Как я могу обойти фильтр безопасности в web.xml

Question

Я работаю с собственным фильтром безопасности, SCMIS Security Filter, в нашем веб-приложении, которое выполняет вызов java-файла исключения, когда пользователь не аутентифицирован для доступа к веб-приложению, которое находится в JAR-файле зависимости. Этот фильтр определен в нашем файле web.xml, но я хотел бы знать, могу ли я вообще обойти этот фильтр безопасности при вызове этого конкретного исключения, чтобы я мог перенаправить пользователя на определенную страницу JSP в этом же веб-приложении

Вот web.xml:

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns="http://java.sun.com/xml/ns/javaee"
    xmlns:web="http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"
    xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"
    id="WebApp_ID"  version="2.5">

  <display-name>SCMIS</display-name>

    <filter>
        <filter-name>Waffle SecurityFilter</filter-name>
        <filter-class>waffle.servlet.NegotiateSecurityFilter</filter-class>
    </filter>

    <filter>
        <display-name>SCMIS Security Filter</display-name>
        <filter-name>SCMISSecurityFilter</filter-name>
        <filter-class>org.texashealth.scmis.security.Filter</filter-class>
    </filter>

    <filter>
        <display-name>Stripes Filter</display-name>
        <filter-name>StripesFilter</filter-name>
        <filter-class>net.sourceforge.stripes.controller.StripesFilter</filter-class>
        <init-param>
            <param-name>ActionResolver.Packages</param-name>
            <param-value>org.texashealth.scm.stripes,org.texashealth.scmis.stripes</param-value>
        </init-param>
        <init-param>
            <param-name>Extension.Packages</param-name>
            <param-value>org.texashealth.scmis.stripes.ext</param-value>
        </init-param>
        <init-param>
            <param-name>PopulationStrategy.Class</param-name>
            <param-value>net.sourceforge.stripes.tag.BeanFirstPopulationStrategy</param-value>
        </init-param>
    </filter>

    <filter-mapping>
        <filter-name>Waffle SecurityFilter</filter-name>
        <url-pattern>*.jsp</url-pattern>
        <dispatcher>REQUEST</dispatcher>
    </filter-mapping>

    <filter-mapping>
        <filter-name>Waffle SecurityFilter</filter-name>
        <url-pattern>*.action</url-pattern>
        <dispatcher>REQUEST</dispatcher>
    </filter-mapping>

    <filter-mapping>
        <filter-name>SCMISSecurityFilter</filter-name>
        <url-pattern>*.jsp</url-pattern>
        <dispatcher>REQUEST</dispatcher>
    </filter-mapping>

    <filter-mapping>
        <filter-name>SCMISSecurityFilter</filter-name>
        <url-pattern>*.action</url-pattern>
        <dispatcher>REQUEST</dispatcher>
    </filter-mapping>

    <filter-mapping>
        <filter-name>StripesFilter</filter-name>
        <url-pattern>*.jsp</url-pattern>
        <dispatcher>REQUEST</dispatcher>
        <dispatcher>FORWARD</dispatcher>
    </filter-mapping>

    <filter-mapping>
        <filter-name>StripesFilter</filter-name>
        <servlet-name>StripesDispatcher</servlet-name>
        <dispatcher>REQUEST</dispatcher>
    </filter-mapping>

    <servlet>
        <display-name>Stripes Dispatcher</display-name>
        <servlet-name>StripesDispatcher</servlet-name>
        <servlet-class>net.sourceforge.stripes.controller.DispatcherServlet</servlet-class>
        <load-on-startup>1</load-on-startup>
    </servlet>

    <servlet-mapping>
        <servlet-name>StripesDispatcher</servlet-name>
        <url-pattern>*.action</url-pattern>
    </servlet-mapping>

    <error-page>
        <exception-type>java.lang.Exception</exception-type>
        <location>/error.jsp</location>
    </error-page>

    <welcome-file-list>
        <welcome-file>index.html</welcome-file>
        <welcome-file>index.htm</welcome-file>
        <welcome-file>index.jsp</welcome-file>
        <welcome-file>default.html</welcome-file>
        <welcome-file>default.htm</welcome-file>
        <welcome-file>default.jsp</welcome-file>
    </welcome-file-list>
</web-app>

Метод исключения, вызываемый в JAR из фильтра:

public UnauthorizedException(final HttpServletResponse response, final String userName) throws IOException {
    //response.sendError(HttpServletResponse.SC_UNAUTHORIZED, "User: " + userName.toUpperCase() + " is not authorized to access this resource");
    response.sendRedirect("/nau/unAuthorizedUser.jsp");
}

Сейчас я зацикливаюсь на своем локальном сервере Tomcat, потому что я нахожусь в фильтре безопасности, который пытается аутентифицировать пользователя для доступа к веб-приложению, и я не могу получить пользователя на страницу unAuthorizedUser.jsp .

Любая помощь / направление будет оценено.

Answer 1

Прямо сейчас вы установили фильтр безопасности на *.jsp, который, очевидно, будет перехватывать все *.jsp запросы, включая страницу unAuthorizedUser.jsp.Есть два основных способа решения этой проблемы:

1. Вам необходимо изменить отображение фильтра, чтобы оно не совпадало с запросом unAuthorizedUser.jsp.Например, измените его на /app/* и поместите все запрещенные страницы в папку /app.

2. Вам необходимо добавить дополнительную проверку if на request.getRequestURI(), чтобы увидеть, если unAuthorizedUser.jsp запрошено, и если так, то пропустите проверку авторизации и продолжите цепочку фильтров.