Ich möchte für eine Anwendung zwei Frontends zur Verfügung stellen: Admin- und DefaultUser-Frontend. Nun, frage ich mich, wie ich es sicherstellen kann, dass der DefaultUser nicht auf die Seiten kommen kann, die nur für Admin gemeint sind. Ich habe Login schon implementiert und dazu auch zwei Rollen (admin bzw. default_user) definiert, aber der DefaultUser könnte den URL einer Admin-Seite eingeben, und dann hat er sie!
Ich weiss, dass man dies mit Tomcat regeln kann, indem der Zugriff auf bestimmte Verzeichnisse mit Hilfe von Rollen geregelt wird (Realm - container managed security). Wäre es möglich, dies auch auf der Applikationsebene zur regelen, und zwar in etwa so:
- bei jedem Zugriff auf eine Seite wird geprüft, ob die aktive Role (ein UserBean mit Rolle steht SessionScoped zur Verfügung) für die angeforderte Seite berechtigt ist oder nicht
- falls ja, wird der Zugriff gewährt
- fall nein, wird eine passende Seite (Access denied ...) angezeigt und der Zugriff damit abgeblockt.
Kann man so etwas mit JSFs mit einem überschaubaren Aufwand realisieren, oder ist das völlig sinnloss?
Danke.
Ich weiss, dass man dies mit Tomcat regeln kann, indem der Zugriff auf bestimmte Verzeichnisse mit Hilfe von Rollen geregelt wird (Realm - container managed security). Wäre es möglich, dies auch auf der Applikationsebene zur regelen, und zwar in etwa so:
- bei jedem Zugriff auf eine Seite wird geprüft, ob die aktive Role (ein UserBean mit Rolle steht SessionScoped zur Verfügung) für die angeforderte Seite berechtigt ist oder nicht
- falls ja, wird der Zugriff gewährt
- fall nein, wird eine passende Seite (Access denied ...) angezeigt und der Zugriff damit abgeblockt.
Kann man so etwas mit JSFs mit einem überschaubaren Aufwand realisieren, oder ist das völlig sinnloss?
Danke.
