Le filtre URL Shiro ne fonctionne pas

Question

J'ai créé une page de connexion JSF simple et j'utilise Apache Shiro pour fournir le mécanisme d'authentification et d'autorisation, mais les filtres d'URL spécifiés dans shiro.ini ne semblent pas fonctionner.

Dans le répertoire racine WebContent, j'ai deux fichiers nommés "test.xhtml" et "login.xhtml" qui seraient accessibles à tous sans avoir besoin de se connecter. J'ai également un sous-répertoire appelé "protected" contenant un fichier appelé "success.xhtml" qui ne devrait être accessible qu'après que l'utilisateur s'est connecté.

Lorsque la section [urls] du fichier shiro.ini contient /protected/** = myFilter l'utilisateur est capable d'accéder à la page protected/success.xhtml sans se connecter. Lorsque la section [urls] du fichier shiro.ini contient /** = myFilter, la page xhtml n'est pas rendue par JSF et l'utilisateur est invité à télécharger le fichier xhtml.

t-il quelqu'un capable de suggérer comment je peux configurer Shiro pour permettre à quiconque l'accès aux pages dans le répertoire racine de WebContent mais seulement permettre aux utilisateurs qui se sont connectés dans l'accès aux pages dans le sous-répertoire protégé? Je utilise Apache MyFaces 2.1.5 et Shiro 1.2.1.

Le contenu complet du fichier shiro.ini se présente comme suit:

[main] 
myFilter = org.apache.shiro.web.filter.authc.PassThruAuthenticationFilter 
myFilter.loginUrl = /login.xhtml 
myFilter.successUrl = /protected/success.xhtml 

[users] 
user01 = user01, Users 
user02 = user02, Users 

[roles] 
Users = * 

[urls] 
/protected/** = myFilter 

Le contenu du fichier web.xml est la suivante:

<?xml version="1.0" encoding="UTF-8"?> 
<web-app id="WebApp_ID" version="3.0" xmlns="http://java.sun.com/xml/ns/javaee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd"> 
    <display-name>FooBarWeb</display-name> 
    <context-param> 
     <param-name>javax.servlet.jsp.jstl.fmt.localizationContext</param-name> 
     <param-value>resources.application</param-value> 
    </context-param> 
    <context-param> 
     <description> 
     State saving method: 'client' or 'server' (=default). See JSF Specification 2.5.2</description> 
     <param-name>javax.faces.STATE_SAVING_METHOD</param-name> 
     <param-value>client</param-value> 
    </context-param> 
    <context-param> 
     <description> 

    This parameter tells MyFaces if javascript code should be allowed in 
    the rendered HTML output. 
    If javascript is allowed, command_link anchors will have javascript code 
    that submits the corresponding form. 
    If javascript is not allowed, the state saving info and nested parameters 
    will be added as url parameters. 
    Default is 'true'</description> 
     <param-name>org.apache.myfaces.ALLOW_JAVASCRIPT</param-name> 
     <param-value>true</param-value> 
    </context-param> 
    <context-param> 
     <description> 

    If true, rendered HTML code will be formatted, so that it is 'human-readable' 
    i.e. additional line separators and whitespace will be written, that do not 
    influence the HTML code. 
    Default is 'true'</description> 
     <param-name>org.apache.myfaces.PRETTY_HTML</param-name> 
     <param-value>true</param-value> 
    </context-param> 
    <context-param> 
     <param-name>org.apache.myfaces.DETECT_JAVASCRIPT</param-name> 
     <param-value>false</param-value> 
    </context-param> 
    <context-param> 
     <description> 

    If true, a javascript function will be rendered that is able to restore the 
    former vertical scroll on every request. Convenient feature if you have pages 
    with long lists and you do not want the browser page to always jump to the top 
    if you trigger a link or button action that stays on the same page. 
    Default is 'false' 
</description> 
     <param-name>org.apache.myfaces.AUTO_SCROLL</param-name> 
     <param-value>true</param-value> 
    </context-param> 

    <listener> 
     <listener-class>org.apache.shiro.web.env.EnvironmentLoaderListener</listener-class> 
    </listener> 
    <filter> 
     <filter-name>ShiroFilter</filter-name> 
     <filter-class>org.apache.shiro.web.servlet.ShiroFilter</filter-class> 
    </filter> 
    <filter-mapping> 
     <filter-name>ShiroFilter</filter-name> 
     <url-pattern>/*</url-pattern> 
     <dispatcher>REQUEST</dispatcher> 
     <dispatcher>FORWARD</dispatcher> 
     <dispatcher>INCLUDE</dispatcher> 
     <dispatcher>ERROR</dispatcher> 
    </filter-mapping> 

    <listener> 
     <listener-class>org.apache.myfaces.webapp.StartupServletContextListener</listener-class> 
    </listener> 
    <servlet> 
     <servlet-name>Faces Servlet</servlet-name> 
     <servlet-class>javax.faces.webapp.FacesServlet</servlet-class> 
     <load-on-startup>1</load-on-startup> 
     <enabled>true</enabled> 
     <async-supported>false</async-supported> 
    </servlet> 
    <servlet-mapping> 
     <servlet-name>Faces Servlet</servlet-name> 
     <url-pattern>/faces/*</url-pattern> 
    </servlet-mapping> 
    <welcome-file-list> 
     <welcome-file>index.html</welcome-file> 
     <welcome-file>index.htm</welcome-file> 
     <welcome-file>index.jsp</welcome-file> 
     <welcome-file>default.html</welcome-file> 
     <welcome-file>default.htm</welcome-file> 
     <welcome-file>default.jsp</welcome-file> 
    </welcome-file-list> 
</web-app> 

Answer 1

Après une enquête plus poussée, il semble que les URL doivent être préfixés avec "/ faces". Le fichier shiro.ini devrait ressembler à ceci ....

[main] 
myFilter = org.apache.shiro.web.filter.authc.PassThruAuthenticationFilter 
myFilter.loginUrl = /faces/login.xhtml 
myFilter.successUrl = /faces/protected/success.xhtml 

[users] 
user01 = user01, Users 
user02 = user02, Users 

[roles] 
Users = * 

[urls] 
/faces/protected/** = myFilter 

Avec l'ajout du/faces aux URL, Shiro empêche maintenant les utilisateurs non authentifiés d'accéder à des pages dans le sous-répertoire protégé.