RENDERED não deixa acessar as páginas.

Bom dia Alisson, Entendo que você deveria realizar um controle de acesso as páginas através de Filter (JEE). O rendered do JSF é apenas para controle de renderização das informações na página em si, mas o controle de acesso a página deve ser de outro modo, ou seja, antes da renderização. Veja se ajuda algo do tipo:

@WebFilter("/integra/user/*")
public class LoginFilter implements Filter {

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws ServletException, IOException {    
        HttpServletRequest req = (HttpServletRequest) request;
        Authorization authorization = (Authorization) req.getSession().getAttribute("authorization");

        if (authorization != null && authorization.isLoggedIn()) {
            // User is logged in, so just continue request.
            chain.doFilter(request, response);
        } else {
            // User is not logged in, so redirect to index.
            HttpServletResponse res = (HttpServletResponse) response;
            res.sendRedirect(req.getContextPath() + "/integra/login.xhtml");
        }
    }

    // You need to override init() and destroy() as well, but they can be kept empty.


    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void destroy() {
    }
}

Thiago não entendi muito esses codigos ai. Esse é para controle de paginas né? mais não vi em lugar nenhum falando quem pode acessar minhas paginas.

Isso! O Filter pode ser utilizado de várias formas, dentre elas, controlar o acesso a determinados conteúdos do seu aplicativo. Vou tentar resumir o exemplo de código: -Existe um annotation no Filter @WebFilter informando que o Filter irá ser requisitado para todas as páginas contida no endereço "/integra/user/*" -Dentro de doFilter() é recuperado da sessão o objeto Authorization e verificado se pode acessar o endereço. Caso positivo permite prosseguir a cadeia de Filter até chamar a página requisitada. Caso negativo, redireciona para a página de login.

Minha sugestão: você criar um Filter igual ao exemplo e dentro do método doFilter() obter o objeto usuarioBean e verificar no atributo nivelAcesso o valor. Caso atenda a regra de que a página pode ser exibida para esse determinado usuário, permite prosseguir a cadeia de Filter até chamar a página requisitada. Caso negativo, redireciona para a página de login.

Abraços,

Hum comecei a entender o sentido, só fiquei perdido como irei fazer a verificação, quando você me falo.

"Minha sugestão: você criar um Filter igual ao exemplo e dentro do método doFilter() obter o objeto usuarioBean e verificar no atributo nivelAcesso o valor. Caso atenda a regra de que a página pode ser exibida para esse determinado usuário, permite prosseguir a cadeia de Filter até chamar a página requisitada. Caso negativo, redireciona para a página de login."

Aonde eu faço esse verificação? Desde já obrigado

A verificação você faz na classe de Filter. Ao realizar a primeira requisição na aplicação você faz o usuário se logar, correto? Após se logar, muito provavelmente você está armazenando o objeto UsuarioBean (Managed Bean) ou o objeto Usuario (utilizado dentro do Managed Bean) em escopo de sessão. Algo como:

//Armazena na sessão objeto usuarioBean
req.getSession().setAttribute("usuarioBean", usuarioBean)

//Armazena na sessão objeto usuario
req.getSession().setAttribute("usuario", usuario)

//Obtém na sessão objeto usuarioBean
req.getSession().getAttribute("usuarioBean")

//Obtém na sessão objeto usuario
req.getSession().getAttribute("usuario")

Na sua classe de Filter, ficaria algo do tipo:

@Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws ServletException, IOException {    
        HttpServletRequest req = (HttpServletRequest) request;

UsuarioBean usuarioBean = (UsuarioBean) req.getSession().getAttribute("usuarioBean")

/* Simples verificação, mas você pode criar um método específico que retorne um valor booleano */
if(usuarioBean != null && usuarioBean.usuario.nivelDeAcesso.nivelAcesso != 'ACESSOSUPERIOR'){
    //deixa continuar a requisição
    chain.doFilter(request, response);
}

//ou

Usuario usuario = (Usuario) req.getSession().getAttribute("usuario")

/* Simples verificação, mas você pode criar um método específico que retorne um valor booleano */
if(usuario != null && usuario.nivelDeAcesso.nivelAcesso != 'ACESSOSUPERIOR'){
    //deixa continuar a requisição
    chain.doFilter(request, response);
}

Abraços

Depois, veja se faz o curso 'Curso Servlets: Fundamentos de Java na Web' para entender o que estou explanando. O JSF e todos os frameworks web de mercado agem acima de Servlets e recursos Java EE.

