个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
26
4
我对 JSF 非常陌生,并且对管理用户登录的最佳实践感到非常困惑。有很多答案,但它们需要 JSF 和 Java EE 的知识,而我似乎没有。
在处理经典 JSP 项目时,我以非常简单的方式处理登录。当用户成功登录时,将创建一个值为 true 的 session 属性“isLoggedIn”。当用户注销时, session 失效。如果“isLoggedIn”属性为 false 或缺失,则要求您登录的页面将重定向到登录屏幕。
在 JSF 中如何完成这种事情?我应该将登录状态、用户名和用户角色等信息存储在 HttpSession 中还是托管 session bean 中?
我发现的很多答案都说你应该使用 request.getRemoteUser() 来管理登录,但没有给出任何进一步的解释。据我所知,如果您使用域凭据登录应用程序,此方法非常有用。那么,如果我在数据库中存储用户凭据(用户名+加盐和散列密码),它有什么用吗?
如果有人可以向我展示具有以下两个页面的网站如何工作,那将非常有帮助:
如果用户在未登录时尝试转到第二页,他们将被重定向到第一页。
就像我之前所说的,我对 JSF 非常陌生,我根本找不到关于如何处理此类事情的好的教程。因此,您认为有用的任何链接将不胜感激。
如果重要的话,我正在使用 MyFaces 实现和 PrimeFaces 组件库。
最佳答案
您有两个基本选择:
第一个选项是官方推荐的方法,具体细节将根据您使用的 servlet 容器和/或 Web 框架而有所不同。
但是,坦率地说,我经常发现配置基于容器的身份验证比它的值(value)更麻烦(并且比简单地构建一个执行我想要的操作的自定义身份验证层更麻烦)。因此,如果您有兴趣自行开发,我通常采用的方法(使用 Spring 和 Hibernate)是拥有一个 User 类,例如:
@Entity
@Table(name="users")
@NamedQueries({
@NamedQuery(name="User.findAll", query="SELECT u FROM User u"),
@NamedQuery(name="User.findByPrimaryEmail", query="SELECT u FROM User u WHERE u.primaryEmail = :email")
})
public class User {
//fields
private long id;
private String primaryEmail;
private String firstName;
private String lastName;
private String hashedPassword;
private String salt;
//...
//relationships
//...
public User() {
primaryEmail = null;
firstName = null;
lastName = null;
salt = null;
hashedPassword = null;
//...
}
@Id
@GeneratedValue(strategy = GenerationType.AUTO)
public long getId() {
return id;
}
public void setId(long id) {
this.id = id;
}
@Column(unique=true)
public String getPrimaryEmail() {
return primaryEmail;
}
public void setPrimaryEmail(String email) {
this.primaryEmail = email;
if (this.primaryEmail != null) {
this.primaryEmail = email.toLowerCase();
}
}
@Column
public String getHashedPassword() {
return hashedPassword;
}
public void setHashedPassword(String hashedPassword) {
this.hashedPassword = hashedPassword;
}
@Column
public String getSalt() {
return salt;
}
public void setSalt(String salt) {
this.salt = salt;
}
//(getters and setters for any other columns and relationships)
@Transient
public void setPassword(String passwordPlaintext) throws NoSuchAlgorithmException, InvalidKeySpecException {
if (this.getSalt() == null) {
this.setSalt(StringUtilities.randomStringOfLength(16));
}
this.setHashedPassword(this.computeHash(passwordPlaintext, this.getSalt()));
}
@Transient
public boolean checkPasswordForLogin(String passwordPlaintext) throws NoSuchAlgorithmException, InvalidKeySpecException {
if (StringUtilities.isEmpty(passwordPlaintext)) {
return false;
}
return this.getHashedPassword().equals(this.computeHash(passwordPlaintext, this.getSalt()));
}
@Transient
private String computeHash(String password, String salt) throws NoSuchAlgorithmException, InvalidKeySpecException {
KeySpec spec = new PBEKeySpec(password.toCharArray(), salt.getBytes(), 2048, 160);
SecretKeyFactory fact = SecretKeyFactory.getInstance("PBKDF2WithHmacSHA1");
//I encode to base64 so that I can treat the hash as text in computations and when storing it in the DB
return Base64.encodeBytes(fact.generateSecret(spec).getEncoded());
}
}
然后是一个简单的登录表单,例如:
<form id="loginForm" method="POST" action="/r/submitLogin">
<div class="formRow">
<span class="formLabel">Email</span> <input type="text" class="textInput" name="email" />
</div>
<div class="formRow">
<span class="formLabel">Password</span> <input type="password" class="textInput" name="pass" />
</div>
<div class="formRow">
<input type="submit" class="submitButton" value="Log In" />
</div>
</form>
还有一个 submitLogin 实现,如下所示:
