jsf - JSF 中的基本安全性-6ren

jsf - JSF 中的基本安全性

转载作者：行者123 更新时间：2023-12-03 07:49:30

29

4

我想看一个简单的登录应用程序，不像this那么简单尽管。

我想要实现的是对 JSF 的工作原理的理解，我开发了很多 ASP.NET，您可以在其中隐藏代码，并且您可以在其中检查是否在登录时创建了 session 。

JSF 中的类似解决方案会很棒。

这基本上是我想要实现的目标:

登录页面

如果正常

创建 session 并返回“成功”

如果失败

返回“失败”

(“成功”和失败被映射到faces-config.xml)

在成功页面我想成为某些用户已登录，因此如果您没有获得正确的 session ，则应该无法导航到“success.jspx”。

最佳答案

除了能够使用组件 rendered 之类的东西之外，核心 JSF 中没有固有的身份验证功能。面向基于角色的安全性的属性。

默认情况下，JSF 应用程序依赖于与包含它的 Web 组件相同的容器管理的安全机制 ( JEE5 tutorial )。 3rd 方框架，如 Seam可以提供替代方案。

如果要添加自己的应用程序安全性，servlet filter是较简单的机制之一。

此过滤器保护 restricted 下的资源web.xml 中定义的目录:

  <filter>
    <filter-name>AuthenticationFilter</filter-name>
    <filter-class>restricted.AuthenticationFilter</filter-class>
  </filter>
  <filter-mapping>
    <filter-name>AuthenticationFilter</filter-name>
    <url-pattern>/restricted/*</url-pattern>
  </filter-mapping>

过滤器类实现:

public class AuthenticationFilter implements Filter {
  private FilterConfig config;

  public void doFilter(ServletRequest req, ServletResponse resp,
      FilterChain chain) throws IOException, ServletException {
    if (((HttpServletRequest) req).getSession().getAttribute(
        AuthenticationBean.AUTH_KEY) == null) {
      ((HttpServletResponse) resp).sendRedirect("../restricted_login.faces");
    } else {
      chain.doFilter(req, resp);
    }
  }

  public void init(FilterConfig config) throws ServletException {
    this.config = config;
  }

  public void destroy() {
    config = null;
  }
}

在 faces-config.xml 中定义的登录 bean :

public class AuthenticationBean {
  public static final String AUTH_KEY = "app.user.name";

  private String name;
  public String getName() { return name; }
  public void setName(String name) { this.name = name; }

  public boolean isLoggedIn() {
    return FacesContext.getCurrentInstance().getExternalContext()
        .getSessionMap().get(AUTH_KEY) != null;
  }

  public String login() {
    FacesContext.getCurrentInstance().getExternalContext().getSessionMap().put(
        AUTH_KEY, name);
    return "secret";
  }

  public String logout() {
    FacesContext.getCurrentInstance().getExternalContext().getSessionMap()
        .remove(AUTH_KEY);
    return null;
  }
}

restricted_login.jsp 中的 JSF 登录表单页:

  <f:view>
    <p><a href="restricted/secret.faces">try to go to secret
    page</a></p>
    <h:form>
    Username:
    <h:panelGroup rendered="#{not authenticationBean.loggedIn}">
        <h:inputText value="#{authenticationBean.name}" />
        <h:commandButton value="login"
          action="#{authenticationBean.login}" />
      </h:panelGroup>
      <h:commandButton value="logout"
        action="#{authenticationBean.logout}"
        rendered="#{authenticationBean.loggedIn}" />
    </h:form>
  </f:view>

(选择重定向 URL/机制是为了简洁而不是任何类型的最佳实践；更多选项见 Servlet API。)

关于jsf - JSF 中的基本安全性，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/1470591/

29

4

0

文章推荐： F# 关键字 'Some'

