Ho avuto lo stesso problema ..., ma non mi piace scrivendo il codice legato al contenitore per ovvie ragioni .
Quindi quello che ho fatto è stato aggiungere l'eccezione alla sessione da solo.
In primo luogo, costruire un supporto un'eccezione ThreadLocal per inviare l'eccezione tra il LoginContext e ServletContext:
public final class SecurityThreadLocal {
private static final ThreadLocal<Exception> j_exception = new ThreadLocal<Exception>();
public static void setException(Exception e) {
j_exception.set(e);
}
public static Exception getException() {
return (Exception)j_exception.get();
}
public static void clear() {
j_exception.remove();
}
}
Aggiungi LoginException a SecurityThreadLocal:
catch (Exception e) { // or just catch LoginException
log.log(Level.SEVERE, e.getMessage(), e);
SecurityThreadLocal.setException(e);
}
Aggiungi eccezione alla HttpSession con un filtro:
web.xml
<filter-mapping>
<filter-name>SecurityFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
SecurityFilter.java
if (uri.endsWith("<form-error-page>") && session != null){
Exception j_exception = SecurityThreadLocal.getException();
if(j_exception != null)
session.setAttribute("j_exception", j_exception);
}
Ma si deve sapere come so che questo è una cattiva pratica e una fessura di sicurezza.
Bene .., nel mio caso il cliente ha vinto ...
fonte
2016-07-15 15:50:57