Pourquoi la redirection d'autorisation à l'expiration de la session se comporte-t-elle différemment pour la navigation dans les pages et la soumission de formulaires dans JSF ?

Redirection d'autorisation à l'expiration de la session : différents résultats entre la navigation de page et la soumission de formulaire

La personnalisation de FacesServlet pour implémenter l'autorisation et la gestion de session est une opération courante pratique dans les applications JSF. Cependant, un problème particulier survient lorsque la redirection à l'expiration de la session se comporte différemment pour la navigation dans les pages et les soumissions de formulaires.

Description du problème

Lors de l'utilisation d'un FacesServlet personnalisé pour vérifier l'autorisation et la redirection utilisateurs non autorisés, la réponse de redirection ne prend pas effet lorsqu'un formulaire JSF est soumis. La page reste inchangée malgré la commande de redirection dans le servlet.

Comprendre la différence

La divergence entre le comportement de navigation dans la page et celui de soumission du formulaire réside dans le type de requête qu'ils envoyer. La navigation dans les pages implique une requête HTTP régulière, tandis que les soumissions de formulaires JSF déclenchent une requête AJAX.

Réponse Ajax et XML

Les requêtes AJAX attendent une réponse XML. Si une redirection est envoyée sous forme de réponse AJAX, le moteur AJAX renvoie la demande à l'URL de redirection. Étant donné que l'URL de redirection renvoie une page HTML au lieu du XML requis, le navigateur ne parvient pas à gérer la réponse correctement.

Filtrer comme une meilleure solution

Plutôt que d'utiliser un FacesServlet modifié, un filtre de servlet est une approche plus appropriée pour ce scénario d'autorisation. Les filtres peuvent intercepter les requêtes avant qu'elles n'atteignent les servlets, ce qui en fait un choix idéal pour la sécurité et la gestion des sessions.

Exemple de mise en œuvre de filtre

Vous trouverez ci-dessous un exemple de filtre de servlet qui implémente la gestion des autorisations et de l'expiration des sessions :

<code class="java">@WebFilter("/*")
public class AuthorizationFilter implements Filter {

    // ...

    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws ServletException, IOException {
        HttpServletRequest request = (HttpServletRequest) req;
        HttpServletResponse response = (HttpServletResponse) res;
        HttpSession session = request.getSession(false);
        String loginURL = request.getContextPath() + "/login.xhtml";

        boolean loggedIn = (session != null) && (session.getAttribute("user") != null);
        boolean loginRequest = request.getRequestURI().equals(loginURL);
        boolean resourceRequest = request.getRequestURI().startsWith(request.getContextPath() + ResourceHandler.RESOURCE_IDENTIFIER + "/");
        boolean ajaxRequest = "partial/ajax".equals(request.getHeader("Faces-Request"));

        if (loggedIn || loginRequest || resourceRequest) {
            // Continue request without intervention
            chain.doFilter(request, response);
        } else if (ajaxRequest) {
            // Send an AJAX-style redirect response
            response.setContentType("text/xml");
            response.setCharacterEncoding("UTF-8");
            response.getWriter().printf(AJAX_REDIRECT_XML, loginURL);
        } else {
            // Perform standard synchronous redirect
            response.sendRedirect(loginURL);
        }
    }
}</code>

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!