¿Is (isUserInRole()) es la forma más fácil de adjuntar permisos de usuario/seguridad a un botón JSF?

Question

Recientemente desarrollé una aplicación web tomcat en JSP que usa seguridad declarativa (server.xml/web.xml) vinculada al Active Directory de la compañía. Me pidieron que agregara el soporte de JSF al proyecto incipiente. Fue sencillo convertir el formulario de inicio de sesión a jsf, y el modelo de seguridad aún funcionaba.

Un asociado me preguntó si podía permitir que un público más amplio viera uno de los informes, pero los botones de acción solo se muestran para un grupo más pequeño. Como soy nuevo en JSF, tuve que investigar un poco.

Pasé cerca de cuatro horas buscando en Google cosas como "seguridad del botón jsf" y "permisos del botón jsf" y probando varias sugerencias que eran en su mayoría callejones sin salida. Otro asociado sugirió usar el modelo de seguridad de Spring, pero no quería tratar con un montón de bibliotecas de Spring si había una manera más fácil de hacerlo.

Finalmente, me encontré con la respuesta, que era increíblemente simple. Solo necesitaba usar el método HttpServletRequest: isUserInRole() para determinar si el usuario actualmente conectado tiene permiso para ver los botones de acción. He usado HttpServletRequests MUCHO durante los últimos diez años, pero no recuerdo haber aprendido nunca sobre ese método. Con JSF, es un asunto sencillo para llegar a ese método, tal como se muestra a continuación:

public boolean isUserInRole(String role) { 
    return (FacesContext.getCurrentInstance().getExternalContext().isUserInRole(role)); 
} 

Mis preguntas específicamente son: ¿existen aspectos críticos de este enfoque debería ser consciente de, y hay otra manera más fácil de hacer ¿eso?

Answer 1

Si usa Tomahawk como un complemento de su implementación JSF, la mayoría de los controles tienen un atributo visibleOnUserRole. Puede usar múltiples nombres de rol en el valor.