我想知道当前的方法是关于使用 JSF 2.0(以及是否存在任何组件)和 Java EE 6 核心机制(登录/检查权限/注销)的 Web 应用程序的用户身份验证,并保留用户信息在 JPA 实体中。 Oracle Java EE 教程在这方面有点稀疏(仅处理 servlet)。
这没有使用整个其他框架,例如 Spring-Security (acegi) 或 Seam,但如果可能的话,希望坚持使用新的 Java EE 6 平台(Web 配置文件) .
【问题讨论】:
标签: jsf jakarta-ee authentication jaas j-security-check
我想你想要 form based authentication 使用 deployment descriptors 和 j_security_check。
您也可以在 JSF 中通过使用与教程中演示的相同的预定义字段名称 j_username 和 j_password 来执行此操作。
例如
<form action="j_security_check" method="post">
<h:outputLabel for="j_username" value="Username" />
<h:inputText id="j_username" />
<br />
<h:outputLabel for="j_password" value="Password" />
<h:inputSecret id="j_password" />
<br />
<h:commandButton value="Login" />
</form>
您可以在 User getter 中进行延迟加载,以检查 User 是否已登录,如果没有,则检查请求中是否存在 Principal,如果存在,则获取 @987654334 @ 与 j_username 关联。
package com.stackoverflow.q2206911;
import java.io.IOException;
import java.security.Principal;
import javax.faces.bean.ManagedBean;
import javax.faces.bean.SessionScoped;
import javax.faces.context.FacesContext;
@ManagedBean
@SessionScoped
public class Auth {
private User user; // The JPA entity.
@EJB
private UserService userService;
public User getUser() {
if (user == null) {
Principal principal = FacesContext.getCurrentInstance().getExternalContext().getUserPrincipal();
if (principal != null) {
user = userService.find(principal.getName()); // Find User by j_username.
}
}
return user;
}
}
User 显然可以通过 #{auth.user} 在 JSF EL 中访问。
要注销,请执行HttpServletRequest#logout()(并将User 设置为null!)。您可以通过 ExternalContext#getRequest() 在 JSF 中获取 HttpServletRequest 的句柄。您也可以完全使会话无效。
public String logout() {
FacesContext.getCurrentInstance().getExternalContext().invalidateSession();
return "login?faces-redirect=true";
}
对于剩余部分(在部署描述符和领域中定义用户、角色和约束),只需按照常规方式遵循 Java EE 6 教程和 servletcontainer 文档即可。
更新:您还可以使用新的 Servlet 3.0 HttpServletRequest#login() 进行编程登录,而不是使用 j_security_check,在某些 servlet 容器中调度程序本身可能无法访问该 j_security_check。在这种情况下,您可以使用一个完整的 JSF 表单和一个具有 username 和 password 属性的 bean 和一个 login 方法,如下所示:
<h:form>
<h:outputLabel for="username" value="Username" />
<h:inputText id="username" value="#{auth.username}" required="true" />
<h:message for="username" />
<br />
<h:outputLabel for="password" value="Password" />
<h:inputSecret id="password" value="#{auth.password}" required="true" />
<h:message for="password" />
<br />
<h:commandButton value="Login" action="#{auth.login}" />
<h:messages globalOnly="true" />
</h:form>
这个视图范围的托管 bean 还记得最初请求的页面:
@ManagedBean
@ViewScoped
public class Auth {
private String username;
private String password;
private String originalURL;
@PostConstruct
public void init() {
ExternalContext externalContext = FacesContext.getCurrentInstance().getExternalContext();
originalURL = (String) externalContext.getRequestMap().get(RequestDispatcher.FORWARD_REQUEST_URI);
if (originalURL == null) {
originalURL = externalContext.getRequestContextPath() + "/home.xhtml";
} else {
String originalQuery = (String) externalContext.getRequestMap().get(RequestDispatcher.FORWARD_QUERY_STRING);
if (originalQuery != null) {
originalURL += "?" + originalQuery;
}
}
}
@EJB
private UserService userService;
public void login() throws IOException {
FacesContext context = FacesContext.getCurrentInstance();
ExternalContext externalContext = context.getExternalContext();
HttpServletRequest request = (HttpServletRequest) externalContext.getRequest();
try {
request.login(username, password);
User user = userService.find(username, password);
externalContext.getSessionMap().put("user", user);
externalContext.redirect(originalURL);
} catch (ServletException e) {
// Handle unknown username/password in request.login().
context.addMessage(null, new FacesMessage("Unknown login"));
}
}
public void logout() throws IOException {
ExternalContext externalContext = FacesContext.getCurrentInstance().getExternalContext();
externalContext.invalidateSession();
externalContext.redirect(externalContext.getRequestContextPath() + "/login.xhtml");
}
// Getters/setters for username and password.
