1

我在 Webshere 7.0 上使用 JSF 1.2 + Tomahawk 1.1.13

我的 web.xml:

<welcome-file-list>
    <welcome-file>/search.faces</welcome-file>
</welcome-file-list>

<security-constraint>
    <display-name>Websphere Security Constraint</display-name>
    <web-resource-collection>
        <web-resource-name>Default</web-resource-name>
        <description />
        <url-pattern>/*</url-pattern>
    </web-resource-collection>
</security-constraint>

<login-config>
    <auth-method>FORM</auth-method>
    <form-login-config>
        <form-login-page>/login.jsp</form-login-page>
        <form-error-page>/login.jsp</form-error-page>
    </form-login-config>
</login-config>

我的登录.jsp:

<form method="post" action="j_security_check">

    <jsp:include page="head.jsp" />

    <t:panelGrid columns="2" border="1"
        columnClasses="unfixedCol,fixedCol"
        style="style=text-align:top; margin-top:20px; margin-bottom:20px;">

        <t:panelGroup>
            Login
        </t:panelGroup>
        <t:panelGroup>
            <h:inputText id="j_username" autocomplete="off" size="20" />
        </t:panelGroup>

        <t:panelGroup>
            Password
        </t:panelGroup>
        <t:panelGroup>
            <h:inputSecret id="j_password" autocomplete="off" size="20" />
        </t:panelGroup>

        <f:facet name="footer">
            <t:panelGroup colspan="4"
                style="text-align:right; background-color:#d9e2f2;">
                <h:commandButton type="submit" value="Submit" /> &nbsp; 
                <h:commandButton type="reset" value="Reset" />
            </t:panelGroup>
        </f:facet>

    </t:panelGrid>

    <jsp:include page="foot.jsp" />

</form>

当我访问 /localhost:9080/App/ 并输入正确的凭据时,一切似乎都很好,我登录了,但这有问题:

  1. 我可以在没有安全检查的情况下访问应用程序 jsp 页面(我可以在没有检查的情况下访问 /localhost:9080/App/search.jsp,但是当我访问 /localhost:9080/App/ 时 - 有安全检查)。尝试了不同的 url 模式。

  2. 当我尝试使用 FacesContext.getCurrentInstance().getExternalContext().getUserPrincipal() 获取 HTTP 会话用户时 - 当我登录 id 时,始终为空。为什么?

检查了所有指南,包括一些 stackowerflow 问题,但没有意识到我的问题在哪里。

感谢帮助

4

1 回答 1

0

对于我们的应用程序,我们定义如下:

web.xml

<security-constraint>
    <display-name>Security Constraint</display-name>
    <web-resource-collection>
        <web-resource-name>Protected Area</web-resource-name>
        <url-pattern>*.jsf</url-pattern>
        <http-method>GET</http-method>
        <http-method>POST</http-method>
    </web-resource-collection>
</security-constraint>

并且由于我们还集成了 LDAP 身份验证,因此我们创建了自定义application-policy并在realm 

<login-config>
    <auth-method>FORM</auth-method>
    <realm-name>OUR_AUTH_NAME_DEFINED_IN_login-config.xml</realm-name>
    <form-login-config>
        <form-login-page>/login.jsp</form-login-page>
        <form-error-page>/login.jsp?invalidUser=true</form-error-page>
    </form-login-config>
</login-config>

希望这可以帮助!!!

于 2012-08-15T13:57:31.633 回答