Java Web / JSF / Persistence：使用用戶角色進行簡單身份驗證

Question

我正在執行以下看似基本的任務：

''創建DVD商店。 系統具有兩種類型的用戶：管理員和基本用戶。 管理員可以對DVD物品執行CRUD，基本用戶可以購買DVD。''

我正在使用NetBeans + GlassFish並執行以下操作：

• 用表准備數據庫模式：用戶，DVD，事務
• 為三個表創建了實體bean（從數據庫中新建>實體類...）
• 為實體bean創建了JSF CRUD頁面（來自實體類的New> JSF Pages ...）

我如何在這里准確集成用戶身份驗證？

我嘗試了以下操作，但在此過程中失敗了：應用AuthenticationPhaseListener嘗試攔截所有請求，並根據會話中是否有用戶及其角色來路由所有請求。

有什么簡單的我想念的地方嗎？ 您能為我概述不同的類（以及它們的類型/所需的注釋/是否需要托管bean等）和我需要的頁面。

基本上，我只是想盡快解決這個問題，因為這使我陷入了瘋狂。 在這里，涉及到的新技術太多了，而且勢不可擋。 任何指向正確方向的指針都受到高度贊賞。

萬分感謝，

-丹

Answer 1

您在這里使用Spring嗎？ 如果是這樣，您可能真的想看看Spring Security。 我知道我在這里向您介紹了另一種可能的新技術，但是應用程序安全性應該由Spring Security之類的工具來處理，而不是自己編寫本地版本。 您想要的是基於角色的訪問，Spring Security當然可以為您做到這一點。

使用Spring Security，您可以設置為，如果鏈接具有“ / store / admin / *”模式，則只有管理員可以訪問它。 其他所有內容將向基本用戶開放。 當某人點擊該鏈接時，Spring Security將自動檢查該人是否具有足夠的特權；否則，它將在繼續操作之前自動將用戶重定向到登錄頁面。 正確配置它之后，您甚至根本不需要考慮自己處理安全性。

有關更多信息，請訪問此鏈接： http : //static.springsource.org/spring-security/site/