7

使用 JSF 在 Java EE 中开发 Web 应用程序。所有页面都通过带有操作“j_security_check”并输入“j_username”和“j_password”的身份验证表单进行保护,以免被查看。

但是,成功登录后,我被重定向到我想访问的页面而不是这个 URL

/faces/javax.faces.resource/jsf.js?ln=javax.faces&stage=Development

所以我正在查看包含所有 JS 代码的脚本文件 jsf.js,而不是我想要查看的页面。如果我访问 Web 根目录或任何其他页面都没有关系,我每次都会被重定向到这个 URL。然后我将 URL 更改为任何页面,它可以正常加载并且我已登录。

我不得不说我已经遇到了这个问题,它神奇地消失了,所以它正确地重定向了我。几周后它又坏了,但我不知道这是我的错,如果是我不知道原因。我根本没有搞乱重定向或导航规则。

值得一提的是,我也在使用 PrettyFaces。

编辑:

<security-constraint>
    <display-name>secured</display-name>
    <web-resource-collection>
        <web-resource-name>all</web-resource-name>
        <description/>
        <url-pattern>/*</url-pattern>
    </web-resource-collection>
    <auth-constraint>
        <description/>
        <role-name>admin</role-name>
        <role-name>teacher</role-name>
    </auth-constraint>
</security-constraint>
<security-constraint>
    <display-name>secured for admins</display-name>
    <web-resource-collection>
        <web-resource-name>admin pages</web-resource-name>
        <description/>
        <url-pattern>/admin/*</url-pattern>
    </web-resource-collection>
    <auth-constraint>
        <description/>
        <role-name>admin</role-name>
    </auth-constraint>
</security-constraint>
<security-constraint>
    <display-name>unsecured</display-name>
    <web-resource-collection>
        <web-resource-name>css</web-resource-name>
        <description/>
        <url-pattern>/css/*</url-pattern>
    </web-resource-collection>
    <web-resource-collection>
        <web-resource-name>js</web-resource-name>
        <description/>
        <url-pattern>/js/*</url-pattern>
    </web-resource-collection>
    <web-resource-collection>
        <web-resource-name>img</web-resource-name>
        <description/>
        <url-pattern>/img/*</url-pattern>
    </web-resource-collection>
</security-constraint>
<login-config>
    <auth-method>FORM</auth-method>
    <realm-name>wetk-security</realm-name>
    <form-login-config>
        <form-login-page>/faces/login.xhtml</form-login-page>
        <form-error-page>/faces/login.xhtml</form-error-page>
    </form-login-config>
</login-config>
4

1 回答 1

9

容器管理的安全性将重定向到触发身份验证检查的最后一个 HTTP 请求。在您的情况下,它显然是自动包含的 JSF ajax API JavaScript 文件。如果浏览器从浏览器缓存中完全加载了待认证页面,而浏览器已经从服务器端完全加载了 JS 文件,或者通过条件 GET 请求测试了 JavaScript 文件的缓存有效性,则可能会发生这种情况.

您想从身份验证检查中排除JSF资源 (<h:outputScript><h:outputStylesheet><h:graphicImage>/javax.faces.resource/*/faces*.xhtml

您还需要指示浏览器不要缓存受限页面,以防止浏览器从缓存中加载它(例如,在注销后按返回按钮)。将以下过滤器映射到与您的<security-constraint>.

@WebFilter("/secured/*") // Use the same URL pattern as <security-constraint>
public class NoCacheFilter implements Filter {

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest httpReq = (HttpServletRequest) request;
        HttpServletResponse httpRes = (HttpServletResponse) response;

        if (!httpReq.getRequestURI().startsWith(httpReq.getContextPath() + ResourceHandler.RESOURCE_IDENTIFIER)) { // Skip JSF resources (CSS/JS/Images/etc)
            httpRes.setHeader("Cache-Control", "no-cache, no-store, must-revalidate"); // HTTP 1.1.
            httpRes.setHeader("Pragma", "no-cache"); // HTTP 1.0.
            httpRes.setDateHeader("Expires", 0); // Proxies.
        }

        chain.doFilter(request, response);
    }

    // ...
}
于 2012-06-05T18:51:26.063 回答