使用PhaseListener而不是Servlet过滤器进行授权的限制
[英]Limitations of using a PhaseListener instead of a Servlet Filter for authorization
问题描述
我目前正在使用PhaseListener来执行用户授权。
private PhaseId phaseId = PhaseId.RESTORE_VIEW;
@Override
public void afterPhase(PhaseEvent event) {
FacesContext fc = event.getFacesContext();
boolean isOnAllowedPage = false;
String[] allowedPages = choseRightPages(); // chose pages for role
for (String s : allowedPages) {
if (fc.getViewRoot().getViewId().lastIndexOf(s) > -1) {
isOnAllowedPage = true;
break;
}
}
if (!isOnAllowedPage) {
NavigationHandler nh = fc.getApplication().getNavigationHandler();
nh.handleNavigation(fc, null, "prohibited");
}
}
它做我想要的,但我没有看到它列在如何处理数据库中的用户的身份验证/授权? 而这个名为“使用phaselistener问题的授权”的Coderanch主题也提到了以下内容:
您不应该将与JSF紧密相关的授权结合在一起。 更好地利用容器管理的身份验证和/或作用于覆盖受保护页面的url模式的简单过滤器。
我不完全理解在执行用户授权时使用PhaseListener而不是Filter的限制。 有人可以向我解释一下吗?
1 个解决方案
解决方案1
6 已采纳 2015-04-13 08:51:11
PhaseListener仅在JSF请求(即调用FacesServlet的HTTP请求)上触发。 执行非JSF请求时不会触发它,从而暴露非JSF请求的潜在安全漏洞。 无论目标servlet如何,都可以在每个HTTP请求上触发servlet Filter 。
换句话说:HTTP请求授权不应该与FacesContext可用,而是与可用的ServletRequest 。 始终尽量授权为“低级别”。
如何在Servlet.init()中注册JSF 1.2 PhaseListener?
[英]How to register a JSF 1.2 PhaseListener in a Servlet.init()?
使用 JSF 2.3、tomcat 和焊接 cdi 实现时,是否可以将 bean 注入到 phaselistener?
[英]Is it possible to inject a bean to phaselistener when using JSF 2.3, tomcat with weld cdi implementation?
是否可以在PhaseListener中捕获ViewExpriedException?
[英]Is it possible to catch ViewExpriedException in PhaseListener?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
从Servlet的doPost方法重定向到PhaseListener
如何在Servlet.init()中注册JSF 1.2 PhaseListener?
使用JSF项目中的授权过滤器进行自定义身份验证
尝试在JSF中使用Servlet过滤器登录时出现无限循环
如何:使用javax.servlet.Filter拦截a4j请求?
使用 JSF 2.3、tomcat 和焊接 cdi 实现时,是否可以将 bean 注入到 phaselistener?
使用JSF的Servlet过滤器
了解PhaseListener.getPhaseId
从PhaseListener添加消息
是否可以在PhaseListener中捕获ViewExpriedException?
相关标签