关于JSF授权的建议

Question

我学习了如何通过 JDBC 领域使用容器身份验证。 我在互联网上搜索了很多，但除了下面的文章之外，我找不到任何关于 JSF 授权的内容。 JSF 授权

我的目标是避免使用直接链接访问受保护的页面并显示/隐藏基于经过身份验证的用户权限的菜单项和表单组件。 最后一部分可以使用 JSF 标签的渲染属性来实现，但在创建我自己的肮脏且高耦合的解决方案之前，我想知道是否有一些特定的最佳实践或库可以提供帮助。事实上，要条件渲染的组件数量相当多，我不想为每个组件编写特定的函数。 也许我可以为每个经过身份验证的用户创建一个映射，其中包含所有条件渲染组件的名称（id）以及带有字符串参数（组件的唯一名称/id）的单个函数。这是个好主意吗？我还有什么选择？ 我不想在项目中添加其他通用框架，例如 spring，因为它只使用其中的一小部分（安全框架）。

谢谢 菲利波

Answer 1

使用 Java EE 6 中的表达式语言版本，您应该能够使用如下表达式：

<h:inputText rendered="#{facesContext.externalContext.isUserInRole('foo')}" />

对于旧版本，您可以创建以下形式的托管 bean：

public class RoleMap implements Map<String, Boolean> {

    public Boolean get(Object key) {
        ExternalContext extCtxt = FacesContext.getCurrentInstance()
                                              .getExternalContext();
        return extCtxt.isUserInRole(key.toString());
    }

    //TODO: other methods; mostly throwing UnsupportedOperationException

然后测试可以采用以下形式表达：

<h:inputText rendered="#{roleMap['foo']}" />

第三方框架提供其他选项，例如 Apache Tomahawk 库的 visibleOnUserRole 组件属性。

Answer 2

看一下 Apache Shiro，一个专用的安全框架（据说比 Spring Security 更容易使用）。