request.getRemoteUser() 有时返回 null

Question

我有一个使用 struts2 与旧式 servlet 结合的 java-web-应用程序。 使用 Acegi 安全性。

在我的 servlet 中，我记录用户正在尝试执行的操作以及该用户是谁。要获取用户，我使用 request.getRemoteUser()

但令我惊讶的是，结果并不一致。大多数情况下，getRemoteUser() 返回正确的用户名，但每隔一段时间我就会得到一个空值。

这背后的原因可能是什么？

编辑： 根据您的反馈，我发现 servlet-url 根本不受安全保护。因此这可能会导致 getRemoteUser() 为空。我现在将为这些实施安全性，并在发回结果之前进行更多测试。

Answer 1

getRemoteUser() 将返回登录的用户，否则将返回 null。

您使用哪种身份验证（带有基本/摘要的 Jaas 等）？

您是否在特定 URL（servlet）上看到此错误？在这种情况下，该 URL 可能有其他安全约束。

另一个原因是客户端（浏览器）没有随请求发送用户名。如果您位于请求身份验证的 URL 树之外，则可能会发生这种情况。

Answer 2

登录表单是否被 Acegi Security 过滤（AuthenticationProcessingFilterEntryPoint）？

如果是，则通过以下方式获取登录用户名

SecurityContextHolder.getContext().getAuthentication().getName();

Answer 3

doc 说为什么你会变成空：

如果用户已通过身份验证，则返回发出此请求的用户的登录名；如果用户尚未通过身份验证，则返回 null。是否随每个后续请求发送用户名取决于浏览器和身份验证类型。与 CGI 变量 REMOTE_USER 的值相同。

您需要调查导致问题的浏览器。