jsf 过滤器似乎不起作用-6ren

jsf 过滤器似乎不起作用

转载作者：行者123 更新时间：2023-12-04 19:14:49

我试图用 jsf 创建一个安全的登录页面，我使用这些代码片段作为解决方案，在 this question 中找到.我的问题是，我可以在不登录的情况下访问/restricted/secret.xhtml，没有重定向，就像没有应用过滤器一样，因为如果我直接进入/restricted/secret.xhtml #{user.loggedIn } 评估为 false，我仍然可以查看该页面。这是我的代码:

验证过滤器.java

public class AuthFilter implements Filter {

private FilterConfig config;

@Override
public void destroy() {
    this.config = null;
}

@Override
public void doFilter(ServletRequest req, ServletResponse resp,
        FilterChain ch) throws IOException, ServletException {

    HttpSession s =  ((HttpServletRequest) req).getSession();
    if (s.getAttribute(UserBean.CREDENTIAL)==null)
    {
        ((HttpServletResponse) resp).sendRedirect("/login.faces");
    }else
    {
        ch.doFilter(req, resp);
    }
}
@Override
public void init(FilterConfig config) throws ServletException {
    this.config = config;
}
}

用户Bean.java

@ManagedBean(name="user")
@SessionScoped
public class UserBean implements Serializable {

private String name;
private String password;
protected static final String CREDENTIAL = "ontherun";

private static final long serialVersionUID = 1L;

public String getName()
{
    return this.name;
}

public void setName(String newName)
{
    this.name = newName;
}

public String getPassword()
{
    return this.password;
}

public void setPassword(String newPassword)
{
    this.password = newPassword;
}

public boolean isLoggedIn()
{
    return FacesContext.getCurrentInstance().getExternalContext()
            .getSessionMap().get(CREDENTIAL) != null;
}

public String logout() {
    FacesContext.getCurrentInstance().getExternalContext().getSessionMap().remove(CREDENTIAL);
    return null;
}


public String login()
{
    FacesContext.getCurrentInstance().getExternalContext().getSessionMap().put(CREDENTIAL, this.name);
    return "secret";
}
}

这是我的 login.xhtml ；页面工作正常，所以模板文件没有问题。

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
 "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html   xmlns="http://www.w3.org/1999/xhtml"
    xmlns:ui="http://java.sun.com/jsf/facelets"
    xmlns:h="http://java.sun.com/jsf/html">
<head><title>IGNORED</title></head>

<body>
<ui:composition template="/templates/masterLayoutTemplate.xhtml">
 <ui:define name="windowTitle">
             #{msgs.window_title}
 </ui:define>

 <ui:define name="header">
    <ui:include src="/sections/login/header.xhtml"></ui:include>
 </ui:define>

 <ui:define name="footer">
    <ui:include src="/sections/login/footer.xhtml"></ui:include>
 </ui:define>

 <ui:define name="content">
        <h:form>
            <h:panelGrid columns="2">
                #{msgs.namePrompt}
            <h:inputText id="name" value="#{user.name}"/>
                #{msgs.passwordPrompt}
            <h:inputSecret id="password" value="#{user.password}"/>
            </h:panelGrid>
            <p>
            <h:commandButton value="#{msgs.loginButtonText}" action="#{user.login }"/>
            </p>
            <p>
                You are logged in : #{user.loggedIn} 
            </p>
            <p>
            <h:commandButton value="logout" action="#{user.logout }"/>
            </p>
        </h:form>
 </ui:define>
 </ui:composition>
</body>
</html>

这是应该被限制的secret.xhtml:

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html   xmlns="http://www.w3.org/1999/xhtml"
    xmlns:ui="http://java.sun.com/jsf/facelets"
    xmlns:h="http://java.sun.com/jsf/html">
<head><title>IGNORED</title></head>

<body>
<ui:composition template="/templates/masterLayoutTemplate.xhtml">
 <ui:define name="windowTitle">
     #{msgs.window_title}
 </ui:define>


 <ui:define name="content">
        <h:head></h:head>
        <h:body>
            <p>You are #{user.loggedIn}</p>
        </h:body>


 </ui:define>
 </ui:composition>
</body>
</html>

这是我的配置文件:web.xml

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/javaee" xmlns:web="http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd" version="3.0">
<display-name>OnTheRun</display-name>

<servlet>
    <servlet-name>Faces Servlet</servlet-name>
    <servlet-class>javax.faces.webapp.FacesServlet</servlet-class>
    <load-on-startup>1</load-on-startup>
</servlet>
<servlet-mapping>
    <servlet-name>Faces Servlet</servlet-name>
    <url-pattern>/faces/*</url-pattern>
</servlet-mapping>

