<b>Acegi(十):securityContextHolderAwareRequestFilter结</b>[Java编程]

在Acegi(八) 和Acegi(九) 里, 我们对securityContextHolderAwareRequestFilter有了个较为全面的解析.在这篇做个小结, 也把一些漏落补上.

在上两篇里,我们实际上是介绍了三个类: SecurityContextHolderAwareRequestFilter、 SecurityContextHolderAwareRequestWrapper和SavedRequestAwareWrapper(及由些想到的 SavedRequest). 目前我们回过头再看时,对它们之间也有了个更复苏的了熟习: Acegi通过这个SecurityContextHolderAwareRequestFilter把Request给Wrap下, 而这个wrapper就是SecurityContextHolderAwareRequestWrapper或 SavedRequestAwareWrapper. SavedRequestAwareWrapper担当自SecurityContextHolderAwareRequestWrapper类.

我们再看在Acegi(八)配置,

Xml代码

<bean id="securityContextHolderAwareRequestFilter"
class="org.acegisecurity.wrapper.SecurityContextHolderAwareRequestFilter" />

通过这个配置, securityContextHolderAwareRequestFilter实际上用SavedRequestAwareWrapper来包装Acegi拦阻下来的Request. 这是怎么回事? 配置中没表现出来呀. 看源码,发现本来SavedRequestAwareWrapper是通过" Class wrapperClass = SavedRequestAwareWrapper.class; "这个属性写死的. 这样默许情形下, securityContextHolderAwareRequestFilter便可以直接用了. 那怎么换呢? 有一个办法setWrapperClass,通过它可以替换毕竟用哪个wrapper了. (这里又有一个问题了, 在Spring的配置文件中,用property标签设置 wrapperClass时,value里应当是一个String范例的,那怎么转成Class范例的呢? ).

再看 securityContextHolderAwareRequestFilter类的文档, 发现,我们可以来自己的实现类来设置wrapperClass. 那自已定制的类又有什么特别的要求呢?有, 自己定制的类就是要有一个大众的构造办法, 这个大众办法得承受两个参数: HttpServletRequest和 PortResolver. 当然定制的类是要担当 HttpServletRequestWrapper类 或实现 HttpServletRequest接口.

-------------------------------

至此, 对 securityContextHolderAwareRequestFilter介绍告一段落了. 下面说下在此历程中发现的一个Filter,即HttpRequestIntegrationFilter. 看名字仿佛能看出点什么来, 文档介绍是这样的:"Populates SecurityContext with the Authentication obtained from the container's HttpServletRequest.getUserPrincipal()". 也就是说通过这个filter把Web(或利用服务器)容器里传来的Security信息传给Acegi放到 SecurityContext中.

通过这个Filter, Acegi可以跟Java里的尺度JAAS结合,或像Tomcat自身的Security管理信息? 还没见过, 今后留神.