public ModelAndView submitLogin(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
String email = request.getParameter("email");
String pass = request.getParameter("pass");
EntityManager em = DatabaseUtil.getEntityManager(request); //get an EntityManager, you can also use dependency-injection to do this if you prefer
User user = getUserByPrimaryEmail(email, em); //lookup the user by email address
if (user == null) {
//invalid username
request.setAttribute("error", "User not found");
return login(request, response);
}
try {
if (user.checkPasswordForLogin(pass)) {
//valid login, remember the user in the session
request.getSession().setAttribute(Constants.SESSION_USER_KEY, user);
//send the user to the default page
response.sendRedirect("/r/indexPage");
return null;
}
else {
//invalid password
request.setAttribute("error", "Incorrect password");
return login(request, response);
}
}
catch (Exception e) {
//should only happen if checkPasswordForLogin() throws NoSuchAlgorithmException/InvalidKeySpecException
LOG.error("Login processing failed!", e);
request.setAttribute("error", "Cannot generate password hash?!?!?");
return login(request, response);
}
}
无论如何,这就是基本实现的全部内容。当然,您可以在此基础上构建功能,例如“记住我”cookie/持久登录、用户角色、状态、访问级别等。但对于基本的登录/注销,这就是您真正需要的。
通过这种方法,可以通过执行 request.getSession().getAttribute(Constants.USER_KEY) 来访问已登录的用户,其中 Constants.USER_KEY 只是您定义的任意字符串。我通常使用类似于“
如果使用基于容器的身份验证,通常会通过调用 request.getUserPrincipal() 来暴露用户。
关于session - 在 JSF 中登录、注销和存储 session 属性的最佳方法,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/8959898/
26
4
0
我试图了解 JSF 实现如何识别用户的各种可能操作。在我放在一起的简单应用程序中,我在 login.xhtml 页面中配置了以下字段。 用户名 - 输入字段 密码 - 密码字段 登录按钮 取消按钮 登
我已经开始学习 JSF,我想知道在我们的类路径中包含什么 JAR 以开始使用 JSF。是jsf-api或 jsf-impl ?或者我们必须同时包含两者?如果两者都是,那么为什么它们不合并? 最佳答案
我是 java server faces (JSF) 的初学者,我需要将文本输入的内容传递到第二页以显示它,同样适用于第二页:我想将单选按钮值传递到第三页。我搜索并尝试了很多但没有成功。例如我试过
我有一个 JSF 页面。我的 CommandButton 操作方法值取决于 bean 变量值。 例子: Bean headerBean 具有可变的 actionValue,值为“someBean.do
我有两个 JSF 页面,假设 A 和 B。从这两个页面 A 和 BI 可以导航到页面 C。现在页面 C 中有一个按钮(确定按钮),单击它应该导航回 A 或 B,具体取决于从哪里(A 或 B)调用 C
我可以在没有 JSTL 标签的情况下使用 JSF 执行条件逻辑吗? 例如,我制作了一个复合组件,并想说明,如果指定了“id”属性,则定义“id”属性,但如果未指定“id”属性,则不要指定“id”属性。
我有一个应用程序,用户可以在其中从我的应用程序的欢迎页面动态切换语言环境。我看到早期的开发人员(在没有太多文档的情况下继承了代码)已经从 ViewHandler 覆盖了以下三个方法,并告诉我这是动态切
关闭。这个问题不满足Stack Overflow guidelines .它目前不接受答案。 想改善这个问题吗?更新问题,使其成为 on-topic对于堆栈溢出。 7年前关闭。 Improve thi
有没有一种方法可以在我的 JSF 2.0 应用程序中处理浏览器刷新事件,以便在浏览器刷新页面时将用户导航到欢迎页面? 这让我想到了另一个问题,即如何在托管 bean 中进行页面导航? 干杯, 最佳答案
我有两页。搜索页面是第一个接受用户输入的页面。第二页显示数据表中的结果集。第二页有 3 个面板,用于结果集、更新和在单个页面中创建。根据单击的按钮,我将面板呈现为真和假。 . . . . . .
由于我们在 Asp.Net 中有 comparevalidator,我们在 JSF 中有什么来验证两个字段的值是否相同?我想验证密码和确认密码字段。 最佳答案 不,这样的验证器在基本的 JSF 实现中
我想构建一个自定义 JSF 组件。现在我从 oracle 阅读了一些文档并看到了一些代码示例。问题是我有点困惑: 似乎有两种方法可以使用 JSF 2.0+ 构建自定义组件。据我了解,自 JSF 2.0
我遇到了与 user1598186 在他的问题中提到的相同的问题:p:commandButton doesn't call bean's method in an page 但是,没有给出解决方案(
这个问题在这里已经有了答案: Ajax update/render does not work on a component which has rendered attribute (1 个回答)
是否有内置机制可以有条件地重定向到另一个 View ?如果他/她已经登录,我希望用户从登录页面重定向到“主页”。 我已经有两种基本方法,但对于第一种我不知道如何实现,第二种是一种肮脏的解决方法。 添加
如何在 JSF 中格式化值 我需要格式化一个数字,如:12345.67 到 12,345.67 可以用模式吗? 最佳答案 尝试使用: 关于jsf - 用逗号格式化为数字 JSF,我们在Sta
根据this blog JSF 正在走向无状态。使用 JSF 的全部意义不在于它使保存和恢复状态成为一件苦差事。 JSF 成为无状态的有什么意义?您能否提供一个有用的示例。 最佳答案 首先,我想澄清
我读到某个地方(不再找到它),可以在资源包中使用EL Expresions,然后在不更改* .xhtml文件的情况下使用它。 some.text=#{someBean.stepsLeft} more
我想看一个简单的登录应用程序,不像this那么简单尽管。 我想要实现的是对 JSF 的工作原理的理解,我开发了很多 ASP.NET,您可以在其中隐藏代码,并且您可以在其中检查是否在登录时创建了 ses
如果#{myBean.birthdate}是java.util.Calendar或java.util.Date类型,我可以格式化吗this 在 EL 本身内部可能使用现有函数,其输出类似于 DateF
我是一名优秀的程序员,十分优秀!