Wykonywanie uwierzytelniania użytkowników w Java EE / JSF przy użyciu J security check

Zastanawiam się, jakie jest obecne podejście do uwierzytelniania użytkowników aplikacji webowej wykorzystującej JSF 2.0 (i czy istnieją jakieś komponenty) i mechanizmy rdzeniowe Java EE 6 (logowanie/sprawdzanie uprawnień / wylogowania) z informacjami o użytkownikach przechowywanymi w jednostce JPA. Samouczek Oracle Java EE jest na tym trochę Rzadki (obsługuje tylko serwlety).

To jest

Bez korzystania z zupełnie innego frameworka, jak Spring-Security (acegi), czy Seam, ale stara się trzymać miejmy nadzieję z nowa platforma Java EE 6 (profil WWW), jeśli to możliwe.

Author: BalusC, 2010-02-05
Source

4 answers

Po przeszukaniu Internetu i wypróbowaniu wielu różnych sposobów, oto co sugerowałbym dla uwierzytelniania Java EE 6:

Skonfiguruj sferę bezpieczeństwa:

W moim przypadku, miałem użytkowników w bazie danych. Więc śledziłem ten wpis na blogu, aby utworzyć serwer JDBC, który mógłby uwierzytelniać użytkowników na podstawie nazwy użytkownika i haseł haszowanych MD5 w mojej tabeli bazy danych: {]}

Http://blog.gamatam.com/2009/11/jdbc-realm-setup-with-glassfish-v3.html

Uwaga: post mówi o użytkowniku oraz tabelę grup w bazie danych. Miałem klasę użytkownika z atrybutem UserType enum mapowanym przez javax.adnotacje dotyczące trwałości w bazie danych. Skonfigurowałem realm z tą samą tabelą dla użytkowników i grup, używając kolumny userType jako kolumny group i działało dobrze.

Użyj uwierzytelniania formularza:

Nadal podążając za powyższym wpisem na blogu, skonfiguruj swoją sieć.xml i sun-web.xml, ale zamiast korzystać z podstawowego uwierzytelniania, użyj formularza (w rzeczywistości nie ma znaczenia, którego z nich używasz, ale skończyło się na użyciu formularza). Użyj standardowego HTML, a nie JSF .

Następnie użyj powyższej wskazówki BalusC na leniwym inicjowaniu informacji o użytkowniku z bazy danych. Zasugerował, aby zrobić to w zarządzanej fasoli, wyciągając dyrektora z kontekstu twarzy. Zamiast tego użyłem stateful session bean do przechowywania informacji o sesji dla każdego użytkownika, więc wstrzyknąłem kontekst sesji: 

 @Resource
 private SessionContext sessionContext;

Z głównym, mogę sprawdzić nazwę użytkownika i, używając EJB Entity Manager, uzyskać informacje o użytkowniku z bazy danych i przechowywać w moim SessionInformation EJB.

Logout:

Rozglądałem się również za najlepszym sposobem wylogowania. Najlepszy jaki znalazłem to użycie Servleta: 

 @WebServlet(name = "LogoutServlet", urlPatterns = {"/logout"})
 public class LogoutServlet extends HttpServlet {
  @Override
  protected void service(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
   HttpSession session = request.getSession(false);

   // Destroys the session for this user.
   if (session != null)
        session.invalidate();

   // Redirects back to the initial page.
   response.sendRedirect(request.getContextPath());
  }
 }

Chociaż moja odpowiedź jest bardzo późno biorąc pod uwagę datę pytania, mam nadzieję, że pomoże to innym ludziom, którzy kończą tutaj z Google, tak jak ja.

Ciao,

Vítor Souza]}
 84
Author: Vítor E. Silva Souza,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/doraprojects.net/template/agent.layouts/content.php on line 54
2014-05-13 19:14:15

Przypuszczam, że chcesz uwierzytelniania opartego na formularzach za pomocą deskryptorów wdrażania i j_security_check.

Możesz to zrobić również w JSF, używając tych samych predefiniowanych nazw pól j_username i j_password, Jak pokazano w samouczku.

Np. 

<form action="j_security_check" method="post">
    <h:outputLabel for="j_username" value="Username" />
    <h:inputText id="j_username" />
    <br />
    <h:outputLabel for="j_password" value="Password" />
    <h:inputSecret id="j_password" />
    <br />
    <h:commandButton value="Login" />
</form>

Możesz zrobić leniwe ładowanie w getterze User, aby sprawdzić, czy User jest już zalogowany, a jeśli nie, sprawdź, czy {[10] } jest obecny w żądaniu, a jeśli tak, to uzyskaj User skojarzony z j_username.

package com.stackoverflow.q2206911;

import java.io.IOException;
import java.security.Principal;

import javax.faces.bean.ManagedBean;
import javax.faces.bean.SessionScoped;
import javax.faces.context.FacesContext;

@ManagedBean
@SessionScoped
public class Auth {

    private User user; // The JPA entity.

