Moin...
ich möchte für mein JSF-Rahmenprojekt eine Vorlage für ein gutes/gesundes/praktikables Loginsystem erstellen, damit man das für spätere Projekte nicht ständig neu entwickeln muss. Wie sind da so die Best-Practices, gibt es da "gute" Quellen zu? Mir geht es insb. um die Modellstrutkur die dahinter steht, nicht so sehr um technische Details wie LDAP oder JAAS...
Habe mir ungefähr vorgestellt per PhaseListener jeweils zu gucken, ob ein User-Objekt existiert, wenn nein Login-Screen... sprich auf jeder Seite/View eine entsprechende Abfrage - kann man dafür die faces-config anpassen, so dass man die Login-Abfrage für einzelne Views an/ausschalten kann?
Daneben will ich natürlich aber nicht nur die Zustände angemeldet, nicht angemeldet haben, sondern auch versch. Zugriffsberechtigungen für bestimmte User bzw. Gruppen von Usern zulassen. Also Roles oder Policies... - eine Idee war, das jeder User ein (oder mehrere) entsprechendes Role-Objekt hinzugefügt bekommt. Ich möchte jetzt allerdings natürlich nicht auf jeder Seite prüfen in welcher Rolle der akt. User gerade ist (quasi instanceof) sondern andersrum über die Role selbst die jeweiligen Anzeigemöglichkeiten quasi polymorph steuern...
Speichern tu ich das ganze dann via Hibernate auf ner Datenbank - wobei ich mir für Navigation oder ähnliches auch xml-Konfigurationen überlegt hab...
Das geht natürlich für kleinere Unterschiede bzw. für generelle Zugriffsbeschränkungen auf Backend-Services ganz gut... - allerdings wird das beim komplexen Rendering von Views dann doch wieder umständlich... - z.B. für das dynamische Erstellen von Menüs etc. - sprich manchmal wird es sinnvoll sein verschiedene Views für verschiedene Userrechte zu erstellen (wenn sie sich zu sehr unterscheiden in der Darstellung)
Gibts da schöne Konzepte, Theorien oder auch was praktisches?
- muss jetzt auch nicht im JSF Kontext sein. Da ich eh Spring einsetzen wollte, wäre ja evtl. auf der Serviceseite auch AOP interessant, oder?
TIA
ich möchte für mein JSF-Rahmenprojekt eine Vorlage für ein gutes/gesundes/praktikables Loginsystem erstellen, damit man das für spätere Projekte nicht ständig neu entwickeln muss. Wie sind da so die Best-Practices, gibt es da "gute" Quellen zu? Mir geht es insb. um die Modellstrutkur die dahinter steht, nicht so sehr um technische Details wie LDAP oder JAAS...
Habe mir ungefähr vorgestellt per PhaseListener jeweils zu gucken, ob ein User-Objekt existiert, wenn nein Login-Screen... sprich auf jeder Seite/View eine entsprechende Abfrage - kann man dafür die faces-config anpassen, so dass man die Login-Abfrage für einzelne Views an/ausschalten kann?
Daneben will ich natürlich aber nicht nur die Zustände angemeldet, nicht angemeldet haben, sondern auch versch. Zugriffsberechtigungen für bestimmte User bzw. Gruppen von Usern zulassen. Also Roles oder Policies... - eine Idee war, das jeder User ein (oder mehrere) entsprechendes Role-Objekt hinzugefügt bekommt. Ich möchte jetzt allerdings natürlich nicht auf jeder Seite prüfen in welcher Rolle der akt. User gerade ist (quasi instanceof) sondern andersrum über die Role selbst die jeweiligen Anzeigemöglichkeiten quasi polymorph steuern...
Speichern tu ich das ganze dann via Hibernate auf ner Datenbank - wobei ich mir für Navigation oder ähnliches auch xml-Konfigurationen überlegt hab...
Das geht natürlich für kleinere Unterschiede bzw. für generelle Zugriffsbeschränkungen auf Backend-Services ganz gut... - allerdings wird das beim komplexen Rendering von Views dann doch wieder umständlich... - z.B. für das dynamische Erstellen von Menüs etc. - sprich manchmal wird es sinnvoll sein verschiedene Views für verschiedene Userrechte zu erstellen (wenn sie sich zu sehr unterscheiden in der Darstellung)
Gibts da schöne Konzepte, Theorien oder auch was praktisches?
- muss jetzt auch nicht im JSF Kontext sein. Da ich eh Spring einsetzen wollte, wäre ja evtl. auf der Serviceseite auch AOP interessant, oder?TIA
