Trabalhando com Sessão e Filter em JSF

Saber trabalhar com sess�es em qualquer linguagem web � de extrema import�ncia para usar recursos importantes como: usu�rio logado, produtos escolhidos e etc. Por outro lado o uso dos filtros em JSF nos ajudam a realizar opera��es importantes antes que o usu�rio conclua o seu fluxo de navega��o. Com estes dois recursos em m�os podemos criar estruturas poderosas e complexas.

Neste artigo vamos aprender como sess�es funcionam e como aplic�-las em JSF, para complementar o artigo veremos como trabalhar com filtros em conjunto com a sess�o que criamos.

Sess�es e Cookies

Voc� j� deve ter ouvido falar sobre Sess�es e Cookies mesmo que minimamente. Ambos armazenam informa��es que devem ser mantidas durante toda a navega��o do usu�rio, mas qual a diferen�a destes?

A grande diferen�a entre ambos est� no fato de que os Cookies s�o armazenados no navegador e as sess�es s�o armazenadas no servidor web. Em alguns casos � melhor gravar informa��es sigilosas em sess�es e n�o em cookies, exatamente porque n�o desejamos que ela fique trafegando pela web.

Imagine por exemplo quando voc� faz acesso ao seu �Banking Online� voc� n�o gostaria que a senha da sua conta fosse rastreada por um Cracker, sendo assim a Sess�o garante maior seguran�a deste ponto de vista.

Tudo isso faz-se necess�rio pelo fato do HTTP ser stateless, isso significa que ele n�o mant�m um estado/conex�o, a cada requisi��o feita novos dados s�o enviados e os antigos s�o perdidos, o HTTP n�o tem como saber que a pr�xima requisi��o veio da mesma origem que a anterior.

Filtros em JSF

Os filtros funcionam como redirecionadores de fluxo de navega��o, em outras palavras voc� pode evitar que o usu�rio consiga acessar determinado conte�do se alguma condi��o n�o for aceita, ou voc� poderia criar um sistema de logs gravando o acesso do usu�rio a todas as p�ginas do sistema deixando o mesmo prosseguir com o fluxo. O filtro tem diversas utilidades e n�o apenas �sistemas de login�.

Neste artigo veremos a utiliza��o de filtros para gravar hist�ricos de navega��o anteriores, permitindo que o usu�rio volte quando precisar. Comumente utilizamos a fun��o �history.back()� do JavaScript para permitir que o usu�rio volte a uma p�gina anteriormente acessada, mas este comando tem alguns problemas:

Dependendo do hist�rico de navega��o voc� pode continuar na mesma p�gina de ocorreu um refresh dela e nem sempre isso � o desejado. No caso em que o usu�rio est� em um formul�rio de cadastro e deseja voltar a listagem de registros, isso pode ser um inc�modo.
Se o usu�rio desabilitar o JavaScript ent�o o history.back n�o funcionar� mais.

Em nossa solu��o gravaremos sempre a navega��o atual e a navega��o anterior do usu�rio, se ele fizer um refresh na mesma p�gina ent�o checamos que a p�gina acessada foi a mesma e n�o mudamos nada.

Desenvolvendo o SessionContext

Nossa classe SessionContext trabalhar� com o padr�o de projeto Singleton, assim garantimos que s� existir� uma inst�ncia deste objeto durante toda a aplica��o. Vamos mostrar a classe completa e depois explic�-la em partes, como mostra a Listagem 1