<welcome-file-list>
    <welcome-file>faces/index.xhtml</welcome-file>
</welcome-file-list>

<filter>
        <filter-name>AuthFilter</filter-name>
        <filter-class>on.run.AuthFilter</filter-class>
 </filter>
 <filter-mapping>
        <filter-name>AuthFilter</filter-name>
        <url-pattern>/restricted/*</url-pattern>
 </filter-mapping>

<context-param>
    <param-name>javax.faces.PROJECT_STAGE</param-name>
    <param-value>Development</param-value>
</context-param>

</web-app>

和faces-config.xml

<?xml version="1.0" encoding="UTF-8"?>

<faces-config
xmlns="http://java.sun.com/xml/ns/javaee"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-facesconfig_2_0.xsd"
version="2.0">
<application>
    <resource-bundle>
        <base-name>on.run.messages</base-name>
        <var>msgs</var>
    </resource-bundle>
</application>



<navigation-rule>
        <from-view-id>/index.xhtml</from-view-id>
    <navigation-case>
        <from-outcome>login</from-outcome>
        <to-view-id>/profile.xhtml</to-view-id>
        <redirect/>
    </navigation-case>
</navigation-rule>

<navigation-rule>
        <from-view-id>/login.xhtml</from-view-id>
    <navigation-case>
        <from-outcome>secret</from-outcome>
        <to-view-id>/restricted/secret.xhtml</to-view-id>
        <redirect/>
    </navigation-case>
</navigation-rule>
</faces-config>

我的目录结构如下所示: dirStruct 2

最佳答案

您已映射 FacesServlet在 /faces/*而不是 *.xhtml .所以所有的 JSF 请求都会有 /faces URL 中的前缀。但是你已经映射了 AuthFilter在 /restricted/*而不是 /faces/restricted/* ，所以它永远不会启动 /faces/*网址。

您可以通过两种方式解决此问题:

map FacesServlet在 *.xhtml而不是在 /faces/* .这具有额外的优势，即当最终用户有意删除 /faces 时，最终用户将永远无法看到原始 JSF 源代码。浏览器地址栏中的 URL 路径。

map AuthFilter在 /faces/restricted/*而不是在 /restricted/* .

我个人推荐第一种方式。您最终会得到一个更短更好的 URL，并且您也立即防止了 JSF 源代码泄漏。

关于jsf 过滤器似乎不起作用，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/10934255/

文章推荐： serialization - 如何使用protobuf序列化大型嵌套数组？

文章推荐： csv - GnuPlot:每条 CSV 线画线

文章推荐： asp.net-mvc - Azure 上的 MVC4 部署问题

文章推荐： xpages - 如何以编程方式构建控件？

实例分析Try {} Catch{} 作用
今天有小伙伴给我留言问到，try{...}catch(){...}是什么意思？它用来干什么？简单的说他们是用来捕获异常的下面我们通过一个例子来详细讲解下
html - 列表社交媒体链接的 ARIA 作用
我正在努力提高网站的可访问性，但我不知道如何在页脚中标记社交媒体链接列表。这些链接指向我在 facecook、twitter 等上的帐户。我不想用 role="navigation" 标记这些链接，因
java.util.Timer SystemTime 作用？
说现在是 6 点，我有一个 Timer 并在 10 点安排了一个 TimerTask。之后，System DateTime 被其他服务(例如 ntp)调整为 9 点钟。我仍然希望我的 TimerTas
php - 什么是 Doctrine hydration 作用？
就目前而言，这个问题不适合我们的问答形式。我们希望答案得到事实、引用资料或专业知识的支持，但这个问题可能会引发辩论、争论、投票或扩展讨论。如果您觉得这个问题可以改进并可能重新打开，visit the
python入门:argparse浅析 nargs='+'作用
我就废话不多说了，大家还是直接看代码吧~ ? 1
Maven是什么?Maven的概念+作用+仓库的介绍+常用命令的详解
Maven系列1 1.什么是Maven？ Maven是一个项目管理工具，它包含了一个对象模型。一组标准集合，一个依赖管理系统。和用来运行定义在生命周期阶段中插件目标和逻辑。核心功能 Mav

行者123

个人简介

我是一名优秀的程序员,十分优秀！

作者热门文章

滴滴打车优惠券免费领取

全站热门文章

首页

博学

6Ren·AI

商城

jsf 过滤器似乎不起作用