spring security 3.0 logout filter 代码中的一个小bug

feiyan35488

浏览: 198309 次
性别:
来自: 北京

最近访客更多访客>>

qq1083640671

zhengxingquan

ymandjy

tongzhongfu

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

博客分类：

spring系列

Security Spring J#

先附上

      public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
            throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) req;
        HttpServletResponse response = (HttpServletResponse) res;

        if (requiresLogout(request, response)) {
            Authentication auth = SecurityContextHolder.getContext().getAuthentication();

            if (logger.isDebugEnabled()) {
                logger.debug("Logging out user '" + auth + "' and transferring to logout destination");
            }

            for (LogoutHandler handler : handlers) {
                handler.logout(request, response, auth);
            }

            logoutSuccessHandler.onLogoutSuccess(request, response, auth);

            return;
        }

        chain.doFilter(request, response);
    }

    /**
     * Allow subclasses to modify when a logout should take place.
     *
     * @param request the request
     * @param response the response
     *
     * @return <code>true</code> if logout should occur, <code>false</code> otherwise
     */
    protected boolean requiresLogout(HttpServletRequest request, HttpServletResponse response) {
        String uri = request.getRequestURI();
        int pathParamIndex = uri.indexOf(';');

        if (pathParamIndex > 0) {
            // strip everything from the first semi-colon
            uri = uri.substring(0, pathParamIndex);
        }

        int queryParamIndex = uri.indexOf('?');

        if (queryParamIndex > 0) {
            // strip everything from the first question mark
            uri = uri.substring(0, queryParamIndex);
        }

        [color=red]if ("".equals(request.getContextPath())) {
            return uri.endsWith(filterProcessesUrl);
        }[/color]

        return [color=red]uri.endsWith(request.getContextPath() + filterProcessesUrl)[/color];
    }

    requiresLogout方法是判断url是否为 logout_url 的，居然用了 endsWith，我进行了测试，只要地址后缀为 j_spring_security_logout 的都能退出系统。
    而且 if ("".equals(request.getContextPath())) {
            return uri.endsWith(filterProcessesUrl);
        }这段代码貌似没用，直接用下面那个就能比较出来。
    大家有什么看法？

分享到：

迅雷会员账号需要的请转 | spring security 源码分析：过滤器

2011-01-27 15:59
浏览 986
评论(0)
论坛回复 / 浏览 (0 / 2115)
分类:企业架构
查看更多

发表评论

您还没有登录,请您登录后再发表评论

最近访客更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论

spring security 3.0 logout filter 代码中的一个小bug

评论

发表评论

相关推荐

最近访客 更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论

spring security 3.0 logout filter 代码中的一个小bug

评论

发表评论

相关推荐

spring security 源码分析： 过滤器

spring security 源码解读 1

spring 事件处理机制的原理分析和新的设想

spring 自定义事件 处理机制 2

spring 自定义事件处理机制

spring的事件 处理机制

spring 事务 不能rollback的问题终于解决了

spring 详细配置

spring security遇到的一些问题

spring junit集成测试

我要精通spring

spring事物和db连接池的一些想法

今天用spring 事务出了一个很郁闷的问题

最近访客更多访客>>

spring security 源码分析：过滤器

spring 自定义事件处理机制 2

spring的事件处理机制

spring 事务不能rollback的问题终于解决了