gpt4 book ai didi

jsf - 欢迎文件忽略安全约束

转载 作者:行者123 更新时间:2023-12-01 10:06:19 25 4
gpt4 key购买 nike

我的web.xml:

    <context-param>
<param-name>javax.faces.PROJECT_STAGE</param-name>
<param-value>Development</param-value>
</context-param>

<welcome-file-list>
<welcome-file>/secured/secure.xhtml</welcome-file>
</welcome-file-list>

<servlet>
<servlet-name>Faces Servlet</servlet-name>
<servlet-class>javax.faces.webapp.FacesServlet</servlet-class>
<load-on-startup>1</load-on-startup>
</servlet>

<servlet-mapping>
<servlet-name>Faces Servlet</servlet-name>
<url-pattern>*.xhtml</url-pattern>
</servlet-mapping>

<context-param>
<param-name>javax.faces.INTERPRET_EMPTY_STRING_SUBMITTED_VALUES_AS_NULL</param-name>
<param-value>true</param-value>
</context-param>
<security-constraint>
<web-resource-collection>
<web-resource-name>Restricted</web-resource-name>
<url-pattern>/secured/*</url-pattern>
<http-method>GET</http-method>
<http-method>POST</http-method>
</web-resource-collection>
<auth-constraint>
<role-name>ADMIN</role-name>
</auth-constraint>
</security-constraint>
<login-config>
<auth-method>FORM</auth-method>
<realm-name>jdbc-realm</realm-name>
<form-login-config>
<form-login-page>/public/login.xhtml</form-login-page>
<form-error-page>/public/error.xhtml</form-error-page>
</form-login-config>
</login-config>

我希望我的网络应用程序将未经授权的用户重定向到登录页面。有趣的是我有这个工作,但我做了一些愚蠢的改变,现在访问 localhost:8080 我总是看到 secure.xhtml 即使没有登录。localhost:8080/secured/secure。 xhtml 重定向正常。

最佳答案

您没有使用 <welcome-file>完全正确。它应该代表在请求文件夹时需要提供的文件的唯一文件名,无论请求的文件夹是什么(根目录 //public//secured/ 等)。

欢迎文件由 RequestDispatcher#forward() 执行的内部转发提供.内部转发不会触发安全约束。您需要改为发送重定向。

更改 <welcome-file>更合理的默认值,例如index.xhtml .

<welcome-file-list>
<welcome-file>index.xhtml</welcome-file>
</welcome-file-list>

然后在 webapp 的根目录中创建一个,如 /index.xhtml .如果您需要重定向 /index.xhtml 上的每个 请求至 /secured/secure.xhtml ,那么基本上有2种方式:

  1. 映射 Filter 关于 /index.xhtml 的 URL 模式并调用 response.sendRedirect("secured/secure.xhtml") doFilter()里面方法。例如

    @WebFilter("/index.xhtml")
    public class IndexFilter implements Filter {

    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
    HttpServletResponse response = (HttpServletResponse) res;
    response.sendRedirect("secured/secure.xhtml"));
    }

    // ...
    }
  2. 放一个<f:event type="preRenderView">/index.xhtml它调用一个支持 bean 方法,该方法又执行 externalContext.redirect("secured/secure.xhtml") .例如

    <f:event type="preRenderView" listener="#{indexBean.redirect}" />

    @ManagedBean
    @ApplicationScoped
    public class IndexBean {

    public void redirect() throws IOException {
    FacesContext.getCurrentInstance().getExternalContext().redirect("secured/secure.xhtml");
    }

    }

关于jsf - 欢迎文件忽略安全约束,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/10193112/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com