那些遇到过的问题

如何正确使用isUserInRole(角色)

Han*_*sky 14 jsf servlets java-ee

防止用户角色执行操作.

  1. 示例1:角色"administrator"是允许执行销毁操作的唯一角色.
  2. 示例2:与"guest"不同的任何角色都可以执行CREATE操作.

在一个真实的案例中,我有这个:

public String delete() {
 if(FacesContext.getCurrentInstance().getExternalContext().isUserInRole("administrator"){
   //.....the action to perform
 }
 return "Denied";
}
Run Code Online (Sandbox Code Playgroud)

我希望我可以使用@RolesAllowed()EJB 的注释,但我不使用EJB而是使用ManagedBeans.所以问题是:有没有办法同时使用多个角色?一些解决方法!示例:如果必须允许对3个角色执行操作(管理员,主持人,经理).我有义务这样做:

if (FacesContext.getCurrentInstance().getExternalContext().isUserInRole("administrator")
    || FacesContext.getCurrentInstance().getExternalContext().isUserInRole("manager") 
    || .....) {
  //....
}
Run Code Online (Sandbox Code Playgroud)

重现所有方法都很痛苦.像数百种方法的东西:(

Bal*_*usC 30

这需要在视图侧进行控制.当你在某个网站上看到一个你没有足够权利按下的按钮并且因此在你这样做时会得到一个令人生畏的错误页面时,你自己发现它是非常烦人吗?

只有当用户具有所需角色时才在视图侧渲染按钮,否则完全隐藏它. 

<h:commandButton value="Delete" action="#{bean.delete}" 
    rendered="#{request.isUserInRole('administrator')}" />
Run Code Online (Sandbox Code Playgroud)

这对(CSRF)黑客不敏感,因为JSF在应用请求值阶段再次检查条件.

至于使用多个条件并在单个视图中反复重复,请考虑使用<c:set>它来为它提供一个简短的别名.您甚至可以将它放在某个主模板的顶部,以便它可供所有子模板使用.

<c:set var="isPowerUser" value="#{request.isUserInRole('manager') or request.isUserInRole('administrator')}" scope="request" />
...
<h:commandButton rendered="#{isPowerUser}" />
...
<h:commandButton rendered="#{isPowerUser}" />
Run Code Online (Sandbox Code Playgroud)

  • @Rob:它纯粹是服务器端,而不是客户端或其他东西(它绝对不像 JavaScript/CSS display=none/block)并且在处理表单提交期间由 JSF 重新评估。另见例如http://stackoverflow.com/questions/2118656/hcommandlink-hcommandbutton-is-not-being-invoked/2120183#2120183的第5点所以是的,你肯定错过了一些东西:) (2认同)

Boz*_*zho 7

您可以通过将逻辑移动到实用程序方法来缩短它:

public class AuthorizationUtils {
    public static boolean isUserInRoles(String[] roles) {
        for (String role : roles) {
            if (FacesContext........isUserInRole(role)) {
                return true;
            }
        }

        return false;
    }
}
Run Code Online (Sandbox Code Playgroud)

然后使用以下命令调用它:

if (AuthorizationUtils.isUserInRoles(new String[] {"administrator", "moderator"})) {
    ..
}
Run Code Online (Sandbox Code Playgroud)

如果您正在使用CDI,则可以创建一个处理@RolesAllowed注释的拦截器

归档时间:

查看次数:

24011 次

最近记录:

12 年,5 月 前
commandButton/commandLink/ajax动作/侦听器方法未调用或输入值未设置/更新 332
更多相关链接
相关归档
JPA的模式:从实体生成数据传输对象DTO并将DTO合并到数据库 17
JSF ID的规则是什么? 14
Java EE安全模型是否支持ACL? 8
如何仅使用f:validateRegex来允许数字 8
多个服务器如何通过维护相同的用户会话来处理Web应用程序请求. 8
我该如何测试EJB 3.0? 5
在时间间隔后使特定的托管bean实例过期 5
如何捕获FacesFileNotFoundException? 3
警告:在同一个ClassLoader上找到多个JSF应用程序.无法安全地确定要使用的FactoryManager实例 3
JDBC SQL别名不起作用 2
难疑归档
何时在Java中使用LinkedList而不是ArrayList? 2974
如何制作一系列功能装饰器? 2647
403 Forbidden vs 401 Unauthorized HTTP响应 2544
如何克隆或复制列表? 2289
如何使用Maven创建具有依赖关系的可执行JAR? 2276
什么是复制和交换习语? 1907
如何为所有浏览器垂直居中div? 1310
Vim最有效的捷径是什么? 1127
参考 - 这个错误在PHP中意味着什么? 1071
什么是"Linting"? 1044