Listagem 1. SessionContext


  import javax.faces.context.ExternalContext;
  import javax.faces.context.FacesContext;
  import javax.servlet.http.HttpSession;
   
   
  public class SessionContext {
      
      private static SessionContext instance;
      
      public static SessionContext getInstance(){
         if (instance == null){
             instance = new SessionContext();
         }
         
         return instance;
      }
      
      private SessionContext(){
         
      }
      
      private ExternalContext currentExternalContext(){
         if (FacesContext.getCurrentInstance() == null){
             throw new RuntimeException("O FacesContext n�o pode ser chamado fora de uma requisi��o HTTP");
         }else{
             return FacesContext.getCurrentInstance().getExternalContext();
         }
      }
      
      
      public void encerrarSessao(){
         currentExternalContext().invalidateSession();
      }
      
      public Object getAttribute(String nome){
         return currentExternalContext().getSessionMap().get(nome);
      }
      
      public void setAttribute(String nome, Object valor){
         currentExternalContext().getSessionMap().put(nome, valor);
      }
      
  }

A classe acima segue o padr�o Singleton para evitar m�ltiplas inst�ncias no mesmo contexto da aplica��o. O m�todo currentExternalContext() � de extrema import�ncia para funcionamento da nossa sess�o, o seu objetivo � retornar um objeto ExternalContext atrav�s da requisi��o HTTP atual e isso s� � poss�vel se uma requisi��o foi disparada. Isso significa que voc� n�o pode chamar este m�todo fora de uma requisi��o HTTP, voc� ter� o seguinte erro:

throw new RuntimeException("O FacesContext n�o pode ser chamado fora de uma requisi��o HTTP");

Voc� pode perguntar-se, mas qual a diferen�a entre o FacesContext e o ExternalContext? N�o entraremos em detalhes sobre suas diferen�as mas o importante a saber para este artigo � que o ExternalContext trabalha em uma �camada� mais baixa do que o FacesContext, sendo que o FacesContext foi projetado para trabalhar diretamente com recursos do JSF especificamente, enquanto que o ExternalContext consegue trabalhar com HTTP servlet, HTTP request e etc., que n�o est�o ligados ao JSF, eles s�o usados pelo JSF.

Logo depois temos o m�todo encerrarSessao() que como o pr�prio nome j� diz, � respons�vel por encerrar a sess�o aberta. Se voc� observar como estamos encerrando a sess�o:

currentExternalContext().invalidateSession();

Notar� que usamos o retorno do m�todo currentExternalContext(), imediatamente todos os atributos salvos s�o perdidos e n�o haver� nenhuma sess�o aberta para o usu�rio atual. Este m�todo � �til para realizar logout em sistemas, assim o usu�rio precisar� logar novamente e criar uma nova sess�o.

Por fim temos dois m�todos: setAttribute() e getAttribute(), vejamos :

public Object getAttribute(String nome){
         return currentExternalContext().getSessionMap().get(nome);
      }

O ExternalContext possui um m�todo chamado getSessionMap() que retorna um Map com os atributos salvos na sess�o corrente. Usamos este m�todo para capturar o valor do atributo pelo seu nome:

public void setAttribute(String nome, Object valor){
         currentExternalContext().getSessionMap().put(nome, valor);
      }

Igualmente o m�todo getAttribute(), o m�todo setAttribute() usa o getSessionMap() para retornar os atributos da sess�o em forma de Map, mas desta vez usando o put() para inserir os valores necess�rios.

Como usaremos nossa sess�o? Lembre-se que s� podemos fazer uso desta classe quando houver uma requisi��o HTTP, isso significa que voc� n�o pode chamar o SessionContext sem que haja uma requisi��o vinda do cliente (browser). Veja como podemos usar adicionando atributos a sess�o:

SessionContext.getInstance().setAttribute(�valor�,123);

Podemos recuperar estas informa��es em qualquer parte da nossa aplica��o. Muito �til para manter valores como: usu�rio logado, tempo logado, �ltima p�gina acessada, atributos do banco que podem perdurar durante toda a aplica��o, evitando a busca cont�nua destes dados.

Desenvolvendo o Filtro

O nosso filtro ir� capturar todo e qualquer acesso do usu�rio e manter a p�gina anterior e atual que est� sendo acessada, assim podemos garantir que ele possa voltar � p�gina anterior sempre que precisar.

