通过过滤器在Servlet中设置身份验证头信息

Question

通过过滤器在Servlet中设置身份验证头信息

11

前言

这是我第一次尝试编写Filter，请温柔一点。

项目描述

我正在尝试为我们的几个应用程序完成单点登录(SSO)构建，并且似乎遇到了难题。我试图连接到的Web应用程序使用“Authentication”头确定应用程序中的用户凭据。我已经构建了一个Filter，希望在传递给Web应用程序之前设置头信息。

问题

代码通过Eclipse验证，编译，加载到Tomcat并传递到Web应用程序。唯一缺少的就是Authentication头信息。

我错过了什么/做错了什么？

AuthenticationFilter源码

package xxx.xxx.xxx.xxx.filters;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

import xxx.xxx.xxx.ConfigFile;
import xxx.xxx.xxx.Console;
import xxx.xxx.xxx.FalseException;

import xxx.xxx.activity.EncryptUtil;

public class AuthenticationFilter implements Filter {
  public ConfigFile config;

  public void init(FilterConfig arg0) throws ServletException {
    config = new ConfigFile("C:/config.properties");
  }

  public void doFilter(ServletRequest sRequest, ServletResponse sResponse, FilterChain filterChain) throws IOException, ServletException {
    Console.debug("AuthenticationFilter.doFilter() triggered.");
    ServletRequestWrapper request = new ServletRequestWrapper((HttpServletRequest) sRequest);
    HttpServletResponse response = (HttpServletResponse) sResponse;
    HttpSession session = request.getSession();
    Cookie cookie = null;
    try {
      if (request.getParameter("logout") != null) {
        session.invalidate();
        throw new FalseException("Logout recieved");
      }
      String auth = request.getHeader("Authorization");
      if (auth == null) {
        Console.debug("Authorization Header not found.");
        // get cookie --COOKIE NAME--
        Cookie[] cookies = request.getCookies();
        if (cookies == null) {
          throw new FalseException("Cookies not set.");
        }
        for (int i = 0; i < cookies.length; i++) {
          if (cookies[i].getName().equals(config.getProperty("authentication.cookie.name"))) {
            cookie = cookies[i];
          }
        }
        if (cookie == null) {
          throw new FalseException("Cannot find Cookie (" + config.getProperty("authentication.cookie.name") + ") on Client");
        }
        Console.debug("Cookie (" + config.getProperty("authentication.cookie.name") + ") found on Client. value="+cookie.getValue());
        String decToken = decryptToken(cookie.getValue());
        Console.debug("Decrypted Token: "+decToken);

        Console.debug("Setting Authorization Header...");
        request.setAttribute("Authorization", decToken);
        request.addHeader("Authorization", decryptToken(cookie.getValue()));
        Console.debug("Authorization Header set.");
        Console.debug("Validating Authorization Header value: "+request.getHeader("Authorization"));
      }
    }catch (FalseException e) {
      Console.msg(e.getMessage() + ", giving the boot.");
      response.sendRedirect(config.getProperty("application.login.url"));
    } catch (Exception e) {
      Console.error(e);
    }
    Console.debug("AuthenticationFilter.doFilter() finished.");
    filterChain.doFilter(request, response);
  }

  public void destroy() {

  }

  private String decryptToken(String encToken) {
    String token = null;
    token = EncryptUtil.decryptFromString(encToken);
    return token;
  }
}

web.xml源代码

<web-app>
  <filter>
    <filter-name>AuthenticationFilter</filter-name>
    <display-name>AuthenticationFilter</display-name>
    <description></description>
    <filter-class>com.xxx.xxx.xxx.filters.AuthenticationFilter</filter-class>
  </filter>
  <filter-mapping>
    <filter-name>AuthenticationFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>
  ...
</web-app>

ServletRequestWrapper 源码

package com.xxx.xxx.xxx.filters;

import java.util.ArrayList;
import java.util.Collections;
import java.util.Enumeration;
import java.util.HashMap;
import java.util.Iterator;
import java.util.List;
import java.util.Map;

import javax.servlet.http.HttpServletRequest;

public class ServletRequestWrapper extends javax.servlet.http.HttpServletRequestWrapper {

  public ServletRequestWrapper(HttpServletRequest request) {
    super(request);
    headerMap = new HashMap();
  }

  private Map headerMap;

  public void addHeader(String name, String value) {
    headerMap.put(name, new String(value));
  }

  public Enumeration getHeaderNames() {
    HttpServletRequest request = (HttpServletRequest) getRequest();
    List list = new ArrayList();
    for (Enumeration e = request.getHeaderNames(); e.hasMoreElements();) {
      list.add(e.nextElement().toString());
    }

    for (Iterator i = headerMap.keySet().iterator(); i.hasNext();) {
      list.add(i.next());
    }
    return Collections.enumeration(list);
  }

  public String getHeader(String name) {
    Object value;
    if ((value = headerMap.get("" + name)) != null)
      return value.toString();
    else
      return ((HttpServletRequest) getRequest()).getHeader(name);
  }

}

调试日志

LoginServlet.doGet() triggered.
[DEBUG] : Authenticate.isClientLoggedIn() triggered.
xxx url : https://xxx.xxx.xxx/xxx/home.action
[DEBUG] : Authenticate.isClientLoggedIn() status code: 401
Unauthorized User.
Client IS NOT logged in.

