我有一个由Shibboleth SSO实现保护的Jersey API。 Shibboleth将登录用户的ID放在请求属性中。在后台,我使用Shiro进行授权。 Shiro想知道登录的用户,以便它可以加载权限。在泽西岛ContainerRequestFilter中读取请求属性
将userId从请求属性中取出并放入Shiro的正确方法是什么?现在,我想要的是:
@Provider
public final class ShiroLoginFilter implements ContainerRequestFilter {
@Context
private HttpServletRequest request;
@Override
public void filter(final ContainerRequestContext requestContext)
throws IOException {
final String userId = (String) this.request.getAttribute("nameid");
final Subject subject = SecurityUtils.getSubject();
subject.login(new LocusAuthenticationToken(userId));
}
}
不幸的是,由于JERSEY-1960,我不能注入请求上下文成过滤嘴。每个用户都需要“登录”才能加载权限。我宁愿不必在API的每个方法中重复登录代码。我也不允许使用web.xml过滤器(由我的老板)。我在这里有什么好的选择吗?