Как исправить пустую страницу после перенаправления @WebFilter в JSF?

Question

Я создаю приложение с использованием JSF и хочу перенаправить пользователя на login.xhtml со всех страниц (исключая login / register.xhtml), если он не вошел в систему, используя @WebFilter. Проблема в том, что после перенаправления все, что я вижу, это пустая страница.

Я думаю, что он фильтрует все ресурсы, включая bootstrap.css, поэтому я использовал такие вещи:

if (req.getRequestURI().startsWith(req.getContextPath() + ResourceHandler.RESOURCE_IDENTIFIER)) {
    chain.doFilter(request, response);
    return;
}

Но это такничего.

Это мой LoginFilter.java

@WebFilter("*")
public class LoginFilter extends HttpFilter {
    @Inject
    CurrentSession currentSession;

    @Override
    protected void doFilter(HttpServletRequest req, HttpServletResponse res, FilterChain chain) throws IOException, ServletException {
        String currentPath = req.getContextPath() + req.getServletPath();

        if (!userIsLogged()) {
            if(!currentPath.equals("/app/register.xhtml") && !currentPath.equals("/app/login.xhtml"))
                res.sendRedirect(req.getContextPath() + "/login.xhtml");
        }
        else
            chain.doFilter(req, res);
}

Может кто-нибудь подсказать мне, что мне добавить к этому?

Answer 1

Не думаю, что вам следует писать собственный фильтр, потому что в JavaEE есть встроенный Механизм безопасности для аутентификации и авторизации. Все, что вам нужно, это настроить в файле WEB-INF/web.xml. Вот минимальный проект:

sample-webapp
├── pom.xml
└── src
    └── main
        ├── java
        ├── resources
        │   └── messages.properties
        └── webapp
            ├── pages
            │   ├── admin (restricted for ADMINISTRATORs only)
            │   │   └── admin.xhtml
            │   ├── dashboard.xhtml (available for all logged-in users)
            │   ├── protected.xhtml
            │   └── public (unrestricted pages)
            │       ├── login.xhtml 
            │       └── register.xhtml
            ├── resources (unrestricted public resources)
            │   └── css
            │       └── style.css
            └── WEB-INF
                ├── faces-config.xml
                ├── jboss-web.xml
                └── web.xml

Все статические ресурсы (изображения, таблицы стилей и т. Д.) Расположены в webapp/resources. Файлы JSF расположены под webapp/pages/..., но это только пример. Желаемое поведение

• Каждый статический ресурс является общедоступным
• login.xhtml и register.xhtml (все в webapp/pages/public) общедоступны
• Все остальные страницы в webapp/pages/ защищены и доступны для всех вошедших в систему пользователей.
• Страницы в webapp/pages/admin доступны только для администраторов.

В файле web.xml просто настройте следующие вещи:

<?xml version="1.0" encoding="UTF-8"?>
<web-app version="3.1" xmlns="http://xmlns.jcp.org/xml/ns/javaee"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee http://xmlns.jcp.org/xml/ns/javaee/web-app_3_1.xsd">


    <welcome-file-list>
        <welcome-file>/pages/dashboard.xhtml</welcome-file>
    </welcome-file-list>

    <login-config>
        <auth-method>FORM</auth-method>
        <realm-name>stackoverflow-auth-realm</realm-name>
        <form-login-config>
            <form-login-page>/pages/public/login.xhtml</form-login-page>
            <form-error-page>/pages/public/login.xhtml?showerror=true</form-error-page>
        </form-login-config>
    </login-config>

    <security-constraint>
        <display-name>Allowed for admin only</display-name>
        <web-resource-collection>
            <web-resource-name>Admin</web-resource-name>
            <url-pattern>/pages/admin/*</url-pattern>
            <http-method>GET</http-method>
            <http-method>POST</http-method>
        </web-resource-collection>
        <auth-constraint>
            <role-name>ADMINISTRATOR</role-name>
        </auth-constraint>
    </security-constraint>

    <security-constraint>
        <display-name>Unrestricted access</display-name>
        <web-resource-collection>
            <web-resource-name>Unrestricted</web-resource-name>
            <url-pattern>/pages/public/*</url-pattern>
            <http-method>GET</http-method>
            <http-method>POST</http-method>
        </web-resource-collection>
        <!-- auth-constraint section is missing which means theese resources are available for everyone -->
    </security-constraint>
    <security-constraint>
        <display-name>Allowed for all logged in users</display-name>
        <web-resource-collection>
            <web-resource-name>LoggedIn</web-resource-name>
            <url-pattern>/pages/*</url-pattern>
            <http-method>GET</http-method>
            <http-method>POST</http-method>
        </web-resource-collection>
        <auth-constraint>
            <role-name>*</role-name> <!-- Wildcard role-name means authentication is required but theese resources are available for every roles -->
        </auth-constraint>
    </security-constraint>

    <security-role>
        <role-name>ADMINISTRATOR</role-name>
    </security-role>
    <security-role>
        <role-name>*</role-name>
    </security-role>

    <servlet>
        <servlet-name>FacesServlet</servlet-name>
        <servlet-class>javax.faces.webapp.FacesServlet</servlet-class>
    </servlet>

    <servlet-mapping>
        <servlet-name>FacesServlet</servlet-name>
        <url-pattern>*.jsf</url-pattern>
    </servlet-mapping>
    <servlet-mapping>
        <servlet-name>FacesServlet</servlet-name>
        <url-pattern>*.xhtml</url-pattern>
    </servlet-mapping>

</web-app>

В файле login.xhtml есть несколько требований.

• Форма должна быть отправлена ​​на j_security_check action
• Поле пользователя и пароля должно быть j_username и j_password вот так:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml"
      xmlns:h="http://java.sun.com/jsf/html"
      xmlns:p="http://primefaces.org/ui" xmlns:ui="http://java.sun.com/jsf/facelets">

<h:body>
    <div class="login-box">
    <ui:fragment rendered="#{param.showerror}">
        <div class="text-danger">
            <h4>#{msg['login.error']}</h4>
        </div>
    </ui:fragment>
    <form method="post" action="j_security_check">
        <p:inputText id="j_username" placeholder="#{msg['login.username']}"
                     required="true" autocomplete="off"
                     requiredMessage="#{msg['login.error.username']}"/>
        <p:password id="j_password" placeholder="#{msg['login.password']}" required="true" autocomplete="off"
                    requiredMessage="#{msg['login.error.password']}"/>
        <button><h:outputText value="#{msg['login.submit']}"/></button>
    </form>
</h:body>
</html>

Предположим, у вас есть три разных типа пользователей.

• Не прошедший проверку подлинности (кто не вошел в систему)
• ПОЛЬЗОВАТЕЛЬ (аутентифицирован)
• АДМИНИСТРАТОР (аутентифицирован и имеет специальную роль)

• Неаутентифицированный пользователь получит доступ к login.xhtml и register.xhtml, в противном случае этот пользователь будет перенаправлен в форму входа.
• Аутентифицированный пользователь будет иметь доступ ко всем страницам в webapp/pages, за исключением страниц в webapp/pages/admin. Если ПОЛЬЗОВАТЕЛЬ попытается получить доступ к странице администратора, он получит Запрещенный ответ.
• Пользователь ADMINISTRATOR будет иметь доступ к каждой странице.