PrimeFaces look'n'feel 使用 Shiro 时消失

Question

我在我目前开发的网站中使用 Primefaces 4.0 和 Shiro 1.2.2。 我的表单被解释并且 Primefaces 组件显示没有问题。但是当我在我的应用程序上启用安全性时，我的表单，至少是登录页面，不会显示 Primefaces 渲染。我知道 Shiro 已经拦截了所有 HTTP 请求以控制访问，但为什么我的表单看起来好像我没有使用 Primefaces？请问，您对我的问题有什么想法吗？是否可以整合 Shiro 和 Primefaces？

web.xml：

<?xml version="1.0" encoding="UTF-8"?>
<web-app version="3.0" xmlns="http://java.sun.com/xml/ns/javaee" 
     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
     xsi:schemaLocation="http://java.sun.com/xml/ns/javaee 
    http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd">
<context-param>
    <param-name>javax.faces.PROJECT_STAGE</param-name>
    <param-value>Development</param-value>
</context-param>
<welcome-file-list>
    <welcome-file>faces/index.xhtml</welcome-file>
</welcome-file-list>
<listener>
    <listener-class>org.apache.shiro.web.env.EnvironmentLoaderListener</listener-class>
</listener>
<filter>
    <filter-name>shiroFilter</filter-name>
    <filter-class>org.apache.shiro.web.servlet.ShiroFilter</filter-class>
</filter>
<filter-mapping>
    <filter-name>shiroFilter</filter-name>
    <url-pattern>/*</url-pattern>
    <dispatcher>REQUEST</dispatcher>
    <dispatcher>FORWARD</dispatcher>
    <dispatcher>INCLUDE</dispatcher>
    <dispatcher>ERROR</dispatcher>
</filter-mapping>
<resource-ref>
    <res-ref-name>connectionPool</res-ref-name>
    <res-type>javax.sql.DataSource</res-type>
    <res-auth>Container</res-auth>
    <res-sharing-scope>Shareable</res-sharing-scope>
</resource-ref>
<context-param>
    <param-name>primefaces.THEME</param-name>
    <param-value>redmond</param-value>
</context-param>
<servlet>
    <servlet-name>Faces Servlet</servlet-name>
    <servlet-class>javax.faces.webapp.FacesServlet</servlet-class>
    <load-on-startup>1</load-on-startup>
</servlet>
<servlet-mapping>
    <servlet-name>Faces Servlet</servlet-name>
    <url-pattern>/faces/*</url-pattern>
</servlet-mapping>
</web-app>

shiro.ini：

[main]
authc.loginUrl = /faces/login.xhtml
authc.usernameParam = login:username
authc.passwordParam = login:password
authc.rememberMeParam = login:rememberMe
user.loginUrl = /faces/login.xhtml

jdbcRealm=org.apache.shiro.realm.jdbc.JdbcRealm
# Configure JDBC realm password hashing.
redentialsMatcher = org.apache.shiro.authc.credential.HashedCredentialsMatcher
credentialsMatcher.hashAlgorithmName = SHA-256
jdbcRealm.credentialsMatcher = $credentialsMatcher

# Configure JDBC realm SQL queries.
jdbcRealm.authenticationQuery = SELECT password FROM USER WHERE username = ?
dbcRealm.userRolesQuery = SELECT role FROM ROLE WHERE userId = (SELECT id FROM USER     WHERE username = ?)

# Configure JDBC realm datasource. DataSource properties
dataSource = org.apache.derby.jdbc.ClientDataSource
dataSource.serverName = localhost
dataSource.portNumber = 1527
dataSource.databaseName = testdb
dataSource.user = admin
dataSource.password = admin
jdbcRealm.dataSource = $dataSource


[users]
admin = password

[urls]
/faces/login.xhtml = authc
/faces/** = authc

我是使用 JSF、Primefaces 和 Shiro 进行 Web 开发的初学者。

感谢您的帮助。

Answer 1

在最后一个条目中，

[网址] /faces/login.xhtml = authc /faces/** = 身份验证

您已告诉 Shiro 验证 每一个与/faces/** 匹配的未映射 URL。因此，这也涵盖了 JSF 资源，例如由 JSF 组件自动包含的 CSS/JS/图像文件（如在 PrimeFaces 中）。实际上，当浏览器想要下载时，例如CSS 文件，它接收登录页面而不是实际的 CSS 内容，因此无法应用定义的 CSS 样式。您可以通过自己在浏览器的地址栏中输入指向 CSS 文件的 URL 来查看它。您将看到一个登录页面，而不是 CSS 文件内容。网络浏览器“在幕后”正面临着这个问题。

您需要明确告诉 Shiro 允许未经身份验证（匿名）访问 JSF 资源。这些资源由附加的/javax.faces.resource 路径标识（由JSF API 中的ResourceHandler#RESOURCE_IDENTIFIER 常量定义）。

[网址] /faces/login.xhtml = authc /faces/javax.faces.resource/** = 匿名 /faces/** = 身份验证

另见：

• Apache Shiro in JSF2 tutorial - Restriction in HTTP requests