easy login and security in jsf / facelets.
Java Server Faces ile Uygulama yazarken daha önceki Ağ Çatılarında (Web Framework) kullandığımız alışılmış veritabanından kullanıcı adı / parola denetimi gibi özelliklerin daha farklı gerçeklendiğinin farkına vardım. Fakat yapmamız gereken basit kullanıcı adı ve parola denetimi ve oturum nesnesine kullanıcının sisteme giriş yaptığı bilgisinin yazılması.
Buraya kadar JSF ile sorunumuz yoktu fakat oturumu açmış kişilerin görüntüleyebileceği ve oturum açmamış kişilerin görüntülemek istediğinde giriş ekranına yönlendirildiği bir sayfa yapmak olabildiğince karmaşık görünüyor. Bazıları bu denetim için bir PhaseListener kullanıyor. Bazıları da ek JSTL etiketleri kullanmış bu nispeten bizim çözümümüze benziyor fakat 3. parti bir kütüphane daha eklememiz gerekiyor sisteme. Uygulama sunucusunun kullandığı güvenlik sistemi ve JAAS (Java Authentication and Authorization Service) kullananlar mevcut.
JSF'in bu konuda donatı (component) bazlı yaklaşmı oldukça güzel. Bu da olabildiğince gerekli bir durum elbetteki;
<h:outputText value="bu yazıyı yalnızca giriş yapmış kişiler görür" renderer="#{login.loggedIn}" />
Aynısının sayfa bazlı olanı da olsa tadından yenmez diyor insan :) Bu konuda f:view etiketinin beforePhase özelliği imdada yetişiyor. Ben de bu yaklaşımı kullandım.
Örnek uygulamayı bir facelets uygulaması olarak düşündüm. Ve açılma tanımlayıcısı (deployment descriptor) şu şekilde tanımlanıyor.
<?xml version="1.0" encoding="UTF-8"?>
<web-app>
<context-param>
<param-name>javax.faces.DEFAULT_SUFFIX</param-name>
<param-value>.xhtml</param-value>
</context-param>
<servlet>
<servlet-name>Faces Servlet</servlet-name>
<servlet-class>javax.faces.webapp.FacesServlet</servlet-class>
<load-on-startup>1</load-on-startup>
</servlet>
<servlet-mapping>
<servlet-name>Faces Servlet</servlet-name>
<url-pattern>*.xhtml</url-pattern>
</servlet-mapping>
<welcome-file-list>
<welcome-file>login.xhtml</welcome-file>
</welcome-file-list>
</web-app>
Bu yapılandırma dosyasına göre;
- JSF'nin varsayılan uzantısı xhtml olarak seçiliyor.
- JSF'nin varsayılnan Servlet'i uygulama başlayınca başlatılıyor.
- Tüm xhtml uzantılı url'ler Faces Servletine yönlendiriliyor.
- Ve son alarakta uygulamamızın başlangıç dosyası login.xhtml olarak belirleniyor.
login.xtml betiğimizi tasarlıyalım:
<?xml version='1.0' encoding='UTF-8' ?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"
xmlns:ui="http://java.sun.com/jsf/facelets"
xmlns:h="http://java.sun.com/jsf/html"
xmlns:f="http://java.sun.com/jsf/core">
<body>
is logged in: <h:outputText value="#{login.loggedIn ? 'yes' : 'no'}" />
<h:form id="myForm">
<h:commandButton id="buttonLogin" action="#{login.login}" value="login" />
<h:commandButton id="buttonLogout" action="#{login.logout}" value="logout" />
</h:form>
<br />
<a href="secure_page.xhtml" target="_blank">go the secure page</a>
</body>
</html>
Bu sayfa çok basit olarak bir metin alan ve bir form içeriyor. Metin alan birazdan tanımlayacağımız login bean'e ait loggedIn özelliğini sorgulyor. UEL (Unified Expression Language) ile üçlü ternary operator kullanarak yazdığımız değer özelliği şöyle login bean'e ait loggedIn özelliği true ise yes metin değerini döndür eğer farklı ise no özelliğini döndür.
Sayfada bunun dışında bir form içinde iki form gönderme düğmesi bulunuyor. Birisi sisteme giriş yapmamızı sağlarken birisi de çıkış yapmamızı sağlıyor. Bu sayfada bolca adı geçen login bean'i tanımlayalım şimdi. Tabi login bean'i yazmadan evvel faces-config.xml dosyasında bu bean'i tanımlamalıyız.
<?xml version='1.0' encoding='UTF-8'?>
<faces-config version="1.2"
xmlns="http://java.sun.com/xml/ns/javaee"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-facesconfig_1_2.xsd">
<application>
<view-handler>
com.sun.facelets.FaceletViewHandler
</view-handler>
</application>
<managed-bean>
<managed-bean-name>login</managed-bean-name>
<managed-bean-class>test.Login</managed-bean-class>
<managed-bean-scope>session</managed-bean-scope>
</managed-bean>
<navigation-rule>
<navigation-case>
<from-outcome>not_authorized</from-outcome>
<to-view-id>error.xhtml</to-view-id>
<redirect />
</navigation-case>
</navigation-rule>
</faces-config>
Bu JSF yapılandırma dosyasında görünüm tutucu olarak bir Facelet Handler'ı kullanıyor bu facelets teknolojisini kullanmamız için gerekli bir yapılandırma yönetilmiş bean tanımlamızın yapıldığı etiketlere bakarsak bean'in adı login olarak belirtilmiş ve sınıf dosyası da test paketinin içerisindeki Login sınıfı olacak diye tanımlanmış buna ilaveten bu bean bir oturum alanında etkin diye belirtiyoruz. Bir yönetilmiş bean'in etki alanı oturum ise bir kullanıcı siteye girdiği anda talep ettiği sayfada bu bean kullanılıyor ise bir defaya mahsus sınıfın constructor'ı çağırılır ve sistemde sınıf örneği sonlandırılmadan bellekte kalır taki kullanıcı sistemden çıkana kadar veya oturum süresi eskiyene kadar.
