username=user1),就可能丢失。
未登录时请求某一受acegi security保护的资源时,acegi security将如下处理:
通过SecurityContextHolderAwareRequestFilter保存当前的请求到SavedRequest,并存入Session,然后转到登录页;
成功登录后系统自动重定向到先前请求的资源,这时acegi security将再次处理重定向后的请求;
为了将原来请求的参数传递下去,acegi security将从Session中取出SavedRequest包装当前Request的getParameter及其他与上次请求相关的方法。
这样调用getParameter等方法只能返回SavedRequest中的内容,而不会理会以后再增加的参数。这似乎是acegi security的一个bug,但从安全角度考虑又是合理的。
由于acegi security配置为只处理REQUEST(2.3标准以及2.4标准的默认Filter配置),而重写url时为了减少请求次数以及隐藏内部处理页,一般是使用forward方式的,这样urlrewrite是在转发请求时加入查询串,此后的转发acegi security不会再去处理,当然此后再用getParameter将得不到增加的参数,因为应用服务器处理后的参数是加在了未经acegi security包装的Request里。事实上,此后所有通过forward方式加入的参数都将取不到。
而此后要得到增加的参数,就要分析查询串了。 当然,如果不考虑编码问题(例如查询串中没有编码过的字符,例如查询串只是简单的不包含空格的英文字符),似乎分析起来很简单(indexOf方法基本就能解决),但要做到通用就要费点功夫了。下面的代码参考了tomcat处理查询串的方式。
package com.aladdin.webapp.util;
import java.io.UnsupportedEncodingException;
import java.util.ArrayList;
import java.util.HashMap;
import java.util.List;
import java.util.Map;
import javax.servlet.http.HttpServletRequest;
public class RequestUtil {
public static void mergeQueryParameters(HttpServletRequest request,
Map parameters) {
Map queryParameters = new HashMap();
parseQueryParameters(request, queryParameters);
for (Object obj : queryParameters.entrySet()) {
Map.Entry entry = (Map.Entry) obj;
Object value = parameters.get(entry.getKey());
if (value == null) {
parameters.put(entry.getKey(), entry.getValue());
} else {
parameters.put(entry.getKey(), mergeValues(value, entry
.getValue()));
}
}
}
public static void parseQueryParameters(HttpServletRequest request,
Map parameters) {
String encoding = request.getCharacterEncoding();
if (encoding == null || "".equals(encoding)) {
encoding = "UTF-8";
}
try {
parseQueryParameters(parameters, request.getQueryString(), encoding);
} catch (UnsupportedEncodingException e) {
}
}
public static void parseQueryParameters(Map map, String queryString,
String encoding) throws UnsupportedEncodingException {
if (queryString != null && queryString.length() > 0) {
byte[] data = null;
try {
if (encoding == null) {
data = queryString.getBytes();
} else {
data = queryString.getBytes(encoding);
}
} catch (UnsupportedEncodingException uee) {
}
parseParameters(map, data, encoding);
}
}
public static void parseParameters(Map map, byte[] data, String encoding)
throws UnsupportedEncodingException {
if (data != null && data.length > 0) {
int ix = 0;
int ox = 0;
String key = null;
String value = null;
while (ix < data.length) {
byte c = data[ix++];
switch ((char) c) {
case '&':
value = new String(data, 0, ox, encoding);
if (key != null) {
putMapEntry(map, key, value);
key = null;
}
ox = 0;
break;
case '=':
if (key == null) {
key = new String(data, 0, ox, encoding);
ox = 0;
} else {
data[ox++] = c;
}
break;
case '+':
data[ox++] = (byte) ' ';
break;
case '%':
data[ox++] = (byte) ((convertHexDigit(data[ix++]) << 4) + convertHexDigit(data[ix++]));
break;
default:
data[ox++] = c;
}
}
if (key != null) {
value = new String(data, 0, ox, encoding);
putMapEntry(map, key, value);
}
}
}
private static byte convertHexDigit(byte b) {
if (b >= '0' && b <= '9') {
return (byte) (b - '0');
}
if (b >= 'a' && b <= 'f') {
return (byte) (b - 'a' + 10);
}
if (b >= 'A' && b <= 'F') {
return (byte) (b - 'A' + 10);
}
return 0;
}
private static void putMapEntry(Map map, String name, String value) {
String[] newValues = null;
String[] oldValues = (String[]) map.get(name);
if (oldValues == null) {
newValues = new String[1];
newValues[0] = value;
} else {
newValues = new String[oldValues.length + 1];
System.arraycopy(oldValues, 0, newValues, 0, oldValues.length);
newValues[oldValues.length] = value;
}
map.put(name, newValues);
}
private static String[] mergeValues(Object values1, Object values2) {
List list = new ArrayList();
addStringValues(list, values1);
addStringValues(list, values2);
String values[] = new String[list.size()];
return (String[]) list.toArray(values);
}
private static void addStringValues(List list, Object values) {
if (values != null) {
if (values instanceof String) {
list.add(values);
} else if (values instanceof String[]) {
for (String value : (String[]) values) {
list.add(value);
}
} else {
list.add(values.toString());
}
}
}
}
当然可用如下的Request包装类将查询参数合并到parameterMap中
package com.aladdin.webapp.wrapper;
import java.util.Enumeration;
import java.util.HashMap;
import java.util.Map;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import org.acegisecurity.ui.savedrequest.Enumerator;
import com.aladdin.webapp.util.RequestUtil;
public class QueryParameterRequestWrapper extends HttpServletRequestWrapper {
private Map parameters;
private String preQueryString;
private HttpServletRequest request;
public QueryParameterRequestWrapper(HttpServletRequest request) {
super(request);
this.request = request;
}
@Override
public String getParameter(String name) {
parseParameters();
Object value = parameters.get(name);
if (value == null) {
return null;
}
if (value instanceof String[]) {
return ((String[]) value)[0];
}
if (value instanceof String) {
return (String) value;
}
return value.toString();
}
@Override
public Map getParameterMap() {
parseParameters();
return parameters;
}
@Override
public Enumeration getParameterNames() {
parseParameters();
return new Enumerator(parameters.keySet());
}
@Override
public String[] getParameterValues(String name) {
parseParameters();
Object value = parameters.get(name);
if (value == null) {
return null;
}
if (value instanceof String[]) {
return (String[]) value;
}
String values[] = new String[1];
if (value instanceof String) {
values[0] = (String) value;
} else {
values[0] = value.toString();
}
return values;
}
private void parseParameters() {
String curQueryString = request.getQueryString();
if ((preQueryString != null && !preQueryString.equals(curQueryString))
|| (curQueryString != null && !curQueryString
.equals(preQueryString))) {
parameters = new HashMap(request.getParameterMap());
RequestUtil.mergeQueryParameters(request, parameters);
preQueryString = curQueryString;
} else if(preQueryString == null && curQueryString == null){
parameters = request.getParameterMap();
}
}
}
用如下的过滤器将其加到处理流程中
package com.aladdin.webapp.filter;
import java.io.IOException;
import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.springframework.web.filter.OncePerRequestFilter;
import com.aladdin.webapp.wrapper.QueryParameterRequestWrapper;
public class QueryParameterFilter extends OncePerRequestFilter {
public void doFilterInternal(HttpServletRequest request,
HttpServletResponse response, FilterChain chain)
throws IOException, ServletException {
chain.doFilter(new QueryParameterRequestWrapper(request), response);
}
}