Como guardaremos estas informa��es? Atrav�s da nossa classe SessionContext criada na se��o anterior, assim podemos recuperar em qualquer parte do c�digo a p�gina anterior para dar possibilidade de volta r�pida e segura.

Um filtro � respons�vel por filtrar, como o pr�prio nome sugere, o fluxo de navega��o do usu�rio, permitindo que o mesmo prossiga ou n�o. Neste momento que o filtro est� sendo realizado, voc� pode realizar in�meras tarefas, como por exemplo: salvar a p�gina que est� sendo acessada para futuras auditorias, realizar processamentos espec�ficos para que a p�gina seja renderizada corretamente e etc. Em nosso caso vamos salvar a p�gina acessada e deixaremos o usu�rio continuar o fluxo normalmente, para ele ser� transparente este processo. Observe a Listagem 2.

Listagem 2. PageFilter


  package br.com.jwebbuild.filter;
   
  import java.io.IOException;
   
  import javax.servlet.Filter;
  import javax.servlet.FilterChain;
  import javax.servlet.FilterConfig;
  import javax.servlet.ServletException;
  import javax.servlet.ServletRequest;
  import javax.servlet.ServletResponse;
  import javax.servlet.http.HttpServletRequest;
  import javax.servlet.http.HttpSession;
   
  public class PageFilter implements Filter {
   
      public void destroy() {
         // TODO Auto-generated method stub
   
      }
   
      public void doFilter(ServletRequest request, ServletResponse response,
             FilterChain chain) throws IOException, ServletException {
   
         HttpSession sess = ((HttpServletRequest) request).getSession(true);
   
         String newCurrentPage = ((HttpServletRequest) request).getServletPath();
   
         if (sess.getAttribute("currentPage") == null) {
             sess.setAttribute("lastPage", newCurrentPage);
             sess.setAttribute("currentPage", newCurrentPage);
         } else {
   
             String oldCurrentPage = sess.getAttribute("currentPage").toString();
             if (!oldCurrentPage.equals(newCurrentPage)) {
               sess.setAttribute("lastPage", oldCurrentPage);
               sess.setAttribute("currentPage", newCurrentPage);
             }
         }
   
         chain.doFilter(request, response);
   
      }
   
      public void init(FilterConfig arg0) throws ServletException {
         // TODO Auto-generated method stub
   
      }
   
  }

O nosso filtro � um pouco mais complexo do que a classe SessionContext criada anteriormente, pois o nosso PageFilter implementa a interface Filter pois s� assim � poss�vel que o nosso filtro funcione e seja mapeado no web.xml (veremos mais � frente). Logo temos a implementa��o do m�todo destroy() que n�o tem nenhuma l�gica pois n�o usaremos ele. O m�todo destroy() e o m�todo init() geralmente s�o utilizados para configura��o do filtro, mas nesse caso daremos aten��o apenas ao doFilter().

O m�todo doFilter() � chamado sempre que uma p�gina est� sendo acessada, p�gina essa que deve estar sendo monitorada pelo nosso filtro.

Logo no in�cio temos a recupera��o da Sess�o atual ou a cria��o de uma nova caso n�o exista:

HttpSession sess = ((HttpServletRequest) request).getSession(true);

Usamos o objeto request para capturar a sess�o como um HttpSession. Depois capturamos a p�gina atual que est� sendo acessada:

 String newCurrentPage = ((HttpServletRequest) request).getServletPath();

Logo em seguida verificamos se n�o existe uma p�gina atual gravada na sess�o, caso isso seja verdade ent�o sabemos que � o primeiro acesso do usu�rio. Neste caso iremos gravar a �ltima p�gina e a p�gina atual como sendo as mesmas:


  if (sess.getAttribute("currentPage") == null) {
             sess.setAttribute("lastPage", newCurrentPage);
             sess.setAttribute("currentPage", newCurrentPage);
         }

Para n�o confundirmos os conceitos vamos chamar a p�gina atual que est� sendo acessada neste exato momento de PAR (P�gina Atual Real), a p�gina atual que estava salva de PAH (P�gina atual do hist�rico) e a p�gina anterior de PANT.

