我正在玩 JavaEE 7 并尝试编写一个具有简单登录机制的 Web 应用程序。
有一个 EJB 实体类与 JPA 保持一致,称为 User 保存有关用户的数据。在 WAR 中,一个名为 UserManagedBean 的 session 作用域托管 bean 负责跟踪当前用户,因此它具有类型为 User 的属性,该属性在有人成功登录时设置。过滤器正在监视此属性的值,并在必要时重定向到登录页面。当然,User 和 UserManagedBean 都是可序列化的(实现接口(interface)并且不包含任何不可序列化的内容)。
我的问题是,在成功 登录后,刷新页面会使我回到登录页面,并且我之前设置的 user 属性现在为空(实际上这就是为什么过滤器触发重定向)。
这是我尝试过的:
- 分离的逻辑和数据:UserManagedBean 现在只有一个属性和一些辅助方法,没有 EJB,与 Java 魔法无关。
- 尝试将 web.xml 中的
javax.faces.STATE_SAVING_METHOD上下文参数设置为服务器和客户端,没有任何改变。 - 验证 session 范围内的托管 bean 保持不变:只创建了其中一个,但在从登录页面导航后,用户的值不知何故为空。
- 根据 NetBeans 调试器,
user字段无法访问,除非将其设置为登录用户。 - 指定自定义序列化方法显示 UserManagedBean 在实验期间未序列化或反序列化。
- 在 Chrome 中调试表明 session ID 保存在 cookie 中,并且当
user的值丢失时不会更改。 - 没有检测到异常。
我一定遗漏了一些微不足道的东西,我们将不胜感激。
(更新:这确实是微不足道的,与 JSF 或托管 bean 无关,请参阅下面我的回答。)
我的代码如下:
用户类:
@Entity(name = "USERS")
public class User implements Serializable {
private static final long serialVersionUID = 1L;
@Id
private String username;
private boolean administrator;
private byte[] salt;
private byte[] passwordHash;
public String getUsername() {
return username;
}
public void setUsername(String userName) {
this.username = userName;
}
public boolean isAdministrator() {
return administrator;
}
public void setAdministrator(boolean administrator) {
this.administrator = administrator;
}
public byte[] getSalt() {
return salt;
}
public void setSalt(byte[] salt) {
this.salt = salt;
}
public byte[] getPasswordHash() {
return passwordHash;
}
public void setPasswordHash(byte[] passwordHash) {
this.passwordHash = passwordHash;
}
@Override
public int hashCode() {
int hash = 0;
hash += (username != null ? username.hashCode() : 0);
return hash;
}
@Override
public boolean equals(Object object) {
// TODO: Warning - this method won't work in the case the id fields are not set
if (!(object instanceof User)) {
return false;
}
User other = (User) object;
if ((this.username == null && other.username != null) || (this.username != null && !this.username.equals(other.username))) {
return false;
}
return true;
}
@Override
public String toString() {
return "hu.bme.aut.mv.testbay.ejb.entities.User[ id=" + username + " ]";
}
}
UserManagedBean 类:
@ManagedBean(name = "userManagedBean")
@SessionScoped
public class UserManagedBean implements Serializable {
private static final long serialVersionUID = 1L;
private User currentUser;
public User getCurrentUser() {
return currentUser;
}
public void setCurrentUser(User user) {
this.currentUser = user;
}
public boolean isLoggedIn() {
return currentUser != null;
}
public boolean isAdmin() {
return currentUser != null && currentUser.isAdministrator();
}
public String logout() {
currentUser = null;
return "/faces/index.xhtml";
}
/**
* Creates a new instance of UserManagedBean
*/
public UserManagedBean() {
System.out.println("UserManagedBean constructed!");
}
}
过滤器(doBeforeProcessing):
HttpSession session = ((HttpServletRequest) request).getSession(false);
UserManagedBean userManagedBean = (session != null) ? (UserManagedBean) session.getAttribute("userManagedBean") : null;
if (userManagedBean == null || userManagedBean.getCurrentUser() == null) {
((HttpServletResponse)response).sendRedirect(((HttpServletRequest) request).getContextPath() + "/faces/login.xhtml");
}
更新:
重要的是要注意,用户已正确设置一次,并且会按预期过渡到欢迎屏幕。但是,下一个请求发现用户属性为空。
触发身份验证的代码在请求范围内的 LoginManagedBean 类中:
@ManagedBean
@RequestScoped
public class LoginManagedBean implements Serializable {
@EJB
private AuthenticationSessionBeanLocal authBean;
@ManagedProperty("#{userManagedBean}")
private UserManagedBean userManagedBean;
@PostConstruct
public void Dummy() {
User user = userManagedBean.getCurrentUser();
}
public UserManagedBean getUserManagedBean() {
return userManagedBean;
}
public void setUserManagedBean(UserManagedBean userManagedBean) {
this.userManagedBean = userManagedBean;
}
private String username;
private String password;
//Some getters and setters...
//...
public String login() throws NoSuchAlgorithmException {
if (authenticate(username, password)) {
if (userManagedBean.getCurrentUser().isAdministrator())
return "/faces/admin/welcome.xhtml?faces-redirect=true";
else
return "/faces/testing/welcome.xhtml?faces-redirect=true";
}
return null;
}
private boolean authenticate(String username, String password) throws NoSuchAlgorithmException {
userManagedBean.setCurrentUser(authBean.authenticate(username, password));
if (userManagedBean.getCurrentUser() == null)
return false;
return true;
}
//Constructor and methods...
//...
}
最佳答案
这确实是一个愚蠢的错误。
NetBeans 断点没有发出信号,但注销函数确实访问了该字段,该函数在每次导航后调用。原来我误用了一个 PrimeFaces 组件。我想将注销 commandButton 的 outcome 属性设置为 UserManagedBean 上的注销方法,但 NetBeans 自动完成在我没有注意到的方法名称。因此,EL 不会收到 outcome 属性不像 action 那样工作并且应该接收字符串形式的路径的错误,而是评估 logout() 方法将结果设置为登录页面的返回 url,但该方法也会静默注销用户。
我唯一想知道的是 NetBeans 如何未能同时中断 set 方法和访问字段时本应触发的字段断点。
关于JSF: session 作用域托管 bean 的属性变为空,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/23620534/