个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
24
4
我有一个具有 FORM 类型身份验证机制的 Web 应用程序,因此当用户请求 protected 资源时 login.jsp 会拦截该请求,发送 j_username 和 j_password 到服务器,用户在该服务器上经过身份验证并被授权获取该特定资源,该资源被发送回客户端。
在以下请求期间,j_username 似乎不会存储在任何地方(请求参数/属性、 session 属性),但您可以通过调用 request.getUserPrincipal().getName() 获取该值.
谁以及如何实际将该值与当前用户耦合? j_username 真正存储在哪里?我的猜测是应用程序服务器是跟踪 [userid,sessionid] 对的服务器,以便在调用 request.getUserPrincipal().getName() 时它可以发回与当前 session 关联的用户 ID。
但这只是猜测,有人能证实/反驳吗?
最佳答案
My guess is that the application server is the one that is keeping track of the pairs [userid,sessionid] so that when request.getUserPrincipal().getName() is invoked it can send back the userid associated with the current session.
servlet specification 中没有指定这一点。然而,基于 FORM 的身份验证的“事实上的”方法确实可以归结为这一点。当您使 HTTP session 失效或过期时,您还可以通过看到用户主体消失来轻松确认这一点。
实际的实现取决于所使用的servlet容器。对于 Tomcat,它存储在 org.apache.catalina.Session 中类(代表内部 HttpSession 外观),它有一个 getPrincipal()将 Principal 复制到每个 HttpServletRequest 的方法。
发生的地方是 org.apache.catalina.authenticator.AuthenticatorBase ,在 invoke()方法。以下是 Tomcat 10.0.21 source code 的相关摘录:
509 if (cache) {
510 Principal principal = request.getUserPrincipal();
511 if (principal == null) {
512 Session session = request.getSessionInternal(false);
513 if (session != null) {
514 principal = session.getPrincipal();
515 if (principal != null) {
516 if (log.isDebugEnabled()) {
517 log.debug("We have cached auth type " + session.getAuthType() +
518 " for principal " + principal);
519 }
520 request.setAuthType(session.getAuthType());
521 request.setUserPrincipal(principal);
522 }
523 }
524 }
525 }
在第 514 行,您可以看到它是从 HTTP session 中提取的(至少,Tomcat 的内部外观无法通过公共(public) API 访问),在第 521 行,您可以看到它被设置在 Tomcat 的 HTTP 请求的内部外观上,其中反过来可以通过 HttpServletRequest#getUserPrincipal() 公开访问。
如果您好奇如何以及何时调用 Session#setPrincipal(),请前往 register()同一类的方法。
所有其他 servletcontainer 实现都有类似的方法。
关于java - 执行登录后如何管理 j_username 值?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/35987707/
24
4
0
我的问题:非常具体。我正在尝试想出解析以下文本的最简单方法: ^^domain=domain_value^^version=version_value^^account_type=account_ty
好吧,这就是我的困境: 我正在为 Reddit 子版 block 开发常见问题解答机器人。我在 bool 逻辑方面遇到了麻烦,需要一双更有经验的眼睛(这是我在 Python 中的第一次冒险)。现在,该
它首先遍历所有 y 值,然后遍历所有 x 值。我需要 X 和 y 同时改变。 For x = 3 To lr + 1 For y = 2 To lr anyl.Cells(x, 1)
假设我有一个包含 2 列的 Excel 表格:单元格 A1 到 A10 中的日期和 B1 到 B10 中的值。 我想对五月日期的所有值求和。我有3种可能性: {=SUM((MONTH(A1:A10)=
如何转换 Z-score来自 Z-distribution (standard normal distribution, Gaussian distribution)到 p-value ?我还没有找到
我正在重写一些 Javascript 代码以在 Excel VBA 中工作。由于在这个网站上搜索,我已经设法翻译了几乎所有的 Javascript 代码!但是,有些代码我无法准确理解它在做什么。这是一
我遇到过包含日期格式的时间戳日期的情况。然后我想构建一个图表,显示“点击”项目的数量“每天”, //array declaration $array1 = array("Date" => 0); $a
我是scala的新手! 我的问题是,是否有包含成员的案例类 myItem:Option[String] 当我构造类时,我需要将字符串内容包装在: Option("some string") 要么 So
我正在用 PHP 创建一个登录系统。我需要用户使用他或她的用户名或电子邮件或电话号码登录然后使用密码。因为我知道在 Java 中我们会像 email==user^ username == user 这
我在 C++ 项目上使用 sqlite,但是当我在具有文本值的列上使用 WHERE 时出现问题 我创建了一个 sqlite 数据库: CREATE TABLE User( id INTEGER
当构造函数是显式时,它不用于隐式转换。在给定的代码片段中,构造函数被标记为 explicit。那为什么在 foo obj1(10.25); 情况下它可以工作,而在 foo obj2=10.25; 情况
我知道这是一个主观问题,所以如果需要关闭它,我深表歉意,但我觉得它经常出现,让我想知道是否普遍偏爱一种形式而不是另一种形式。 显然,最好的答案是“重构代码,这样你就不需要测试是否存在错误”,但有时没有
这两个 jQuery 选择器有什么区别? 以下是来自 w3schools.com 的定义: [attribute~=value] 选择器选择带有特定属性,其值包含特定字符串。 [attribute*=
为什么我们需要CSS [attribute|=value] Selector根本当 CSS3 [attribute*=value] Selector基本上完成相同的事情,浏览器兼容性几乎相似?是否存在
我正在解决 regx 问题。我已经有一个像这样的 regx [0-9]*([.][0-9]{2})。这是 amont 格式验证。现在,通过此验证,我想包括不应提供 0 金额。比如 10 是有效的,但
我正在研究计算机科学 A 考试的样题,但无法弄清楚为什么以下问题的正确答案是正确的。 考虑以下方法。 public static void mystery(List nums) { for (
好的,我正在编写一个 Perl 程序,它有一个我收集的值的哈希值(完全在一个完全独立的程序中)并提供给这个 Perl 脚本。这个散列是 (string,string) 的散列。 我想通过 3 种方式对
我有一个表数据如下,来自不同的表。仅当第三列具有值“债务”并且第一列(日期)具有最大值时,我才想从第四列中获取最大值。最终值基于 MAX(DATE) 而不是 MAX(PRICE)。所以用简单的语言来说
我有一个奇怪的情况,只有错误状态保存到数据库中。当“状态”应该为 true 时,我的查询仍然执行 false。 我有具有此功能的 Controller public function change_a
我有一个交易表(针对所需列进行了简化): id client_id value 1 1 200 2 2 150 3 1
我是一名优秀的程序员,十分优秀!