如何控制JSF中的访问权限和权限?

时间:2012-09-20 15:53:25

标签: jsf jsf-2 servlet-filters login-control

我想在用户登录系统后控制访问权限。

例如:

administrator : can add, delete and give rights to employee
employee : fill forms only
...

因此,在知道用户拥有哪个权限后,检查数据库,我想限制此用户可以看到和执行的操作。 有一种简单的方法可以做到吗?

修改 

@WebFilter("/integra/user/*")
public class LoginFilter implements Filter {

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws ServletException, IOException {    
        HttpServletRequest req = (HttpServletRequest) request;
        Authorization authorization = (Authorization) req.getSession().getAttribute("authorization");

        if (authorization != null && authorization.isLoggedIn()) {
            // User is logged in, so just continue request.
            chain.doFilter(request, response);
        } else {
            // User is not logged in, so redirect to index.
            HttpServletResponse res = (HttpServletResponse) response;
            res.sendRedirect(req.getContextPath() + "/integra/login.xhtml");
        }
    }

    // You need to override init() and destroy() as well, but they can be kept empty.


    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void destroy() {
    }
}

1 个答案:

答案 0 :(得分:33)

嗯,这是一个相当广泛的主题。当您开始使用自制认证时,我将针对自制授权确定答案。

如果模型设计合理,Java / JSF中的角色检查本身就相对简单。假设一个用户可以拥有多个角色(在现实世界的应用程序中通常就是这种情况),你最终会喜欢这样的东西:

public class User {

    private List<Role> roles;

    // ...

    public boolean hasRole(Role role) {
        return roles.contains(role);
    }

}

public enum Role {

    EMPLOYEE, MANAGER, ADMIN;

}

以便您可以在JSF视图中按如下方式进行检查:

<h:selectManyCheckbox value="#{user.roles}" disabled="#{not user.hasRole('ADMIN')}">
    <f:selectItems value="#{Role}" />
</h:selectManyCheckbox>

<h:commandButton value="Delete" rendered="#{user.hasRole('ADMIN')}" />

并在您的过滤器中:

String path = req.getRequestURI().substring(req.getContextPath().length());

if (path.startsWith("/integra/user/admin/") && !user.hasRole(Role.ADMIN)) {
    res.sendError(HttpServletResponse.SC_UNAUTHORIZED);
}

最难的部分是将这个Java模型转换为理智的数据库模型。根据具体的业务需求,有几种不同的方式,每种方式都有自己的(dis)优势。或者您可能已经拥有了一个基于Java模型的数据库模型(因此,您需要自下而上设计)?

无论如何,假设您正在使用JPA 2.0(您的问题历史至少证实了这一点)并且您可以自上而下设计,最简单的方法之一是将roles属性映射为{ {3}}针对user_roles表格。由于我们使用的是Role枚举,因此不需要第二个role表。同样,这取决于具体的功能和业务要求。

在通用SQL术语中,user_roles表可能如下所示:

CREATE TABLE user_roles (
    user_id BIGINT REFERENCES user(id),
    role VARCHAR(16) NOT NULL,
    PRIMARY KEY(user_id, role)
)

然后将其映射如下:

@ElementCollection(targetClass=Role.class, fetch=FetchType.EAGER)
@Enumerated(EnumType.STRING)
@CollectionTable(name="user_roles", joinColumns={@JoinColumn(name="user_id")})
@Column(name="role")
private List<Role> roles;

这基本上只需要在User实体中进行更改。

在自制认证(登录/注销)和授权(角色检查)旁边,还提供了@ElementCollection Java EE,您可以使用container managed authenticationlogin by j_security_check or HttpServletRequest#login(),{{3} }和filter HTTP requests by <security-constraint> in web.xml等。

然后有几个第三方框架,例如check the logged-in user by #{request.remoteUser}its roles by #{request.isUserInRole('ADMIN')}PicketLink等。但这都是不可能的:)

相关问题
最新问题