Bu yaklaşım JSP'de olandan farklıdır. JSP'de SessionListener ile kullanıcı sisteme girdiği durumu denetleyebilirsiniz. ASP.NET'teki global.asax dosyasında belirttiğiniz Session_Start metodu gibi aslında fakat Java'da bir çok sınıf ve metod belirtebilirsiniz aynı anda. JSF'deki bean yaklaşımı ise daha kullanıcı dostudur.
package test;
import javax.faces.application.NavigationHandler;
import javax.faces.context.FacesContext;
import javax.faces.event.PhaseEvent;
public class Login {
private boolean loggedIn;
public Login() {
loggedIn = false;
}
public boolean isLoggedIn() {
return loggedIn;
}
public void setLoggedIn(boolean loggedIn) {
this.loggedIn = loggedIn;
}
public String login() {
loggedIn = true;
return null;
}
public String logout() {
loggedIn = false;
return null;
}
public void checkLogin(PhaseEvent event) {
if (!loggedIn) {
FacesContext fc = event.getFacesContext();
NavigationHandler nh = fc.getApplication().getNavigationHandler();
nh.handleNavigation(fc, null, "not_authorized");
}
}
}
Login bean'de kullanıcının giriş yapıp yapmadığını tutan boolean loggedIn özelliği bulunuyor. Oturum başladığında bu bean'in yapıcı metodu olan Login() metodu çalışır ve loggedIn özelliğinin varsayılan değerini false yapar. Böylece sisteme girenlerin hepsi misafir durumunda olurlar.
login.xhtml dosyasında kullandığımız iki adet action metodu bulunuyordu. Yani iki adet form gönderim düğmesine bağlanmış login ve logout metodları. Bu JSF'in olay tabanlı bir çatı olmasından ileri gelmekte. Görünüm katmanındaki nesneleri denetim katmanındaki özellik veya metodlara bağlayabilmekteyiz. Bu action metodlarının String değer döndüğünü farketmişsinizdir. Eğer dönen değer faces_config.xml'deki bir dolaşım kuralına denk geliyor ise bu sayfaya yönlendirme yapılır. Eğer şu anda kullandığımız gibi bir null değer dönüyor ise aynı sayfaya geri döneceğizdir. Bu action metodları login.xhtml içerisinden çağrıldığı için aynı şekilde login veya logout işlemlerinden sonra tekrar login.xhtml sayfasına döneceğiz.
Buraya kadar uygulamamızı çalıştırıp oyanayabiliriz. login düğmesine bastığınızda "is logged in" yazısının yanında "yes" ifadesi yeralacaktır. logout düğmesine bastığınızda ise "no" ifadesi yeralacaktır. Yani sistemimiz büyük ölçüde çalışıyor. Sıra geldi secure_page.xhtml sayfamıza. Bu sayfa login olmuş kişilerin görebileceği çok gizli sayfamız.
<?xml version='1.0' encoding='UTF-8' ?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"
xmlns:ui="http://java.sun.com/jsf/facelets"
xmlns:f="http://java.sun.com/jsf/core">
<body>
<f:view beforePhaseListener="#{login.checkLogin}">
tebrikler...
</f:view>
</body>
</html>
Çok gizli bir sayfaya göre olabildiğince az kod içeriyor ama işlevi çok büyük :) Bu sayfada sizinde farkettiğiniz gibi en önemli alan beforePhaseListener özelliği ile login bean'e ait bir metodun bağlanması. Buradaki beforePhaseListener özelliği facelets'te an itibari ile olan bir bugdan dolayı bu şekilde isimlendirildi. JSF'teki orjinal hali beforePhase'dir. Bu nedenle facelets kullanarak uygulamayı geliştiren arkadaşlar beforePhaseListener yazmalılar. Sonuç olarak sayfa işlemeden önce login.checkLogin metodu çağrılır.
public void checkLogin(PhaseEvent event) {
if (!loggedIn) {
FacesContext fc = event.getFacesContext();
NavigationHandler nh = fc.getApplication().getNavigationHandler();
nh.handleNavigation(fc, null, "not_authorized");
}
}
Bu metod eğer kullanıcı sisteme giriş yapmamış ise dolaşımı not_authorized olarak yönlendirir. not_authorized dolaşım etiketi faces-config.xml dosyasında error.xhtml dosyasına karşılık gelmektedir. Bu sayede eğer sayfaya izinsiz giriş yaptığınızda bu hata sayfasına yönlendirileceksiniz.
<?xml version='1.0' encoding='UTF-8' ?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"
xmlns:ui="http://java.sun.com/jsf/facelets">
<body>
YOU ARE NOT AUTHORIZED TO VIEW THIS PAGE
</body>
</html>
Netice itibari ile basit bir login sistemini facelets veya JSF ile gerçekleştirmek için bu metod kullanılabilir. PhaseListener kullanıldığında sayfa url'lerin hepsini PhaseListener içerisinde belirtmeli veya buna özel bir mantık algoritması yapılmalıdır. Bu metod nispeten daha akılda kalıcı ve basit görünüyor. Spring çatısının bu konuda daha gelişmiş yaklaşımları bulunmakta. Daha gelişmiş bir güvenlik sistemi için Spring de kullanılabilir.
| 
