Java 使用基于表单的安全性时如何实现注销
我使用基于JDBC表单的安全域,我想实现注销,但当我单击链接时,我看到了以下异常: java.lang.RuntimeException:java.security.AccessControlException: 拒绝访问(java.lang.reflect.ReflectPermission) 取消访问检查)。。。原因: java.security.AccessControlException:拒绝访问 (java.lang.reflect.reflect权限检查) 这是我创建的用于执行日志的EJB:Java 使用基于表单的安全性时如何实现注销,java,security,jakarta-ee,ejb-3.0,java-ee-6,Java,Security,Jakarta Ee,Ejb 3.0,Java Ee 6,我使用基于JDBC表单的安全域,我想实现注销,但当我单击链接时,我看到了以下异常: java.lang.RuntimeException:java.security.AccessControlException: 拒绝访问(java.lang.reflect.ReflectPermission) 取消访问检查)。。。原因: java.security.AccessControlException:拒绝访问 (java.lang.reflect.reflect权限检查) 这是我创建的用于执行日志的
@Stateless(name = "ejbs/SessionSupportEJBImpl")
@DeclareRoles({"administrators","users"})
public class SessionSupportEJBImpl implements SessionSupportEJB {
@PermitAll
public void releaseUserState() {
HttpSession session = (HttpSession) FacesContext.getCurrentInstance()
.getExternalContext().getSession(false);
if (session != null) {
session.invalidate();
}
}
}
这里我从一个支持bean中调用它:
@Named("logoutBB")
@RequestScoped
public class LogoutBean {
@EJB
private SessionSupportEJB sessionSupportEJB;
public String logout() {
sessionSupportEJB.releaseUserState();
return "index.xhtml?faces-redirect=true";
}
}
这里是触发它的标记:
<h:form>
<h:commandLink value="LOGOUT" action="#{logoutBB.releaseUserState}"/>
</h:form>
我的疑问是:
- 如何使注销功能正常工作
- 是否必须始终在我的EJB上使用EJB安全注释以允许访问?(当使用安全域时)
- 我应该用servlet而不是EJB来实现这一点吗
- 这种方法错了吗?我应该尝试其他方法注销吗
@WebServlet("/logout")
public class LogoutServlet extends HttpServlet {
public void doGet(HttpServletRequest req, HttpServletResponse res) throws IOException, ServletException {
HttpSession session= req.getSession();
session.invalidate();
RequestDispatcher rd = req.getRequestDispatcher("/login.xhtml"); //The url where go after logout
rd.forward(req,res);
}
}
因此,您可以在html/xhtml页面中添加以下链接以进行注销:
<a href="/logout">Logout</a>
如果您使用的是JSF,要获取应用程序的上下文路径,可以使用:
<a href="${request.contextPath}/logout">Logout</a>
免责声明:我假设您使用的是JavaEE6。此外,我没有测试代码(但我知道它是有效的)。如果您在编译过程中遇到一些问题,请告诉我这可能与您的问题有关,但我不确定。EJB如何访问
FacesContext
实例?我个人不认为像HttPSession
这样的HTTP协议特定对象应该在EJB容器中访问。这是一种关注点没有分开的情况。最好在托管bean中实现注销机制。@Vinet Reynolds我不知道,也许这不正确。我将注销机制移到托管bean而不是EJB,但我得到了相同的错误(我将粘贴上面的完整堆栈跟踪)。您认为注销的最佳做法是什么?也许我不应该这样做?在LogoutBean类中,为什么要注入sessionSupportEJB而不是SessionSupportJBImpl?@perissf,因为我编程到的是接口而不是实现。CDI将在场景后面为我实例化,我会尝试一下,我会让你知道的。我只是有点怀疑。因为我使用jsf,所以我需要使用h:commandLink
而不是
,当链接返回的值是/logout
时,servlet会知道需要处理该请求,对吗?servlet是否可以通过检测触发该操作的组件的id来实现这一点?(因此/logout不会出现在url中),因为实现是在servlet中的,您不需要使用h:commandLink,这样就可以正常工作。当应用程序请求/注销时,servlet会使会话无效,并将用户重定向到“/login.xhtml”,您可以将所需的URI放在这里。关于最后一点,您可以向Servlet发送额外的参数,更改URL映射,并在doPost中进行处理。我想我很接近了,但我被重定向到http://localhost:8080/logout
我得到一个错误404(找不到资源),我认为错误在这里:req.getRequestDispatcher(“/login.xhtml”)代码>问题在于我设法做到了这一点。这条路比我要做的要简单得多。谢谢