Caso j� exista uma PAH na Sess�o, esta dever� virar a p�gina anterior e p�gina salva no objeto newCurrentPage (PAR) dever� ser a real p�gina atual. O problema � que devemos checar sempre se PAR n�o � igual a PAH, para n�o sobrescrevemos a p�gina anterior e perdermos informa��es.

Imagine o seguinte exemplo:

O usu�rio acessa pela primeira vez o sistema, na p�gina index.xhtml. A PANT recebe o valor index.xhtml assim como a PAH, por tratar-se do seu primeiro acesso.
No segundo acesso do usu�rio ele acessa a p�gina home.xhtml, assim verificamos que PAR � home.xhtml que � diferente de PAH, sendo assim a nossa PANT torna-se a PAH e a nossa PAH tornar-se a PAR.
Se no segundo acesso do usu�rio ele acessar home.xhtml?parametro=ola, isso ainda significa que ele est� na mesma p�gina ent�o n�o devemos mudar nada, por isso checamos de PAR � igual a PAH e nesse caso nada fazemos.

Por fim, depois desta l�gica n�s iremos executar o m�todo que permitir� que o usu�rio prossiga com o seu fluxo de navega��o:

chain.doFilter(request, response);

Para que o filtro seja ativado n�s temos que configur�-lo em nosso arquivo web.xml do projeto, assim o mesmo come�ar� a monitorar as p�ginas acessadas e verificar se deve ou n�o passar a algum filtro. Vejamos a Listagem 3.

Listagem 3. Habilitando filtro no web.xml


  <filter>
       <filter-name>PageFilter</filter-name>
       <filter-class>br.com.meuprojeto.filter.PageFilter</filter-class>     
   </filter>
   
   <filter-mapping>
      <filter-name>PageFilter</filter-name>
      <url-pattern>/core/*</url-pattern>
  </filter-mapping>

Acima temos duas tags para defini��o do filtro: filter e filter-mapping, onde cada uma tem outras tags internas.

A tag filter define o nome do nosso filtro atrav�s do filter-name e o local onde ele se encontra em nosso projeto atrav�s do filter-class. J� a tag filter-mapping � respons�vel por definir quais p�ginas este filtro ir� monitorar, em nosso caso tudo que estiver dentro do diret�rio �/core�.

Pronto, agora temos um filtro que faz o uso do SessionContext para gravar os dados manipulados no doFilter(). Vamos recapitular o que acontecer� em nosso fluxo de navega��o:

Quando o usu�rio acessar pela primeira vez, se ele estiver navegando dentro da pasta �/core� o nosso PageFilter ser� chamado e consequentemente como ainda n�o deve haver sess�o criada, o PageFilter ir� se responsabilizar por inicializar uma nova sess�o atrav�s desta linha:
```
HttpSession sess = ((HttpServletRequest) request).getSession(true);
```
Com isso garantimos a exist�ncia de uma sess�o para guardar os atributos necess�rios.
Com a sess�o criada n�s gravamos a p�gina que est� sendo acessada (seguindo a mesma l�gica que j� explicamos nas se��es anteriores).

Monitorando a sess�o criada

Como podemos saber quando uma sess�o foi criada ou destru�da? O ideal � criar um Listener que seja capaz de monitorar esse ciclo de vida da nossa Sess�o. Vejamos como fazer com o c�digo da Listagem 4.