文章推荐： c# - WPF 的扩展程序提供程序

文章推荐： delphi - ADODB:带有参数化查询的已修改记录数

asp.net-core - Blazor 安全性 - Razor Pages 自定义身份验证/安全性
我正在尝试构建一个托管在服务器上的 Blazor 应用程序，起点位于一个 razor 页面内。类似的东西: 我的问题是: 如果 Razor 页面具有授权属性，所有 blazor 代码都不是通过身份
从零开始手写Tomcat的教程10节---安全性
对tomcat中管道和阀门机制不懂的小伙伴，参考本篇文章领域目前可知结构，如图所示，下面继续分析 GenericPrincipal类 LoginConfig类 Authenticator接口在T
ReactJs 安全性
我刚刚开始学习 React 中的授权和身份验证，我在使用 JWT 完成我的第一个简单登录系统后编写了这篇文章，因为大多数人都知道您在浏览器中存储了一个 token ，然后将其与保存的进行比较现在，当验
grails - 安全性
我正在为grails项目寻找安全插件。 Spring安全核心1.2.7.3看起来很棒，但是似乎已经有将近一年没有开发了。有谁知道是这样吗？还有其他好的插件吗？我也正在使用mongodb，想知道sp
WCF NetTcpBinding 安全性
我有一个 WCF 服务，它使用具有消息安全性和用户名身份验证的 NetTcpBinding。在此之前，我使用 WsHttpBinding 但我切换到 NetTcp，因为我可以使用回调。我的服务配置如
security - cakePHP 安全性
我正在考虑使用 cakePHP 构建一个 Web 应用程序。我的问题是我必须自己编写多少安全内容来防止(SQL 注入(inject)等)？ cakePHP 自己处理什么安全问题，我必须编写什么代码？
security - TFS 安全性
任何人都有关于为安全环境强化/配置 TFS 的信息？最佳答案 TFS 使用 Windows 身份验证，因此它与您的网络一样安全。我建议您还查看有关加强网络安全的资源。 Team Foundation
security - Grails 安全性
就目前而言，这个问题不适合我们的问答形式。我们希望答案得到事实、引用资料或专业知识的支持，但这个问题可能会引发辩论、争论、投票或扩展讨论。如果您觉得这个问题可以改进并可能重新打开，visit the
php - Codeigniter 安全性
我一直想知道 codeigniter 设置有多安全。因为数据库密码等信息存储在主应用程序文件夹的配置文件中，黑客可以检索到这些信息吗？我知道您可以将应用程序文件夹移动到远离 Web 根目录的位置，但如
couchdb - PouchDB 安全性
在客户端使用 PouchDB 访问远程服务器时要遵循的最佳安全实践是什么？ https://pouchdb.com/getting-started.html上的例子使用代码与远程服务器同步: var
数据中心之间的 Azure 安全性
已结束。此问题正在寻求书籍、工具、软件库等的推荐。它不满足Stack Overflow guidelines 。目前不接受答案。我们不允许提出寻求书籍、工具、软件库等推荐的问题。您可以编辑问题，以便
服务器上的 Javascript 安全性
我正在开发一个网络应用程序，用户可以在其中上传文件并执行它们。我的意思是，他们可以上传 html 文件，然后通过单击，他们可以在我的 Web 应用程序内的 iframe 中执行该文件并查看渲染的 ht
security - AsPlainText 安全性
试图澄清 -AsPlainText ConvertTo-SecureString 中的参数小命令: -AsPlainText Specifies a plain text string to conv
docker - Coreos 安全性
我正在玩 coreos 和 digitalocean，我想开始允许我的容器之间进行内部通信。我已经为所有主机设置了私有(private)网络，现在我想确保某些容器只打开到 localhost 和内部
ClojureScript Repl 安全性
我们有两台机器: 服务器客户服务器正在运行 Clojure + Ring + ...标准 ClojureScript webstack。客户端 = 某些运行 Chorme/Firefox/Saf
Kotlin null 安全性？
让我们有一个函数 foo 和一个类 Bar: fun foo(key: String): String? { // returns string or null } class Bar(x: St
Java Servlet 安全性
已关闭。此问题不符合Stack Overflow guidelines 。目前不接受答案。这个问题似乎不是关于 a specific programming problem, a software
sharepoint - WebPart 安全性
确保只有正确的用户才能在 Sharepoint 2007 中看到 Web 部件的最佳做法是什么？有人向我建议了安全组和受众。最佳答案这取决于您是在谈论 Web 部件的呈现还是从 Web 部件库添
jQuery JSONP 安全性
我试图说服一个团队，使用 jQuery JSONP 调用与不受信任的第三方可能是不安全的。我正在使用标准 jQuery 代码: $.ajax({ url:unsecureserver+"?js
jQuery ajax 安全性
我有以下ajax调用，它检查用户是否是付费成员(member)，如果是，则相应地运行某些功能。这可行，但我担心安全性。如果有人在控制台中更改此 ajax 代码，强制 #button 成功运行功能而无需

首页

博学

6Ren·AI

商城

jsf - JSF 中的基本安全性