3

我正在使用游戏!带有标准安全模块的框架。我所看到的是,当用户登录并检查记住我时,一切正常。如果他们关闭浏览器窗口,重新打开并返回页面,则用户不再登录,但如果他们转到默认登录 url '/login',它会自动登录并重定向回主页用户正确显示为已登录。

用户必须点击网站的登录 url 才能检测到他们是否已登录,这是怎么回事?我是否在我的控制器中遗漏了一些东西来做到这一点?

这是有问题的控制器,以及我的自定义安全类:

public class Main extends Controller {

    @Before
    public static void checkUser() {
        String user = Security.connected();
        boolean connected = Security.isConnected();
        renderArgs.put("isConnected", connected);
        if (!connected) return;
        User u = User.findUser(user);
        String displayName = u.firstName + " " + u.lastName;
        renderArgs.put("displayName", displayName);
    }

    public static void homePage() {

        List<Testimonial> testimonials = Testimonial.findAll();
        List<News> news = News.findAll();

        Twitter twitter = new TwitterFactory().getInstance();
        List<TweetView> tweets = new ArrayList<TweetView>();
        try {
            List<Status> result = twitter.getUserTimeline("atmospherian");
            for (Status s: result) {
                String source = s.getSource();
                String content = s.getText();
                tweets.add(new TweetView(source, content));
            }

        } catch (TwitterException ex) {
            Logger.getLogger(Main.class.getName()).log(Level.SEVERE, null, ex);
        }
        if (tweets.size() > 0) {
            tweets = tweets.subList(0, 3);
        }

        render(testimonials, news, tweets);
    }
}

public class Security extends Secure.Security {
    static boolean authenticate(String username, String password) {
        User user = User.find("byEmail", username).first();
        return user != null && user.password.equals(Crypto.passwordHash(password));
    }

    static boolean check(String profile) {
        if ("admin".equals(profile)) {
            return User.find("byEmail", connected()).<User>first().isAdmin;
        }

        return false;
    }
}
4

2 回答 2

4

现在我们已经确定您没有@With(Secure.class)在此控制器上使用,我有一个不同的答案。 SecurecheckAccess方法在这种情况下不会被调用。您可以将此方法添加到您的控制器:

private static void loadCookieIfPresent() {
    Http.Cookie remember = request.cookies.get("rememberme");
    if (remember != null && remember.value.indexOf("-") > 0) {
        String sign = remember.value.substring(0, remember.value.indexOf("-"));
        String username = remember.value.substring(remember.value.indexOf("-") + 1);
        if (Crypto.sign(username).equals(sign)) {
            session.put("username", username);
        }
    }
}

并在您的方法开始时调用它checkUser以读取 cookie 而无需强制登录。

于 2010-12-23T19:51:56.617 回答
0

我怀疑这是因为登录检查也是使用@Before注释触发的,因此它们可能以错误的顺序执行:

public class Secure extends Controller {

    @Before(unless={"login", "authenticate", "logout"})
    static void checkAccess() throws Throwable {
        // Authent
        if(!session.contains("username")) {
            flash.put("url", request.method == "GET" ? request.url : "/"); // seems a good default
            login();
        }
    ...

我不确定是否为多种@Before方法定义了排序。快速解决方法是删除@BeforefromcheckUser并在方法的开头调用它homePage

于 2010-12-23T16:04:57.770 回答