Listagem 4. SessionListener


  import java.text.SimpleDateFormat;
  import java.util.Date;
   
  import javax.servlet.http.HttpSessionEvent;
  import javax.servlet.http.HttpSessionListener;
   
  public class SessionListener implements HttpSessionListener {
      
   
      public void sessionCreated(HttpSessionEvent event) {        
           System.out.println("Sess�o criada " + event.getSession().getId());
      }
   
      public void sessionDestroyed(HttpSessionEvent event) {     
           String ultimoAcesso = (new SimpleDateFormat("dd/MM/yyyy HH:mm:ss")).format(new Date(event.getSession().getLastAccessedTime()));
           System.out.println("Sess�o expirada "+event.getSession().getId()+". Ultimo Acesso = "+ultimoAcesso);
      }
   
  }

Nossa classe SessionListener implementa a interface HttpSessionListener que � mandat�rio para que o listener funcione. O m�todo sessionCreated() mostra o ID da sess�o quando a mesma for criada, j� o m�todo sessionDestroyed() mostra o ID da sess�o que est� sendo destru�da e a data e hora de �ltimo acesso:

Sess�o criada 7F37598DEAEBF1E8B0FAD186DE784853

A sess�o foi foi criada com o ID mencionado. A partir deste momento podemos come�ar a gravar nossos atributos:

Sess�o expirada 53C60A043734D9CCCC889F81CE93CE5C. Ultimo Acesso = 08/03/2015 13:41:33

Temos duas formas de destruir uma sess�o:

Chamando o m�todo invalidateSession(); que usamos no SessionContext:


      public void encerrarSessao(){
       currentExternalContext().invalidateSession();
    }

A outra forma � deixar que a sess�o expire atrav�s de um tempo definido no web.xml, como mostra a Listagem 5.

Listagem 5. Definindo tempo para expirar sess�o


  <session-config>
               <session-timeout>60</session-timeout>
         </session-config>

Acima temos a defini��o do session-timeout em 60 minutos, ou seja, se em 60 minutos n�o houver nenhum requisi��o cliente-servidor a sess�o ir� expirar-se automaticamente e a mensagem mostrada anteriormente aparecer�.

Se chamarmos o m�todo invalidatesession() a mensagem mostrada tamb�m ser� a mesma mostrada acima, mas isso n�o significa que a sess�o foi expirada. Neste caso ela foi destru�da manualmente. Voc� pode melhorar esta mensagem deixando-a mais gen�rica, exemplo: Sess�o finalizada em vez de Sess�o expirada ou destru�da.

Se voc� iniciar o seu servidor agora e tentar ver as mensagens ver� que n�o funcionar�, pois ainda falta uma configura��o: adicionar o Listener no nosso web.xml, como mostra a Listagem 6.

Listagem 6. Adicionando o listener no web.xml


  <listener>
               <listener-class>br.com.meuprojeto.util.SessionListener</listener-class>
         </listener>

Acima criamos o mapeamento do nosso SessionListener no arquivo web.xml, usando a tag <listener> e internamente a <listener-class> que mapear� o nosso SessionListener, agora sempre que uma sess�o for criada ou destru�da a classe SessionListener ser� chamada, pois ela implementa o HttpSessionListener, caso contr�rio n�o conseguir�amos fazer este mapeamento.

Vimos neste artigo como fazer uso de Sess�es e Filtros com JSF. Criamos uma classe chamada SessionContext que � capaz de armazenar atributos na sess�o corrente e usamos estes atributos em nosso PageFilter que armazena a p�gina acessada pelo usu�rio.

A aplica��o de ambos os conceitos vai al�m apenas do armazenamento de atributos, cabe a voc� leitor, dado os conceitos ministrados neste artigo, desenvolver a l�gica necess�ria para o seu projeto. O importante � ter conhecimento de toda a base como a sess�o e o filtro funcionam.

Tecnologias:

Confira outros conte�dos:

Introdu��o ao JDBC

Novidades do Java

Teste unit�rio com JUnit

Assista grátis a nossa aula inaugural

Perguntas frequentes

Quem somos?