}
这样User 可以通过#{user} 在JSF EL 中访问。
【讨论】:
j_security_check 可能不适用于所有 servlet 容器。
@WebServlet(name="testServlet", urlPatterns={"/ testServlet "}) @ServletSecurity(@HttpConstraint(rolesAllowed = {"testUser", "admin”})) 在每个方法级别上:@ServletSecurity(httpMethodConstraints={ @HttpMethodConstraint("GET"), @HttpMethodConstraint(value="POST", rolesAllowed={"testUser"})})
FacesServlet,您不能(也不想)修改它。
RequestDispatcher.FORWARD_REQUEST_URI 定义。请求属性在 JSF 中,由 ExternalContext#getRequestMap() 提供。
在网上搜索并尝试了许多不同的方法后,以下是我对 Java EE 6 身份验证的建议:
就我而言,我在数据库中有用户。所以我按照这篇博文创建了一个 JDBC Realm,它可以根据我的数据库表中的用户名和 MD5 哈希密码对用户进行身份验证:
http://blog.gamatam.com/2009/11/jdbc-realm-setup-with-glassfish-v3.html
注意:该帖子讨论了数据库中的用户和组表。我有一个 User 类,其 UserType 枚举属性通过 javax.persistence 注释映射到数据库。我为用户和组配置了同一张表,使用 userType 列作为组列,它工作正常。
仍然按照上面的博文,配置你的web.xml和sun-web.xml,但是不要使用BASIC认证,而是使用FORM(其实用哪一个都无所谓,但我最终还是使用了FORM )。使用标准 HTML,而不是 JSF。
然后使用 BalusC 上面关于延迟初始化数据库中的用户信息的技巧。他建议在一个托管 bean 中执行此操作,从 faces 上下文中获取主体。相反,我使用有状态会话 bean 来存储每个用户的会话信息,因此我注入了会话上下文:
@Resource
private SessionContext sessionContext;
通过主体,我可以检查用户名,并使用 EJB 实体管理器从数据库中获取用户信息并存储在我的 SessionInformation EJB 中。
我还四处寻找最好的退出方式。我发现最好的方法是使用 Servlet:
@WebServlet(name = "LogoutServlet", urlPatterns = {"/logout"})
public class LogoutServlet extends HttpServlet {
@Override
protected void service(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
HttpSession session = request.getSession(false);
// Destroys the session for this user.
if (session != null)
session.invalidate();
// Redirects back to the initial page.
response.sendRedirect(request.getContextPath());
}
}
虽然考虑到问题的发布日期,我的回答确实很晚,但我希望这可以帮助其他最终从 Google 来到这里的人,就像我一样。
喏,
维托·苏萨
【讨论】:
HttpServletResponse#login(user, password) 上为密码插入的纯值,这样您就可以从数据库中获取用户的盐、迭代以及您用于盐渍的任何内容,对用户使用该盐输入的密码进行哈希处理,然后询问容器使用HttpServletResponse#login(user, password) 进行身份验证。
应该提到的是,将身份验证问题完全留给前端控制器是一个选项,例如Apache Webserver 并评估 HttpServletRequest.getRemoteUser() ,它是 REMOTE_USER 环境变量的 JAVA 表示。这也允许复杂的登录设计,例如 Shibboleth 身份验证。通过 Web 服务器过滤对 servlet 容器的请求对于生产环境来说是一个很好的设计,通常使用 mod_jk 来做到这一点。
【讨论】:
问题HttpServletRequest.login does not set authentication state in session 已在 3.0.1 中修复。将 glassfish 更新到最新版本即可。
更新非常简单:
glassfishv3/bin/pkg set-authority -P dev.glassfish.org
glassfishv3/bin/pkg image-update
【讨论】: