使用 j_security_check 在 JavaEE/JSF 中执行用户身份验证

我想知道,对于使用 JSF 2.0(以及是否存在任何组件)和 Java EE 6核心机制(登录/检查权限/注销)并将用户信息保存在 JPA 实体中的 Web 应用程序,当前的方法是什么。OracleJavaEE 教程在这方面有点少(只处理 servlet)。

这是 没有利用了一个完整的其他框架,比如 Spring-Security (acegi)或 Seam,但是如果可能的话,它希望能够坚持使用新的 JavaEE6平台(web profile)。

149062 次浏览
小开

我想你希望 以表格为基础的认证使用 部署描述符j_security_check

您还可以在 JSF 中使用与本教程中演示的相同的预定义字段名 j_usernamej_password来完成此操作。

例如。

<form action="j_security_check" method="post">
<h:outputLabel for="j_username" value="Username" />
<h:inputText id="j_username" />
<br />
<h:outputLabel for="j_password" value="Password" />
<h:inputSecret id="j_password" />
<br />
<h:commandButton value="Login" />
</form>

您可以在 User getter 中执行延迟加载,以检查 User是否已经登录,如果没有,则检查请求中是否存在 Principal,如果存在,则获取与 j_username关联的 User

package com.stackoverflow.q2206911;


import java.io.IOException;
import java.security.Principal;


import javax.faces.bean.ManagedBean;
import javax.faces.bean.SessionScoped;
import javax.faces.context.FacesContext;


@ManagedBean
@SessionScoped
public class Auth {


private User user; // The JPA entity.


@EJB
private UserService userService;


public User getUser() {
if (user == null) {
Principal principal = FacesContext.getCurrentInstance().getExternalContext().getUserPrincipal();
if (principal != null) {
user = userService.find(principal.getName()); // Find User by j_username.
}
}
return user;
}


}

在 JSF EL 中,显然可以通过 #{auth.user}访问 User

要注销,请执行 HttpServletRequest#logout()(并将 User设置为 null!).您可以通过 ExternalContext#getRequest()获得 JSF 中 HttpServletRequest的句柄。您也可以完全使会话无效。

public String logout() {
FacesContext.getCurrentInstance().getExternalContext().invalidateSession();
return "login?faces-redirect=true";
}

对于剩余的部分(在部署描述符和领域中定义用户、角色和约束) ,只需按照通常的方法遵循 JavaEE 6教程和 servlet 容器文档。

更新 : 您还可以使用新的 Servlet 3.0 HttpServletRequest#login()进行编程登录,而不必使用 j_security_check,因为在某些 Servlet 容器中,调度程序本身可能无法访问 j_security_check。在这种情况下,您可以使用一个完整的 JSF 表单和一个具有 usernamepassword属性的 bean 以及一个看起来像下面这样的 login方法:

<h:form>
<h:outputLabel for="username" value="Username" />
<h:inputText id="username" value="#{auth.username}" required="true" />
<h:message for="username" />
<br />
<h:outputLabel for="password" value="Password" />
<h:inputSecret id="password" value="#{auth.password}" required="true" />
<h:message for="password" />
<br />
<h:commandButton value="Login" action="#{auth.login}" />
<h:messages globalOnly="true" />
</h:form>

这个视图的作用域是托管 bean,它还记得最初请求的页面:

@ManagedBean
@ViewScoped
public class Auth {


private String username;
private String password;
private String originalURL;


@PostConstruct
public void init() {
ExternalContext externalContext = FacesContext.getCurrentInstance().getExternalContext();
originalURL = (String) externalContext.getRequestMap().get(RequestDispatcher.FORWARD_REQUEST_URI);


if (originalURL == null) {
originalURL = externalContext.getRequestContextPath() + "/home.xhtml";
} else {
String originalQuery = (String) externalContext.getRequestMap().get(RequestDispatcher.FORWARD_QUERY_STRING);


if (originalQuery != null) {
originalURL += "?" + originalQuery;
}
}
}


@EJB
private UserService userService;


public void login() throws IOException {
FacesContext context = FacesContext.getCurrentInstance();
ExternalContext externalContext = context.getExternalContext();
HttpServletRequest request = (HttpServletRequest) externalContext.getRequest();


try {
request.login(username, password);
User user = userService.find(username, password);
externalContext.getSessionMap().put("user", user);
externalContext.redirect(originalURL);
} catch (ServletException e) {
// Handle unknown username/password in request.login().
context.addMessage(null, new FacesMessage("Unknown login"));
}
}


public void logout() throws IOException {
ExternalContext externalContext = FacesContext.getCurrentInstance().getExternalContext();
externalContext.invalidateSession();
externalContext.redirect(externalContext.getRequestContextPath() + "/login.xhtml");
}


// Getters/setters for username and password.
}

通过这种方式,#{user}可以在 JSFEL 中访问 User

小开

问题 Login 不在会话中设置身份验证状态已经在3.0.1中修复。更新 glassfish 到最新版本,然后就完成了。

更新非常简单:

glassfishv3/bin/pkg set-authority -P dev.glassfish.org
glassfishv3/bin/pkg image-update
小开
最佳答案

在搜索 Web 并尝试了许多不同的方法之后,下面是我对 JavaEE6身份验证的建议:

设置安全领域:

在我的情况下,我在数据库中有用户。因此,我跟随这篇博文创建了一个 JDBC 王国,它可以基于用户名和我的数据库表中的 MD5散列密码对用户进行身份验证:

Http://blog.gamatam.com/2009/11/jdbc-realm-setup-with-glassfish-v3.html

注意: 本文讨论了数据库中的一个用户和一个组表。我有一个 User 类,它带有一个 UserType 枚举属性,该属性通过 javax.尾注释映射到数据库。我为用户和组配置了相同的表,使用 userType 列作为 group 列,它工作得很好。

使用表格认证:

继续上面的博客文章,配置 web.xml 和 sun-web.xml,但是不要使用 BASIC 身份验证,而是使用 FORM (实际上,使用 FORM 并不重要,但是我最终使用 FORM)。使用标准的 HTML,而不是 JSF。

然后使用 BalusC 上面关于从数据库初始化用户信息的提示。他建议在托管 bean 中从 faces 上下文获取主体。相反,我使用了一个有状态会话 bean 来存储每个用户的会话信息,所以我注入了会话上下文:

 @Resource
private SessionContext sessionContext;

使用主体,我可以检查用户名,并使用 EJB 实体管理器从数据库中获取 User 信息并存储在我的 SessionInformation EJB 中。

注销:

我也四处寻找最好的注销方式,我找到的最好的方式是使用 Servlet:

 @WebServlet(name = "LogoutServlet", urlPatterns = {"/logout"})
public class LogoutServlet extends HttpServlet {
@Override
protected void service(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
HttpSession session = request.getSession(false);


// Destroys the session for this user.
if (session != null)
session.invalidate();


// Redirects back to the initial page.
response.sendRedirect(request.getContextPath());
}
}

尽管考虑到问题的日期,我的回答实在是太迟了,但我希望这能帮助其他从谷歌来到这里的人,就像我一样。

再见,

Vítor Souza

小开

值得一提的是,完全将认证问题留给前端控制器是一种选择,比如一个 Apache HTTP Server,然后计算 HttpServletRequest.getRemoteUser () ,它是 REMOTE _ USER 环境变量的 JAVA 表示。这还允许进行复杂的日志登录设计,如 Shibboleth 身份验证。通过 Web 服务器过滤对 servlet 容器的请求是生产环境的一个很好的设计,通常使用 mod _ jk。


提交答案