结合一次性“供应”和“供应”。使用 JSF 进行处理？

Question

首先，我要承认这是我的第一个 Web 应用程序，也是我第一次使用 JSF，因此我可能做出了一些糟糕的设计决策。

这就是我正在尝试做的事情： 我有一个使用 JSF 2.0 的 Web 应用程序，可以通过 Facebook 画布访问它。该网络应用程序允许用户查看/操作传感器读数数据库中的数据。 Facebook 用户第一次访问我的应用程序时，我要求用户输入数据库的登录凭据，然后将用户发送到主页。此后，用户应该始终直接进入主页，因为我将用户的 FB ID 与数据库用户配置文件关联起来。

当前实施： 我有 Facebook 画布 URL 到 servlet。该servlet 检查Facebook 传递的signed_request 参数以获取用户ID，然后在数据库中查找用户是否已完成配置过程。如果用户这样做了，他将被重定向到应用程序主页。

问题： 我执行这些检查的大部分逻辑当前都存在于托管 bean（会话范围）内。为了在 servlet 中使用该 bean，我手动实例化该 bean 并将其添加到会话中，因为 JSF 框架还没有机会创建它。随着我的系统变得越来越复杂，由于各种 bean 之间的依赖关系，这导致了问题。而且，这似乎是解决问题的一种糟糕的方法。

解决方案？从我的网络搜索来看，听起来可能有多种方法可以做到这一点。一种方法是将画布设置为 JSF 登录页面，其中托管 Bean 将获取signed_request 参数并验证用户是否已完成配置步骤。从那里，bean 将转发到正确的页面。另一种可能性可能是有一个热切的 bean 来做同样的事情，但这似乎是“错误的”。

解决此问题并遵守“正确的”JSF 范例的最佳方法是什么？

提前致谢！

Answer 1

有多种不同的方法可以处理这个问题。 JSF 登陆页面是一种想法，而 eager bean 是处理此问题的一些方法。

如果您忽略了与 Facebook 集成的事实，那么最终您是在尝试解决身份验证和授权问题。 Facebook 正在处理您的身份验证，并告诉您的 Web 应用程序用户的身份是什么，您的 Web 应用程序的工作是在整个会话中记住该人的身份，并授权此人访问所请求的内容页。

我之前已经实现过它，我让所有托管 bean 都扩展了一个 BaseBean 类，该类在创建和初始化时检查是否存在包含用户标识信息的特定 SessionScoped bean。如果这个 bean 不存在或者没有被授权访问这个 bean，那么我会重定向。这种方法的问题在于它只授权使用托管 bean，而不授权页面。

我采用的另一种方法是利用 servlet 过滤器，该过滤器本质上会检查每个页面请求并查找包含当前经过身份验证的用户的会话范围 bean。如果没有找到，那么我将查找特定的请求参数并进行身份验证并创建会话 bean，如果不存在，则会重定向到未经授权的页面。

这种方法效果很好，直到我意识到 Java Web 应用程序的身份验证和授权是一个很好理解且几乎普遍存在的问题。经过一些观察和研究，我发现像 Spring Security 3 这样的安全框架确实可以集成到 JSF 中，并处理几乎所有复杂的身份验证和授权的复杂性。您可以非常轻松地为 Spring Security 集成自定义 Facebook 身份验证处理程序，并通过用户角色控制对单个页面级别的访问，所有这些都来自 XML 配置。如果您有时间学习新东西，这是非常值得研究的。