JSF 转发和安全约束问题

Question

我正在制作一个 Web 应用程序，其中某些页面受到登录保护。为此，我在 glassfish 中创建了一个 JDBC 安全领域，并使用了表单身份验证（类似于方法 described here）

我正在使用导航规则将用户重定向到网站的安全区域：

<navigation-case>
        <from-outcome>showResults</from-outcome>
        <to-view-id>/SecureUser/Reservation/New/AvailableResults.xhtml</to-view-id>
        <redirect/>
</navigation-case>
(etc...)

这很好用。但是，如果我在导航案例中跳过重定向标记，则页面的 URL 不会改变。在这种情况下，未经身份验证的用户可以访问受保护的页面。

解决此问题的最佳方法是什么？确保页面被重定向而不是转发就足够了吗？我是否应该在每个安全页面中编写代码来检查用户是否登录？

Answer 1

使用 POST 进行页面到页面导航被认为是不好的做法。不要使用 JSF h:commandLink 或 h:commandButton 进行简单的逐页导航。两者都会生成一个 POST 表单，这对于简单的导航来说完全没有必要并且对 SEO 不友好。而是改用h:link 或h:button。它分别呈现一个普通的 GET 链接和 GET 表单。

如果您仍然提交 POST 表单并且结果页面与表单页面不同，那么使用 PRG (Post-Redirect-Get) pattern 被认为是一种好的做法。您可以为此使用<redirect/>。