spring security 3.0 logout filter 代码中的一个小bug -

kobe学java

浏览: 250569 次
性别:
来自: 苏州

最近访客更多访客>>

天道有情战天下

devcang

开奔驰遛宝马

315945740

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

spring security 3.0 logout filter 代码中的一个小bug

博客分类：

spring security

spring security 3.0 logout filter 代码中的一个小bug

博客分类：

spring系列

Security Spring J#

先附上

Java代码 




 
  public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)  
        throws IOException, ServletException {  
    HttpServletRequest request = (HttpServletRequest) req;  
    HttpServletResponse response = (HttpServletResponse) res;  
  
    if (requiresLogout(request, response)) {  
        Authentication auth = SecurityContextHolder.getContext().getAuthentication();  
  
        if (logger.isDebugEnabled()) {  
            logger.debug("Logging out user '" + auth + "' and transferring to logout destination");  
        }  
  
        for (LogoutHandler handler : handlers) {  
            handler.logout(request, response, auth);  
        }  
  
        logoutSuccessHandler.onLogoutSuccess(request, response, auth);  
  
        return;  
    }  
  
    chain.doFilter(request, response);  
}  
  
/** 
 * Allow subclasses to modify when a logout should take place. 
 * 
 * @param request the request 
 * @param response the response 
 * 
 * @return <code>true</code> if logout should occur, <code>false</code> otherwise 
 */  
protected boolean requiresLogout(HttpServletRequest request, HttpServletResponse response) {  
    String uri = request.getRequestURI();  
    int pathParamIndex = uri.indexOf(';');  
  
    if (pathParamIndex > 0) {  
        // strip everything from the first semi-colon  
        uri = uri.substring(0, pathParamIndex);  
    }  
  
    int queryParamIndex = uri.indexOf('?');  
  
    if (queryParamIndex > 0) {  
        // strip everything from the first question mark  
        uri = uri.substring(0, queryParamIndex);  
    }  
  
    [color=red]if ("".equals(request.getContextPath())) {  
        return uri.endsWith(filterProcessesUrl);  
    }[/color]  
  
    return [color=red]uri.endsWith(request.getContextPath() + filterProcessesUrl)[/color];  
}  

    requiresLogout方法是判断url是否为 logout_url 的，居然用了 endsWith，我进行了测试，只要地址后缀为 j_spring_security_logout 的都能退出系统。
    而且 if ("".equals(request.getContextPath())) {
            return uri.endsWith(filterProcessesUrl);
        }这段代码貌似没用，直接用下面那个就能比较出来。
    大家有什么看法？

分享到：

spring 3.0 应用springmvc 构造RESTful UR ... | Spring Security 3 与 CAS单点登录配置-Ser ...

2012-03-15 19:57
浏览 963
评论(0)
分类:企业架构
查看更多

发表评论

您还没有登录,请您登录后再发表评论

最近访客更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论

spring security 3.0 logout filter 代码中的一个小bug

spring security 3.0 logout filter 代码中的一个小bug

评论

发表评论

相关推荐

最近访客 更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论

spring security 3.0 logout filter 代码中的一个小bug

spring security 3.0 logout filter 代码中的一个小bug

评论

发表评论

相关推荐

在spring security3上实现验证码

Spring Security3.1登陆验证 替换 usernamepasswordfilter

Spring Security 3应用的11个步骤

在spring security3上实现验证码

spring security 密码编码器

spring security 配置详解

图解Spring Security默认使用的过滤器

Spring Security 3 与 CAS单点登录配置-Server

Topic: Spring Security 3 与 CAS单点登录配置-Client

Spring Security 可动态授权RBAC权限模块实践

Spring Security 3 基于角色访问控制过程详解

修改spring security源码实现动态授权

spring security 源码分析： 过滤器

spring security遇到的一些问题

spring security 源码解读 1

最近访客更多访客>>

Spring Security3.1登陆验证替换 usernamepasswordfilter

spring security 源码分析：过滤器