我想在我的JSF应用程序中创建一个“模拟”功能。此功能将使管理员能够访问使用低级用户验证的应用程序,而无需知道密码。
我虽然它是一个简单的setUserPrincipal,类似于我用来获取当前登录用户的内容
FacesContext.getCurrentInstance().getExternalContext().getUserPrincipal(),但我在javax.faces.context.ExternalContext内找不到任何“setUserPrincipal”方法......
简而言之,我想要的是以编程方式更改当前登录的用户,以便管理员可以模拟任何其他用户,而无需通知凭据。有可能吗?
由于
答案 0 :(得分:0)
我强烈建议您不要使用身份验证/授权,除非您真的没有替代方案。
无论如何,退出JSF,它在游戏中来得太晚了。
最简单的方法是提供一个过滤器提供的自定义请求:
@WebFilter(filterName = "impersonateFilter", urlPatterns = "/*", asyncSupported = true)
public class ImpersonateFilter implements Filter
{
@Override
public void init(FilterConfig filterConfig) throws ServletException
{
// do nothing
}
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException
{
HttpServletRequest httpRequest = (HttpServletRequest) request;
ImpersonateRequest impersonateRequest = new ImpersonateRequest(httpRequest);
chain.doFilter(impersonateRequest, response);
}
@Override
public void destroy()
{
// do nothing
}
public static class ImpersonateRequest extends HttpServletRequestWrapper
{
protected Principal principal;
public ImpersonateRequest(HttpServletRequest request)
{
super(request);
HttpSession session = request.getSession(false);
if(session != null)
{
principal = (Principal) session.getAttribute(ImpersonateRequest.class.getName());
}
}
@Override
public Principal getUserPrincipal()
{
if(principal == null)
{
principal = super.getUserPrincipal();
}
return principal;
}
public void setUserPrincipal(Principal principal)
{
this.principal = principal;
getSession().setAttribute(ImpersonateRequest.class.getName(), principal);
}
@Override
public String getRemoteUser()
{
return principal == null ? super.getRemoteUser() : principal.getName();
}
}
}
这样的事情就足够了。