-- Fill out Login Form, submit --

LoginServlet.doPost() triggered.
[DEBUG] : Authenticate.isClientLoggedIn() triggered.
xxx url : https://xxx.xxx.xxx./xxx/home.action
[DEBUG] : Authenticate.isClientLoggedIn() status code: 401
Unauthorized User.
Client IS NOT logged in.
Client (--USERID--) attempting basic authentication with password(--PASSWORD--).
[DEBUG] : BasicAuthentication.touch(http://localhost:PORT/vu/loginCheck.html, --USERID--, --PASSWORD--) triggered.
[DEBUG] : BasicAuthentication.touch() response code: 200
Client (--USERID--) has been logged IN.
Client (--USERID--) basic authentication finished, Client is logged in.
Client (--USERID--) logged in successfully.
[DEBUG] : Cookie (xxx_token) Set: 1e426f19ebdfef05dec6544307addc75401ecdc908a3c7e6df5336c744--SECRET--
[DEBUG] : Redirecting client to https://xxx.xxx.xxx/xxx/home.action

-- Redirected to webapp, filter recieves --

[DEBUG] : AuthenticationFilter.doFilter() triggered.
[DEBUG] : Authorization Header not found. << Initical check to see if user is already logged in to site
[DEBUG] : Cookie (xxx_token) found on Client. value=1e426f19ebdfef05dec6544307addc75401ecdc908a3c7e6df5336c744--SECRET--
[DEBUG] : Decrypted Token: Basic --SECRET--
[DEBUG] : Setting Authorization Header...
[DEBUG] : Authorization Header set.
[DEBUG] : Validating Authorization Header value: Basic --SECRET-- << Value matches Decrypted Token
[DEBUG] : AuthenticationFilter.doFilter() finished.

-- Web Application errors out, unable to find Authorization header

谢谢您的帮助。

- PseudoNinja

3

一些建议：请不要抛出Throwable，它通常被保留用于非常广泛的错误范围，通常只有在JVM作为最后一道防线时才会捕获，而且永远不要在过滤器中捕获Throwable或异常而不重新抛出它们。 - Andrew White

@Andrew White，我会记住的。我试图在没有一堆丑陋的 if 语句的情况下将我的进程和错误分开处理。这并不能为我的行为辩解，只是解释了它。 - PseudoNinja

你的短语“我正在尝试连接的Web应用程序”是含糊不清的。请详细阐述。例如，我解释为使用URL＃openConnection()，但显然这与您的过滤器不兼容（这可能是问题的根本原因）。 - BalusC

1

好的，你是怎么得出缺少头信息的结论的？你在相关的Web应用程序中调试了request.getHeader()吗？请求是否是ServletRequestWrapper的实例？ - BalusC

@BalusC Fiddler、Firebug(net)和Web应用程序中缺少头信息，因此无法找到用户凭据而出现错误。是的，它接收到的请求是ServletRequestWrapper的实例。 - PseudoNinja

显示剩余8条评论

2个回答

1

首先，最基本的问题（有点像“这个插头插进去了吗”的问题），我假设你所有的cookie都是根据相同的域名设置的，并且你没有尝试跨域行为。因为cookie不能做到这一点。

除了cookie测试之外，这看起来很好。但这一切都取决于cookie测试。

如果您想测试授权标头，则可以简单地绕过cookie测试（即它始终通过），并使用一些有效值填充授权标头。这将在短期内测试您的整个授权方案。

完成/修复后，您可以专注于cookie设置和传递。

我还假设您没有使用基于Java EE容器的身份验证，Tomcat会为您进行此检查。在这种情况下，过滤器就太晚了。容器甚至在您的过滤器被调用之前已经做出了决定。

如果您正在使用基于容器的身份验证，并且您的应用程序位于同一个容器上，我想象Tomcat（或其他人）在容器级别有一个SSO选项。我知道Glassfish会在开箱即用时为您提供此功能。如果是这种情况，应该很容易修改Tomcat构件（即不是可移植的Java EE / Servlet机制）来实现这一点。

- Will Hartung

很好的回答，Will。我也想指出，从安全角度考虑，最好使用应用服务器提供的身份验证和SSO功能。它们可能经过更好的测试和更广泛的审查。我特别担心提到的EncryptionUtils。 - erloewe

通常我会同意你们的看法，但是项目要求规定登录必须支持现有的用户管理，这恰好是基本身份验证。应用程序本身使用标头中的信息来填充站点上的信息。 - PseudoNinja

我并不是建议你改用基于容器的身份验证。但是，需要明确的是，容器确实支持基本身份验证。但是你需要更改应用程序以使用Servlet安全接口（isUserInRole、getPrincipal等）。 - Will Hartung

这就是过滤器的原因，因为我无法（轻易地）更改应用程序。最终该项目将转移到哈希表，但在此期间我们在这里。 - PseudoNinja

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Will Hartung · Accepted Answer

我正在添加一个新答案，因为它完全不同。

我在我的系统上进行了测试。我复制了您的代码，转储了cookie测试，并编写了一个简单的Servlet来为我转储事物。

它工作得很好，只有一个警告。

我不知道您的应用程序如何使用它。但是，您的ServletRequestWrapper实现了getHeaderNames和getHeader，但它没有实现getHeaders。当我使用getHeaders尝试转储请求时，我遇到了这个问题，当然，授权缺失了。

因此，您可能需要更仔细地查看您的代码，以确定它是否确实没有使用getHeaders。如果使用了，它将“正常工作”，但完全跳过您所做的工作，从而忽略您的授权标头。

这是我的实现，对我有效。

    @Override
    public Enumeration getHeaders(String name) {
        Enumeration e = super.getHeaders(name);
        if (e != null && e.hasMoreElements()) {
            return e;
        } else {
            List l = new ArrayList();
            if (headerMap.get(name) != null) {
                l.add(headerMap.get(name));
            }
            return Collections.enumeration(l);
        }
    }