我知道我可以使用web.xml限制<security-constraint>中的页面访问,或者我可以编写自定义阶段侦听器或网络过滤器来检查每个请求的身份验证状态。
我对这些方法的错误在于我定义了哪些资源在资源本身以外的不同位置,即我必须记住在创建时更新过滤器或web.xml的URL模式或者移动JSF的xhtml文件。
我想要的是与文件上的注释类似的内容。
我见过人们在他们的xhtml文件中使用<f:preRenderView ...>标签,这非常接近,但我觉得这在JSF生命周期中为时已晚。
我有哪些选择?
或者这根本不可取?