    @EJB
    private UserService userService;

    public User getUser() {
        if (user == null) {
            Principal principal = FacesContext.getCurrentInstance().getExternalContext().getUserPrincipal();
            if (principal != null) {
                user = userService.find(principal.getName()); // Find User by j_username.
            }
        }
        return user;
    }

}

User jest oczywiście dostępny w JSF EL przez #{auth.user}.

Aby wylogować się wykonaj HttpServletRequest#logout() (i ustaw User NA null!). Możesz uzyskać uchwyt HttpServletRequest W JSF przez ExternalContext#getRequest(). Możesz również całkowicie unieważnić sesję.

public String logout() {
    FacesContext.getCurrentInstance().getExternalContext().invalidateSession();
    return "login?faces-redirect=true";
}

Dla remnant (definiowanie użytkowników, ról i ograniczeń w deskryptorze wdrażania i serwerze), po prostu postępuj zgodnie z samouczkiem Java EE 6 i dokumentacją servletcontainer sposób.

Update: możesz również użyć nowego Servleta 3.0 HttpServletRequest#login() aby wykonać login programistyczny zamiast używać j_security_check, który może nie być per-se osiągalny przez dyspozytora w niektórych serwletcontainerach. W tym przypadku można użyć pełnej formy JSF i fasoli o właściwościach username i password oraz metody login, która wygląda tak: 

<h:form>
    <h:outputLabel for="username" value="Username" />
    <h:inputText id="username" value="#{auth.username}" required="true" />
    <h:message for="username" />
    <br />
    <h:outputLabel for="password" value="Password" />
    <h:inputSecret id="password" value="#{auth.password}" required="true" />
    <h:message for="password" />
    <br />
    <h:commandButton value="Login" action="#{auth.login}" />
    <h:messages globalOnly="true" />
</h:form>

I ten widok scoped managed bean, który również pamięta początkowo żądaną stronę: 

@ManagedBean
@ViewScoped
public class Auth {

    private String username;
    private String password;
    private String originalURL;

    @PostConstruct
    public void init() {
        ExternalContext externalContext = FacesContext.getCurrentInstance().getExternalContext();
        originalURL = (String) externalContext.getRequestMap().get(RequestDispatcher.FORWARD_REQUEST_URI);

        if (originalURL == null) {
            originalURL = externalContext.getRequestContextPath() + "/home.xhtml";
        } else {
            String originalQuery = (String) externalContext.getRequestMap().get(RequestDispatcher.FORWARD_QUERY_STRING);

            if (originalQuery != null) {
                originalURL += "?" + originalQuery;
            }
        }
    }

    @EJB
    private UserService userService;

    public void login() throws IOException {
        FacesContext context = FacesContext.getCurrentInstance();
        ExternalContext externalContext = context.getExternalContext();
        HttpServletRequest request = (HttpServletRequest) externalContext.getRequest();

        try {
            request.login(username, password);
            User user = userService.find(username, password);
            externalContext.getSessionMap().put("user", user);
            externalContext.redirect(originalURL);
        } catch (ServletException e) {
            // Handle unknown username/password in request.login().
            context.addMessage(null, new FacesMessage("Unknown login"));
        }
    }

    public void logout() throws IOException {
        ExternalContext externalContext = FacesContext.getCurrentInstance().getExternalContext();
        externalContext.invalidateSession();
        externalContext.redirect(externalContext.getRequestContextPath() + "/login.xhtml");
    }

    // Getters/setters for username and password.
}

Tędy {[8] } jest dostępny w JSF EL przez #{user}.

 146
Author: BalusC,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/doraprojects.net/template/agent.layouts/content.php on line 54
2017-06-22 14:30:15

Należy wspomnieć, że jest to opcja, aby całkowicie pozostawić problemy z uwierzytelnieniem frontowemu kontrolerowi, np. serwerowi Apache i ocenić HttpServletRequest.zamiast tego getRemoteUser (), która jest reprezentacją Javy dla zmiennej środowiskowej REMOTE_USER. Umożliwia to również zaawansowane projekty logowania, takie jak uwierzytelnianie Shibboleth. Filtrowanie żądań do kontenera serwleta przez serwer WWW jest dobrym rozwiązaniem dla środowisk produkcyjnych, często używa się mod_jk więc.

 7
Author: Paramaeleon,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/doraprojects.net/template/agent.layouts/content.php on line 54
2012-11-05 11:04:04

Problem HttpServletRequest.login does not set authentication state in session zostało naprawione w 3.0.1. Zaktualizuj glassfish do najnowszej wersji i gotowe.

Aktualizacja jest dość prosta: 

glassfishv3/bin/pkg set-authority -P dev.glassfish.org
glassfishv3/bin/pkg image-update
 4
Author: Hans Bacher,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/doraprojects.net/template/agent.layouts/content.php on line 54
2017-03-20 21:16:20