FullAjaxExceptionHandler не показывает страницу ошибки истекшего сеанса на кнопке ajax
Я реализовал Omnifaces FullAjaxExceptionHandler, но проблема в том, что он не работает с запросами ajax. После того, как сессия истекает, когда я нажимаю на не-AJAX кнопку, это работает хорошо. Он перенаправляет пользователя на пользовательскую страницу ошибок. Но если кнопка использует ajax, она ничего не делает. Страница просто застряла.
Изменить: я изменил ActionListener на Action и все тот же.
Edit2: это не дает ошибки. Ни выход Apache Tomcat, ни Apache Tomcat Log.
вот моя весенняя охрана;
<http auto-config='true' use-expressions="true">
<intercept-url pattern="/login" access="permitAll"/>
<intercept-url pattern="/ajaxErrorPage" access="permitAll"/>
<intercept-url pattern="/pages/*" access="hasRole('admin')" />
<intercept-url pattern="/j_spring_security_check" access="permitAll"/>
<logout logout-success-url="/login.xhtml" />
<form-login login-page="/login.xhtml"
login-processing-url="/j_spring_security_check"
default-target-url="/pages/index.xhtml"
always-use-default-target="true"
authentication-failure-url="/login.xhtml"/>
</http>
2 ответа
Вы отправляете синхронный редирект в качестве ответа на запрос ajax (ответ HTTP 302 с использованием, например, response.sendRedirect()). Это неправильно. Механизм JavaScript ajax обрабатывает ответ 302 как новое место назначения для повторной отправки запроса ajax. Однако это, в свою очередь, возвращает простую ванильную HTML-страницу вместо XML-документа с инструкциями, какие части страницы обновлять. Это сбивает с толку, и поэтому перенаправленный ответ вообще игнорируется. Это точно объясняет симптомы, с которыми вы сталкиваетесь.
Та же самая проблема также задается и отвечает на следующие тесно связанные вопросы:
- FullAjaxExceptionHandler не перенаправляет на страницу ошибки после недействительного сеанса
- Как переместить пользователя на страницу тайм-аута после окончания сеанса, если пользователь нажимает кнопку возврата браузера
- GET запрос на перенаправление инициирован браузером, но не выполнен
- Перенаправление авторизации по истечении сеанса не работает при отправке формы JSF, страница остается прежней
- Фильтр JSF не перенаправляет после первоначального перенаправления
По сути, вам нужно как-то проинструктировать Spring Security для выполнения следующей условной проверки:
if ("partial/ajax".equals(request.getHeader("Faces-Request"))) {
// JSF ajax request. Return special XML response which instructs JavaScript that it should in turn perform a redirect.
response.setContentType("text/xml");
response.getWriter()
.append("<?xml version=\"1.0\" encoding=\"UTF-8\"?>")
.printf("<partial-response><redirect url=\"%s\"></redirect></partial-response>", loginURL);
} else {
// Normal request. Perform redirect as usual.
response.sendRedirect(loginURL);
}
Однако я не являюсь пользователем Spring, и мне не интересно его использовать, и поэтому я не могу дать более подробный ответ, как выполнить эту проверку в Spring Security. Однако я могу сказать, что у Apache Shiro есть точно такая же проблема, которая объясняется и решается в этой статье блога: Make Shiro JSF Ajax Aware.
В файле Spring-Security (EN архив архивов Spring Security)
<beans:bean id="httpSessionSecurityContextRepository" class="org.springframework.security.web.context.HttpSessionSecurityContextRepository"/>
<!-- redirection strategy -->
<beans:bean id="jsfRedirectStrategy" class="com.mycompany.JsfRedirectStrategy">
<beans:property name="invalidSessionUrl" value="/login.xhtml" />
</beans:bean>
<beans:bean id="sessionManagementFilter" class="org.springframework.security.web.session.SessionManagementFilter">
<beans:constructor-arg name="securityContextRepository" ref="httpSessionSecurityContextRepository" />
<beans:property name="invalidSessionStrategy" ref="jsfRedirectStrategy" />
</beans:bean>
<http auto-config='true' use-expressions="true">
<intercept-url pattern="/login" access="permitAll"/>
<intercept-url pattern="/ajaxErrorPage" access="permitAll"/>
<intercept-url pattern="/pages/*" access="hasRole('admin')" />
<intercept-url pattern="/j_spring_security_check" access="permitAll"/>
<logout logout-success-url="/login.xhtml" />
<form-login login-page="/login.xhtml"
login-processing-url="/j_spring_security_check"
default-target-url="/pages/index.xhtml"
always-use-default-target="true"
authentication-failure-url="/login.xhtml"/>
<!-- custom filter -->
<custom-filter ref="sessionManagementFilter" before="SESSION_MANAGEMENT_FILTER" />
</http>
Пользовательский redirectStrategy (La estrategia de redirección personalizada)
public class JsfRedirectStrategy implements InvalidSessionStrategy
{
private static final String FACES_REQUEST = "Faces-Request";
private String invalidSessionUrl;
public void setInvalidSessionUrl(String invalidSessionUrl) {
this.invalidSessionUrl = invalidSessionUrl;
}
public String getInvalidSessionUrl() {
return invalidSessionUrl;
}
@Override
public void onInvalidSessionDetected(HttpServletRequest request, HttpServletResponse response) throws IOException, ServletException {
String contextPath = request.getContextPath();
String urlFinal = contextPath+invalidSessionUrl;
if ("partial/ajax".equals(request.getHeader(FACES_REQUEST))) {
// with ajax
response.setContentType("text/xml");
response.getWriter()
.append("<?xml version=\"1.0\" encoding=\"UTF-8\"?>")
.printf("<partial-response><redirect url=\"%s\"></redirect></partial-response>", urlFinal);
} else {
// not ajax
request.getSession(true);
response.sendRedirect(urlFinal);
}
}
работать на меня.