我需要一个过滤器,在每个servlet之前调用它,并检查该servlet是否有一个注释,说明它需要身份验证,例如在Servlet 3中@ServletSecurity(@HttpConstraint(rolesAllowed={"user"}))。如果不是这种情况,则过滤器将返回。如果 servlet 需要身份验证,它将检查请求令牌是否具有user角色,如果没有,它将自动设置NOT_AUTHENTICATED响应,甚至不通过 servlet。
这项工作必须由过滤器完成,因为我需要验证请求中的 JWT 令牌并将解码的 JWT 添加到请求中,以便 servlet 可以使用其有效负载。
如何检查过滤器中的 servlet 注释?在这种情况下,我可以创建一个更简单的注释,例如 servlet 中的@RequiresAuth?因为我不需要这个项目中的角色。
是否可以在不通过 servlet 的情况下从过滤器向客户端返回未经身份验证的响应?
是否可以以编程方式将筛选器设置为第一个筛选器?
这就是我使用 Jersey 解决它的方式,但我需要一个仅使用 servlet 的解决方案:
@Priority(Priorities.AUTHENTICATION)
public class AuthenticationFilter implements ContainerRequestFilter {
@Context
private ResourceInfo resourceInfo;
@Override
public void filter(ContainerRequestContext context) {
final Method method = resourceInfo.getResourceMethod();
if (method.isAnnotationPresent(PermitAll.class)) return;
if (method.isAnnotationPresent(DenyAll.class)) {
context.abortWith(Response.status(Response.Status.FORBIDDEN).build());
return;
}
final RolesAllowed rolesAnnotation = method.getAnnotation(RolesAllowed.class);
if (rolesAnnotation == null) return;
}
}
如何检查过滤器中的 servlet 注释?在这种情况下,我可以创建一个更简单的注释,例如 servlet 中的@RequiresAuth?因为我不需要这个项目中的角色。
这是可能的,但不建议。 过滤器应该有选择地应用于需要它们的 servlet。 在您的情况下,我只会将其映射到那些需要身份验证的 servlet。
在泽西岛示例中,身份验证筛选器适用于所有终结点。 使用 servlet 过滤器,您可以决定希望此过滤器应用于哪些 servlet/url 模式。 在这里,对注释进行内省不再有意义。
是否可以在不通过 servlet 的情况下从过滤器向客户端返回未经身份验证的响应?
是的。通过调用 response.setStatus(401) 而不是 chain.doFilter 从过滤器返回。
if (isAuthenticated()) {
// this proceeds to the next filter or servlet in the chain
chain.doFilter(request, response);
}
else {
// this returns the response to the client
response.setStatus(401);
}
是否可以以编程方式将筛选器设置为第一个筛选器?
是的。 通过注释是不可能的,但通过网络.xml是可能的。 那里只是任何给定的servlet或url模式的元素顺序。
<filter>
<filter-name>filter1</filter-name>
<filter-class>filter.Filter1</filter-class>
</filter>
<filter>
<filter-name>filter2</filter-name>
<filter-class>filter.Filter2</filter-class>
</filter>
<!-- filter2 will be applied 1st because it's listed 1st -->
<filter-mapping>
<filter-name>filter2</filter-name>
<servlet-name>some-servlet</servlet-name>
</filter-mapping>
<!-- filter1 will be applied after filter2 -->
<filter-mapping>
<filter-name>filter1</filter-name>
<servlet-name>some-servlet</servlet-name>
</filter-mapping>