Vistas para la seguridad

Antes de utilizar ciertas características de seguridad de WebSphere Commerce, es preciso que defina las vistas asociadas para su tienda para poder utilizarlas.  La información siguiente explica cómo definir las vistas para:

Para obtener información general sobre cómo crear vistas y desarrollar su escaparate, consulte la Guía del desarrollador de tiendas.


Tiempo de espera de conexión

Para utilizar la característica de seguridad Tiempo de espera de conexión, necesita definir las vistas  LoginTimeoutErrorView y ReLogonFormView para su tienda.

LoginTimeoutErrorView:

Si la información de tiempo de espera de conexión es incorrecta, WebSphere Commerce redirige el navegador del usuario a esta vista. Si esto sucede, es probable que sea debido a que alguien ha manipulado indebidamente el cookie.

Atributos:

ECConstants.EC_LOGIN_TIMEOUT_ERROR_MSGCODE 1 : El tiempo de caducidad está establecido en un valor incorrecto
2 : El tiempo de conexión está establecido en un valor incorrecto
3 : El tiempo de caducidad o el tiempo de conexión está establecido en un valor incorrecto

ReLogonFormView

Esta vista se muestra a los usuarios después de que su sesión ha caducado. Debe proporcionar al usuario un formulario para que entre el ID y la contraseña de conexión. El botón Someter llamará al mandato Logon. Debería haber también un botón Cancelar para redirigir al usuario a otra página, en la mayoría de los casos, la página del escaparate de la tienda.

Atributos:

ninguno

Atributos de formulario:

ECUserConstants.EC_UREG_LOGONID El ID de conexión del usuario.
ECUserConstants.EC_UREG_LOGONPASSWORD

 
La contraseña de conexión del usuario.
ECUserConstants.EC_RELOGIN_URL El URL que se visualiza si las credenciales proporcionadas no son válidas. En la mayoría de los casos, será el nombre de esta vista.
ECConstants.EC_STORE_ID
 
El identificador de la tienda.
ECConstants.EC_URL El URL que se visualiza cuando las credenciales que se han especificado pertenecen a otro usuario. En la mayoría de los casos, debería ser la página de presentación de la tienda o el mismo URL que se utiliza en la página de conexión de la tienda.

Invalidación de contraseña

Para utilizar la característica de seguridad Invalidación de contraseña, necesita definir la vista ChangePassword para su tienda.

ChangePassword

Esta vista se muestra si la contraseña de un usuario ha caducado. Debería proporcionar al usuario un formulario para que entre la contraseña actual (caducada) y una contraseña nueva. El botón Someter llama al mandato ResetPassword. Debería haber también un botón Cancelar para redirigir al usuario a otra página, en la mayoría de los casos, la página del escaparate de la tienda.

Atributos:

ECConstants.EC_PASSWORD_EXPIRED_FLAG 1: La contraseña del usuario ha caducado. Este atributo es necesario a fin de diferenciar esta vista de la vista utilizada para la característica de cambio de contraseña, ya que son iguales. La vista para el cambio de contraseña podría invocarla un usuario y el JSP asignado a esta vista debería el mismo para ambos casos. El JSP debería buscar este atributo a fin de determinar qué debe mostrarse.

null: El atributo no está en un URL .  Es un comportamiento de cambio de contraseña normal.

ECUserConstants.EC_UREG_LOGONID El ID de conexión actual del usuario.
ECConstants.EC_LOGIN_RETURN_URL El URL al que se redirige el navegador después de un cambio de contraseña satisfactorio. Este URL se pasará a un mandato de acción bajo el nombre ECConstants.EC_URL.

Atributos de formulario:

ECUserConstants.EC_UREG_LOGONID El ID de conexión del usuario. El ID de conexión actual se ha pasado a la vista.
ECUserConstants.EC_UREG_LOGONPASSWORDOLD La contraseña antigua.
ECUserConstants.EC_UREG_LOGONPASSWORD La contraseña nueva.
ECUserConstants.EC_UREG_LOGONPASSWORDVERIFY La verificación de la contraseña nueva.
ECConstants.EC_URL El URL al que se redirigen los usuarios después de un cambio de contraseña satisfactorio. El valor se ha pasado a la vista.
ECUserConstants.EC_RELOGIN_URL El URL al que se redirige el navegador si el cambio de contraseña no se realiza satisfactoriamente.

Mandatos protegidos por contraseña

Para utilizar la característica de seguridad Mandatos protegidos por contraseña, necesita definir las vistas PasswordReEnterErrorView y PasswordReEnterFormView para su tienda.

PasswordReEnterErrorView

Esta vista se utiliza en las siguientes situaciones:

  1. Un usuario no proporciona la contraseña correcta y es desconectado.
  2. La autenticación no ha sido satisfactoria.

En ambos casos, el usuario debería poder ir a otra página mediante un enlace de la página actual.

Atributos:

ECConstants.EC_PASSWORD_REREQUEST_MSGCODE

 

>0: Ha surgido un problema al intentar autenticar al usuario.

null : El atributo no está en un URL.  El usuario no ha proporcionado la contraseña y es desconectado.

PasswordReEnterFormView

Esta vista se muestra cuando un usuario intenta ejecutar un mandato protegido por contraseña. Debería proporcionar al usuario un formulario para entrar la contraseña. Debería haber dos campos de entrada para la contraseña.

Atributos:

ECConstants.EC_PASSWORD_REREQUEST_URL El URL se ejecuta utilizando el botón Someter del formulario.
ECConstants.EC_PASSWORD_REREQUEST_MSGCODE El código de mensaje que especifica el mensaje que se muestra al usuario:

1: Las contraseñas que se han entrado no coinciden.
2: No se ha entrado una contraseña.
3: Se ha entrado una contraseña incorrecta.

Atributos de formulario:

ACCIÓN:  El URL se pasa como un parámetro denominado:

ECConstants.EC_PASSWORD_REREQUEST_PASSWORD1 La primera contraseña.
ECConstants.EC_PASSWORD_REREQUEST_PASSWORD2 La segunda contraseña.

Protección contra la vulnerabilidad Cross Site Scripting

Para utilizar la característica de seguridad Protección contra la vulnerabilidad Cross Site Scripting, necesita definir las vistas ProhibitedAttrsErrorView, ProhibitedCharacterErrorView, y ProhibCharEncodingErrorView para su tienda.

ProhibitedAttrsErrorView

Esta vista se muestra al usuario cuando la petición no se ha procesado porque contenía atributos prohibidos

ProhibitedCharacterErrorView

Esta vista se muestra al usuario cuando la petición no se ha procesado porque contenía caracteres prohibidos

ProhibCharEncodingErrorView

Igual que la vista ProhibitedCharacterErrorView de más arriba.

Tareas relacionadas

IBM copyright