Por que a programação se tornou a profissão mais promissora da atualidade?

Como faço para começar a estudar?

Em quanto tempo de estudo vou me tornar um programador?

Sim, você pode se tornar um programador e não precisa ter diploma de curso superior!

O que eu irei aprender estudando pela DevMedia?

Principais diferenciais da DevMedia

Qual o investimento financeiro que preciso fazer para me tornar um programador?

Como funciona a forma de pagamento da DevMedia?

Por Ronaldo Em 2015

Coment�rios nesta publica��o Escrever um coment�rio sobre conte�do

Paulo Lima

N�vel 2

Como fa�o para recuperar os dados do usuario logado ? eu tenho uma classe Usuario que faz o login na pagina Login.xhtml, para recuperar os dados desse usuario logado eu passo os seus valore assim ?
SessionContext.getInstance().setAttribute(?login?,Usuario.getLogin());
SessionContext.getInstance().setAttribute(?nome?, Usuario.getNome());

há +1 ano

Ver coment�rios anteriores (4)

Rodolfo Gomes

DevMedia

Show Paulo!

E no que precisar compartilhe conosco

TMJ

há +1 ano

Nossos casos de sucesso

Leonardo Carlos

Eu sabia pouqu�ssimas coisas de programa��o antes de come�ar a estudar com voc�s, fui me especializando em v�rias �reas e ferramentas que tinham na plataforma, e com essa bagagem consegui um est�gio logo no in�cio do meu primeiro per�odo na faculdade.

Lucas Rodrigues

Estudo aqui na Dev desde o meio do ano passado! Nesse per�odo a Dev me ajudou a crescer muito aqui no trampo.
Fui o primeiro desenvolvedor contratado pela minha empresa. Hoje eu lidero um time de desenvolvimento!
Minha meta � continuar estudando e praticando para ser um Full-Stack Dev!

Her�clito J�nior

Economizei 3 meses para assinar a plataforma e sendo sincero valeu muito a pena, pois a plataforma � bem intuitiva e muuuuito did�tica a metodologia de ensino. Sinto que estou EVOLUINDO a cada dia. Muito obrigado!

Julio Cablen

Nossa! Plataforma maravilhosa. To amando o curso de desenvolvimento front-end, tinha coisas que eu ainda n�o tinha visto. A did�tica � do jeito que qualquer pessoa consegue aprender. S�rio, to apaixonado, adorando demais.

Joelberth Sena

Adquiri o curso de voc�s e logo percebi que s�o os melhores do Brasil. � um passo a passo incr�vel. S� n�o aprende quem n�o quer. Foi o melhor investimento da minha vida!

Felipe Nunes

Foi um dos melhores investimentos que j� fiz na vida e tenho aprendido bastante com a plataforma. Voc�s est�o fazendo parte da minha jornada nesse mundo da programa��o, irei assinar meu contrato como programador gra�as a plataforma.

Wanderson Oliveira

Comprei a assinatura tem uma semana, aprendi mais do que 4 meses estudando outros cursos. Exerc�cios pr�ticos que n�o tem como n�o aprender, est�o de parab�ns!

Jos� Lucas

Obrigado DevMedia, nunca presenciei uma plataforma de ensino t�o presente na vida acad�mica de seus alunos, parab�ns!

Eduardo Dorneles

Aprendi React na plataforma da DevMedia h� cerca de 1 ano e meio... Hoje estou h� 1 ano empregado trabalhando 100% com React!

Adauto Junior

J� fiz alguns cursos na �rea e nenhum � t�o bom quanto o de voc�s. Estou aprendendo muito, muito obrigado por existirem. Est�o de parab�ns... Espero um dia conseguir um emprego na �rea.

Ver todos os casos de sucesso

Trabalhando com Sess�o e Filter em JSF

Veja neste artigo como trabalhar com Sess�es e filtros em JSF. para aumentar a seguran�a e a confiabilidade.