6

我正在尝试实现一个@Restricted注释,以一种用户只能在登录并具有特定角色时才能访问它们的方式来保护控制器方法。我在使用 JSF 和 CDI 的 Tomcat 7 上,所以没有 EJB。只要注解接口没有指定任何参数,拦截器就会被调用。一旦我添加了一个@Nonbinding Role value() default Role.ADMIN;参数,拦截器和控制器方法都不会执行。也没有错误或异常。这是我的代码,我真的不知道它有什么问题:

注解:

@InterceptorBinding
@Retention(RetentionPolicy.RUNTIME)
@Target({ ElementType.TYPE, ElementType.METHOD })
public @interface Restricted {
    @Nonbinding Role value() default Role.ADMIN; // ###
}

拦截器:

@Interceptor
@Restricted
public class RoleBasedRestrictingInterceptor implements Serializable {
    @Inject
    ISecurityManager security;

    @AroundInvoke
    public Object intercept(final InvocationContext ctx) throws Exception {
        final Restricted annotation = ctx.getClass().getAnnotation(Restricted.class);
        log.info("Intercepted, required role is: {}", annotation.value()); // ###
        log.info("User is logged in: {}", security.isLoggedIn());
        return ctx.proceed();
    }
}

控制器:

@Named("manageUsers")
@SessionScoped
public class ManageUsersBacking extends implements Serializable {   
    @Restricted(Role.ADMIN) // ###
    public void testRestricted() {
        log.info("testRestricted()");
    }
}

这些###事件标记了必须更改或删除的内容才能使其再次工作。拦截器在 中正确定义WEB-INF/beans.xml,因为它在我的注释中没有角色参数的情况下工作。

16:04:33.772 [http-apr-8080-exec-11] INFO  c.m.s.RoleBasedRestrictingInterceptor - User is logged in: true
16:04:33.772 [http-apr-8080-exec-11] INFO  c.m.c.admin.ManageUsersBacking - testRestricted()
4

3 回答 3

5

今天我重新审视了这个特殊问题,发现它与 CDI 无关:

ctx.getClass().getAnnotation(Restricted.class)

显然,我的示例中没有类级别的注释。所以 getAnnotation() 返回null。相反,我应该使用以下内容:

ctx.getMethod().getAnnotation(Restricted.class)

虽然我不知道为什么那里没有任何例外。也许其他一些事情正在发生,因为我将我的应用程序迁移到了 TomEE,所以我无法再重现。

于 2013-04-09T19:46:20.393 回答
1

如果你切换到 TomEE,你将不需要依赖(maven)实现,只需要 api(使用 org.apache.openejb:javaee-api:6.0-4 和提供的范围

于 2013-03-31T20:27:31.283 回答
0

听起来您的设置正确(beans.xml 和拦截器)。您使用的是哪种 CDI 实现?如果您使用的是 Tomcat,您是否考虑过使用 TomEE?

于 2013-03-31T15:26:09.430 回答