Thiago muitissimo obrigado, e desculpa a falta de conhecimento, por exemplo meu sistama tem 20 paginas, eu quero que apenas 3 ficam acesso restrito, para apenas acessosuperior acessar elas, como fazer nessas 3 paginas isso, porque pelo oque eu vi, no metodo que você passou acima ele restringe todas paginas, ou estou errado?

Fica tranquilo quanto a conhecimento! Mesmo estudando a vida toda, nós iremos morrer não sabendo tudo!

Quanto a restringir no Filter, você pode restringir as páginas usando o atributo coringa * (todo o conteúdo da pasta) ou declarar apenas as páginas específicas que devem passar pelo Filter.

Segue exemplo utilizando coringa:

@WebFilter(filterName = "TimeOfDayFilter",
urlPatterns = {"/integra/user/*"},
initParams = {
    @WebInitParam(name = "mood", value = "awake")})
public class TimeOfDayFilter implements Filter {

Segue exemplo utilizando apenas as páginas específicas

@WebFilter(filterName = "TimeOfDayFilter",
urlPatterns = {"/integra/user/a.xhtml", "/integra/user/b.xhtml", "/integra/user/c.xhtml"},
initParams = {
    @WebInitParam(name = "mood", value = "awake")})
public class TimeOfDayFilter implements Filter {

Para mais informações e detalhes da especificação do WebFilter, documentação Oracle:

Classe WebFilter: http://docs.oracle.com/javaee/6/api/javax/servlet/annotation/WebFilter.html#urlPatterns()

The Java EE 6 Tutorial: http://docs.oracle.com/javaee/6/tutorial/doc/bnagb.html

Fala Alisson, blz? É bem o que o Thiago disse, o rendered não deveria ter essa função de controlar o acesso do Usuário.

Usar Filtro é uma opção válida e funciona! Mas da uma pesquisada na API de segurança do JavaEE o JAAS, ela é feita justamente para autorização e autenticação.

Abraço

Fala Samir tudo bom? Sim sim o thiago tá me ajudando bastante aqui kkkkk, e oque você disse me interessou muito kkk. Como o controle de login de segurança estou usando o Phaslistener que atente muito bem a parte do login.

public class Autorizador implements Serializable, PhaseListener {

    private static final long serialVersionUID = 1L;

    @Override
    public void afterPhase(PhaseEvent event) {
        FacesContext context = event.getFacesContext();
        String pagina = context.getViewRoot().getViewId();
        System.out.println("Nome da paginas: " + pagina);
        if ("/paginas/usuario.xhtml".equals(pagina)) {
            System.out.println("Igual");
            return;
        } else {

        }
        Usuario usuarioLogado = (Usuario) context.getExternalContext()
                .getSessionMap().get("usuarioLogado");
        if (usuarioLogado != null) {
            return;
        }
        NavigationHandler handler = context.getApplication()
                .getNavigationHandler();
        handler.handleNavigation(context, null,
                "/paginas/usuario?faces-redirect=true");

        context.renderResponse();
    }

    @Override
    public void beforePhase(PhaseEvent event) {
        // TODO Auto-generated method stub

    }

    @Override
    public PhaseId getPhaseId() {
        return PhaseId.RESTORE_VIEW;
    }

}

Aqui controla se o usuario tentar logar no meu sistema sem ele ter feito o login ele me retornara a pagina de login mesmo. A parte do login eu estou satisfeito dessa forma, não queria implementar outra regra, só queria a controle de paginas mesmo, essa JAAS, faz isso para mim? Posso implementar essa biblioteca apenas para controle de acesso a paginas? Porque quero continuar usando o PlaseListener para o login.

Então Alisson, como a gnt já conversou anteriormente, não tem muito certo e errado (minha opnião pessoal), tem o que funciona pra sua aplicação. O phaseListener é uma forma do JSF verificar onde está no seu ciclo de vida, pode ser feita a autorização por ai, assim como pode ser feita com Filtros como o Thiago mostrou. Com o JaaS é mais seguro, já que é uma API para isso. Esse é o link do curso da alura que tem JaaS: https://cursos.alura.com.br/course/java-ee-webapp-3

ele é continuação de outros dois cursos de JavaEE.

Existem outras ferramentas de segurança também, como por exemplo o Spring Security, mas vale a pena dar uma olhada no curso e tentar colocar na sua aplicação.

kkk verdade não existe o certo e o errado, tá bem irei dar uma olhada, aqui aprenderei como fazer a restrição que quero fazer? De controlar paginas? obg