我有一个登录页面,其中有一个用户 bean 来验证一个人的用户名和密码。这个 Bean 是 Session Scoped 的。如果有人写了一个 URL 并试图跳转登录页面,我该如何检查并将他重定向到登录页面?
另一方面。假设我已经登录并且正在工作,突然我出去了一会儿,我的会话到期了。当我返回并尝试与表单交互时,它会发送一条消息,提醒我会话到期。发生这种情况时,如何再次重定向到登录表单?
提前致谢。希望我自己解释一下。
Mojarra 2.1.4、Tomcat 7、战斧 1.1.11
问问题
24033 次
2 回答
17
如果有人写了一个 URL 并试图跳转登录页面,我该如何检查并将他重定向到登录页面?
您似乎使用的是本地身份验证。在这种情况下,您需要实现一个servlet 过滤器。JSF 将会话范围的托管 bean 存储为 的属性HttpSession,因此您可以在doFilter()方法中检查它:
HttpServletRequest req = (HttpServletRequest) request;
UserManager userManager = (UserManager) req.getSession().getAttribute("userManager");
if (userManager != null && userManager.isLoggedIn()) {
chain.doFilter(request, response);
} else {
HttpServletResponse res = (HttpServletResponse) response;
res.sendRedirect(req.getContextPath() + "/login.xhtml");
}
将此过滤器映射到覆盖受保护页面的 URL 模式,例如/app/*.
当我返回并尝试与表单交互时,它会发送一条消息,提醒我会话到期。发生这种情况时,如何再次重定向到登录表单?
我知道这涉及 Ajax 请求?对于正常请求,您可以使用<error-page>in web.xml。如果将状态保存方法设置为客户端web.xml如下
<context-param>
<param-name>javax.faces.STATE_SAVING_METHOD</param-name>
<param-value>client</param-value>
</context-param>
不是一个选项,那么你需要实现一个自定义ExceptionHandler:
public class ViewExpiredExceptionHandler extends ExceptionHandlerWrapper {
private ExceptionHandler wrapped;
public ViewExpiredExceptionHandler(ExceptionHandler wrapped) {
this.wrapped = wrapped;
}
@Override
public void handle() throws FacesException {
FacesContext facesContext = FacesContext.getCurrentInstance();
for (Iterator<ExceptionQueuedEvent> iter = getUnhandledExceptionQueuedEvents().iterator(); iter.hasNext();) {
Throwable exception = iter.next().getContext().getException();
if (exception instanceof ViewExpiredException) {
facesContext.getApplication().getNavigationHandler().handleNavigation(facesContext, null, "viewexpired");
facesContext.renderResponse();
iter.remove();
}
}
getWrapped().handle();
}
@Override
public ExceptionHandler getWrapped() {
return wrapped;
}
}
(请注意,此特定示例导航到viewexpired,因此它需要一个/viewexpired.xhtmlas 错误页面)
以上需要通过以下ExceptionHandlerFactory实现来烘焙:
public class ViewExpiredExceptionHandlerFactory extends ExceptionHandlerFactory {
private ExceptionHandlerFactory parent;
public ViewExpiredExceptionHandlerFactory(ExceptionHandlerFactory parent) {
this.parent = parent;
}
@Override
public ExceptionHandler getExceptionHandler() {
return new ViewExpiredExceptionHandler(parent.getExceptionHandler());
}
}
这又需要faces-config.xml按如下方式注册:
<factory>
<exception-handler-factory>com.example.ViewExpiredExceptionHandlerFactory</exception-handler-factory>
</factory>
于 2011-11-15T23:05:57.220 回答
2
如果您正在实现自己的系统,则可以向用户添加一个名为session或其他的属性。此属性可以是布尔值,因此每当会话开始时,您都可以将此属性设置为 true。写一个叫做权限的方法例如:
public void permission() throws IOException {
if(userStatelessBean.getSession() == false) {
System.out.println("*** The user has no permission to visit this page. *** ");
ExternalContext context = FacesContext.getCurrentInstance().getExternalContext();
context.redirect("login.xhtml");
} else {
System.out.println("*** The session is still active. User is logged in. *** ");
}
}
在您想要限制的每个 jsf 页面(对于此示例)上,您可以在页面的最开头添加以下代码:
<f:metadata>
<f:event type="preRenderView" listener="#{sesija.permission()}"/>
</f:metadata>
这要做的是在呈现页面之前调用对象名称为sesija的JSF ManagedBean,并检查您在指定方法中创建的规则是否满足。
希望这个对你有帮助,
谢谢你。
于 2014-11-11T17:03:18.553 回答