注销后的 JSF 生活

Posted 2023-02-25

【中文标题】注销后的 JSF 生活

【英文标题】：JSF life after logout

【发布时间】：2011-11-01 04:11:27

【问题描述】：

我正在使用基于表单的身份验证。

我有一个注销链接，如下所示：

<h:commandLink action="#loginBean.logout">
    <h:outputText value="logout" />
</h:commandLink></div>

以及对应的注销方式：

public String logout() 
    FacesContext.getCurrentInstance().getExternalContext().invalidateSession();

    return "/view/index?faces-redirect=true"; // Redirect added as per BalusC's suggestion.

点击注销链接后，我返回首页，但似乎没有 CSS。当我点击按钮运行搜索时，出现以下错误：

javax.faces.application.ViewExpiredException: viewId:/view/index.jsf - View /view/index.jsf could not be restored.

然而 CSS 实际上位于 /resources 下，据我了解我的 web.xml 不需要身份验证：

    <security-constraint>
    <web-resource-collection>
        <web-resource-name>fizio</web-resource-name>
        <url-pattern>/*</url-pattern>
        <http-method>GET</http-method>
        <http-method>POST</http-method>
    </web-resource-collection>
    <auth-constraint>
        <role-name>*</role-name>
    </auth-constraint>
</security-constraint>

<security-constraint>
    <web-resource-collection>
        <web-resource-name>Unprotected area</web-resource-name>
        <url-pattern>/resources/*</url-pattern>
    </web-resource-collection>
</security-constraint>

在这种状态下，我似乎能够再次登录并在偶尔的 view-could-not-be-restored 错误之间看到 一些 数据，但没有 CSS。真的有点崩溃了。任何建议将不胜感激。

ETA：登录表单：

<form method="POST" action="j_security_check">
    <label for="j_password">Username:</label> <input type="text" name="j_username" />
    <br />
    <label for="j_password">Password:</label> <input type="password" name="j_password" /> <input type="submit" value="Login" />
</form>

【参考方案1】：

您需要在失效后重定向。否则，页面将显示在“无效”会话中。在结果中添加faces-redirect=true 以触发重定向。

public String logout() 
    FacesContext.getCurrentInstance().getExternalContext().invalidateSession();
    return "/index?faces-redirect=true";

重定向将导致网络浏览器在 POST 响应之后触发新的 GET 请求，进而导致服务器创建一个全新的会话。这样视图将按预期工作。

至于 CSS 资源，他们显然仍然需要登录。您在那里的“未受保护区域”约束将不起作用。删除它并将您的主要安全约束的 URL 模式更改为例如 /app/* 或任何安全区域的公共路径。

【讨论】：

谢谢。这似乎产生了微妙的差异 - 现在点击注销时，我看到了登录页面，并带有 CSS。但是如果我真的点击登录，我会以无效的会话状态返回我的应用程序。我的登录表单可能还有其他问题？

您能否更详细地描述“我以无效会话状态返回到我的应用程序”问题？尝试从开发人员的角度来看待问题，而不是从最终用户的角度。例如。会话 cookie 在那里吗？是否有更改会话 ID 的方法？等等。

哦，有没有可能您只是从浏览器缓存中查找页面？尝试按照以下答案中的建议创建过滤器：***.com/questions/3642919/… 如果您正在从浏览器缓存中查找页面，您可以借助例如 Firebug 进行检查。另一个（外行）测试是在注销后按 Ctrl+F5，然后重试操作。

似乎有一个与上下文根相关联的会话 cookie，在点击注销后和再次点击登录后仍然存在。它始终保持相同的 JSESSIONID 值，除非我手动导航到上下文根时我得到一个新的 JSESSIONID 值。

您是否排除了浏览器缓存成为罪魁祸首？见上一条评论。注销后您绝对应该获得一个新的会话 cookie（但前提是页面由服务器提供，而不是来自浏览器缓存）。