我有一个受SSO实施的Shibboleth保护的Jersey API. Shibboleth将登录用户的id放入请求属性中.在后端,我正在使用Shiro进行授权. Shiro想知道登录用户,因此它可以加载权限.
将userId从请求属性中移出并进入Shiro的正确方法是什么?现在,我正在尝试的是:
@Provider
public final class ShiroLoginFilter implements ContainerRequestFilter {
@Context
private HttpServletRequest request;
@Override
public void filter(final ContainerRequestContext requestContext)
throws IOException {
final String userId = (String) this.request.getAttribute("nameid");
final Subject subject = SecurityUtils.getSubject();
subject.login(new LocusAuthenticationToken(userId));
}
}
不幸的是,由于JERSEY-1960,我无法将请求上下文注入过滤器.每个用户都需要“登录”才能加载权限.我宁愿不必在API的每个方法中重复登录代码.我也不允许使用web.xml过滤器(由我的老板).我有什么好的选择吗?