Jakarta ee Jersey:区分会话超时和缺少授权
我使用的Jersey(1.18.1)启用了Jakarta ee Jersey:区分会话超时和缺少授权,jakarta-ee,exception,tomcat,jersey,jax-rs,Jakarta Ee,Exception,Tomcat,Jersey,Jax Rs,我使用的Jersey(1.18.1)启用了RolesAllowedResourceFilterFactory。 假设我有以下资源: @RolesAllowed("SuperUser") @Path("/resource") class Resource{ //some code here } 当会话超时时,在访问此资源时,服务器抛出一个WebApplicationException,没有任何消息,但如果没有必要角色的用户试图访问给定资源,它也会这样做。因此:如何区分会话超时和缺少必要角色?
RolesAllowedResourceFilterFactory@RolesAllowed("SuperUser")
@Path("/resource")
class Resource{
//some code here
}
WebApplicationException我之所以需要这样做,是因为我想向前端发送一条适当的消息(从一个
ExceptionMapper@WebListener
public class HttpSessionChecker implements HttpSessionListener {
@Inject
private SessionIdCache cache;
public void sessionCreated(HttpSessionEvent event) {}
public void sessionDestroyed(HttpSessionEvent event) {
if (event.getSession().getAttribute("someAuthInformation") != null) { // whatever you've stored
cache.put(event.getSession().getId(), new Date());
}
}
}
@Provider
public class ExMapper implements ExceptionMapper<Exception> {
@Inject
private SessionIdCache cache;
@Context
private HttpServletRequest request;
@Override
public Response toResponse(Exception ex) {
for (Cookie cookie : request.getCookies()) {
if ("JSESSIONID".equals(cookie.getName())) {
String sessionId = cookie.getValue().substring(0, cookie.getValue().lastIndexOf('.')); // ignore .hostname
if (cache.contains(sessionId)) {
return Response.serverError().entity("Your session timed out").build();
}
}
}
return Response.serverError().build();
}
}
@Provider
公共类ExMapper实现ExceptionMapper{
@注入
私有会话缓存;
@上下文
私有HttpServletRequest;
@凌驾
公众回应(例外情况除外){
for(Cookie:request.getCookies()){
if(“JSESSIONID.equals(cookie.getName())){
字符串sessionId=cookie.getValue().substring(0,cookie.getValue().lastIndexOf('.');//忽略.hostname
if(cache.contains(sessionId)){
返回Response.serverError().entity(“您的会话超时”).build();
}
}
}
返回Response.serverError().build();
}
}
您应该考虑不时清理缓存。我通过将
SecurityContextexceptionapperwebAppException.getResponse().getStatus()禁止(403)