ли безопасность на основе JSF поддержки формы

Question

Я после этого учебника security В этом руководстве упоминаются, что добавить что-то вроде этого для формы безопасности на основе

<form action="j_security_check" method=post> 
    <p>username: <input type="text" name="j_username"></p> 
    <p>password: <input type="password" name="j_password"></p> 
    <p><input type="submit" value="submit"></p> 
</form> 

Но в форме JSF я не имею attributr действий в часе: форма , который я установил в j_security_check. Также использование j_username и j_password также необходимо использовать в JSF для обеспечения безопасности на основе формы?

Благодаря

Answer 1

Да, этот URL действия и имена полей являются обязательными для form based authentication. Это указано в спецификации сервлета. Вы можете просто использовать его как есть на странице JSF. Единственное различие заключается в том, что форма отправки и аутентификации полностью обрабатывается контейнером, а не JSF. Тебе не нужно беспокоиться об этом.

Если вы хотите получить более тонкий контроль над процессом отправки формы или хотите использовать встроенную валидацию JSF и полномочия ajax и т. Д., Тогда вы всегда можете взять ее на programmatic authentication в управляемом компоненте JSF. Для этого вам нужно использовать HttpServletRequest#login() в методе действий. Проверка подлинности по-прежнему обрабатывается контейнером.

E.g.

<h:form> 
    <h:inputText value="#{login.username}" required="true" /> 
    <h:inputSecret value="#{login.password}" required="true" /> 
    <h:commandButton value="login" action="#{login.submit}"> 
     <f:ajax execute="@form" render="@form" /> 
    </h:commandButton> 
    <h:messages /> 
</h:form> 

с

public String submit() { 
    FacesContext context = FacesContext.getCurrentInstance(); 
    HttpServletRequest request = (HttpServletRequest) context.getExternalContext().getRequest(); 

    try { 
     request.login(username, password); 
     return "home?faces-redirect-true"; 
    } catch (ServletException e) { 
     context.addMessage(null, new FacesMessage(FacesMessage.SEVERITY_ERROR, "Unknown login", null)); 
     return null; 
    } 
} 

Answer 2

Вот как я реализовал j_security_check (Container Managed Security) для моего JSF приложения, запущенного в Websphere 7. К сожалению, версия API сервлетов Я использую не

request.login() 

Класс «Фильтр входа» был создан для перехвата вызовов j_security_check. ResponseWrapper запоминает URL-адрес, который будет перенаправлен после входа в систему.

public class LoginFilter implements Filter { 
     private static String loginPage = "login.xhtml"; // read it from init config 
    public void doFilter(ServletRequest request, ServletResponse response, 
      FilterChain chain) throws IOException, ServletException { 
     // TODO Auto-generated method stub 
     // create wrapper 
     HttpServletRequest req = (HttpServletRequest) request; 
     MyWrapper myRes = new MyWrapper((HttpServletResponse) response); 
     // call authentication 
     chain.doFilter(request, myRes); 
     // check for login error 
       String redirectURL = myRes.getOriginalRedirect(); 
      if (StringUtils.isBlank(redirectURL) || redirectURL.contains(loginPage)) { 
        myRes.setOriginalRedirect(homePage); 
       } 
    myRes.sendMyRedirect(); 

} 
    class MyWrapper extends HttpServletResponseWrapper { 
     String originalRedirect; 

     public MyWrapper(HttpServletResponse response) { 
      super(response); 
     } 

     @Override 
     public void sendRedirect(String location) throws IOException { 
      // just store location, don’t send redirect to avoid 
      // committing response 
      originalRedirect = location; 
     } 

     // use this method to send redirect after modifying response 
     public void sendMyRedirect() throws IOException { 
      super.sendRedirect(originalRedirect); 
     } 

     public String getOriginalRedirect() { 
      return originalRedirect; 
     } 

     public void setOriginalRedirect(String originalRedirect) { 
      this.originalRedirect = originalRedirect; 
     } 


    } 

Веб-сайт выглядит следующим образом.

<filter> 
    <filter-name>LoginFilter</filter-name> 
    <filter-class>com.servlet.filter.LoginFilter</filter-class> 
</filter> 

<filter-mapping> 
    <filter-name>LoginFilter</filter-name> 
    <url-pattern>/j_security_check</url-pattern> 
</filter-mapping> 
<filter> 
    <filter-name>RequestJSFFilter</filter-name 
     <filter-class>com.servlet.filter.RequestJSFFilter</filter-class> 
</filter> 
<filter-mapping> 
    <filter-name>RequestJSFFilter</filter-name> 
    <url-pattern>*.xhtml</url-pattern> 
</filter-mapping> 

Другой фильтр, который перехватывает все * .xhtml и направляет к login.xhtml. В login.xhtml форма может выглядеть следующим образом:

<form action="j_security_check" method=post> 
    <p>username: <input type="text" name="j_username"></p> 
    <p>password: <input type="password" name="j_password"></p> 
    <p><input type="submit" value="submit"></p> 
</form> 

Надеюсь, это поможет.