Thực hiện xác thực người dùng trong Java EE / JSF bằng j_security_check

Tôi đang tự hỏi cách tiếp cận hiện tại liên quan đến xác thực người dùng cho ứng dụng web sử dụng JSF 2.0 (và nếu có bất kỳ thành phần nào tồn tại) và các cơ chế cốt lõi của Java EE 6 (đăng nhập / kiểm tra quyền / đăng xuất) với thông tin người dùng được giữ trong JPA thực thể. Hướng dẫn Oracle Java EE hơi thưa thớt về điều này (chỉ xử lý các servlet).

Điều này không sử dụng toàn bộ khung công tác khác, như Spring-Security (acegi) hoặc Seam, nhưng cố gắng gắn bó với nền tảng Java EE 6 mới (hồ sơ web) nếu có thể.

Sau khi tìm kiếm trên Web và thử nhiều cách khác nhau, đây là những gì tôi đề xuất cho xác thực Java EE 6:

Thiết lập lĩnh vực bảo mật:

Trong trường hợp của tôi, tôi đã có người dùng trong cơ sở dữ liệu. Vì vậy, tôi đã theo dõi bài đăng trên blog này để tạo ra một Vương quốc JDBC có thể xác thực người dùng dựa trên tên người dùng và mật khẩu băm MD5 trong bảng cơ sở dữ liệu của tôi:

http://blog.gamatam.com/2009/11/jdbc-realm-setup-with-lassfish-v3.html

Lưu ý: bài đăng nói về người dùng và bảng nhóm trong cơ sở dữ liệu. Tôi đã có một lớp Người dùng với thuộc tính enum UserType được ánh xạ thông qua các chú thích javax.persistence vào cơ sở dữ liệu. Tôi đã cấu hình vương quốc với cùng một bảng cho người dùng và nhóm, sử dụng cột userType làm cột nhóm và nó hoạt động tốt.

Sử dụng xác thực mẫu:

Vẫn theo dõi bài đăng trên blog, định cấu hình web.xml và sun-web.xml của bạn, nhưng thay vì sử dụng xác thực BASIC, hãy sử dụng FORM (thực tế, không quan trọng bạn sử dụng cái nào, nhưng cuối cùng tôi đã sử dụng FORM). Sử dụng HTML tiêu chuẩn, không phải là JSF.

Sau đó sử dụng mẹo của BalusC ở trên về việc lười khởi tạo thông tin người dùng từ cơ sở dữ liệu. Ông đề nghị làm điều đó trong một hạt đậu được quản lý lấy hiệu trưởng từ bối cảnh khuôn mặt. Thay vào đó, tôi đã sử dụng một bean phiên có trạng thái để lưu trữ thông tin phiên cho mỗi người dùng, vì vậy tôi đã chèn bối cảnh phiên:

 @Resource
 private SessionContext sessionContext;

Với hiệu trưởng, tôi có thể kiểm tra tên người dùng và, bằng cách sử dụng Trình quản lý thực thể EJB, lấy thông tin Người dùng từ cơ sở dữ liệu và lưu trữ trong SessionInformationEJB của tôi .

Đăng xuất:

Tôi cũng tìm kiếm cách tốt nhất để đăng xuất. Cách tốt nhất mà tôi đã tìm thấy là sử dụng Servlet:

 @WebServlet(name = "LogoutServlet", urlPatterns = {"/logout"})
 public class LogoutServlet extends HttpServlet {
  @Override
  protected void service(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
   HttpSession session = request.getSession(false);

   // Destroys the session for this user.
   if (session != null)
        session.invalidate();

   // Redirects back to the initial page.
   response.sendRedirect(request.getContextPath());
  }
 }

Mặc dù câu trả lời của tôi thực sự muộn khi xem xét ngày của câu hỏi, tôi hy vọng điều này sẽ giúp những người khác kết thúc ở đây từ Google, giống như tôi đã làm.

Ciao

Vítor Souza

Tôi cho rằng bạn muốn xác thực dựa trên mẫu bằng cách sử dụng các mô tả triển khai và j_security_check.

Bạn cũng có thể thực hiện điều này trong JSF bằng cách chỉ sử dụng cùng tên trường được xác định trước j_usernamevà j_passwordnhư được trình bày trong hướng dẫn.

Ví dụ

<form action="j_security_check" method="post">
    <h:outputLabel for="j_username" value="Username" />
    <h:inputText id="j_username" />
    <br />
    <h:outputLabel for="j_password" value="Password" />
    <h:inputSecret id="j_password" />
    <br />
    <h:commandButton value="Login" />
</form>

Bạn có thể lười tải trong Usergetter để kiểm tra xem Userđã đăng nhập chưa và nếu không, sau đó kiểm tra xem Principalnó có trong yêu cầu không và nếu có, thì hãy Userliên kết với j_username.

package com.stackoverflow.q2206911;

import java.io.IOException;
import java.security.Principal;

import javax.faces.bean.ManagedBean;
import javax.faces.bean.SessionScoped;
import javax.faces.context.FacesContext;

@ManagedBean
@SessionScoped
public class Auth {

    private User user; // The JPA entity.

    @EJB
    private UserService userService;

    public User getUser() {
        if (user == null) {
            Principal principal = FacesContext.getCurrentInstance().getExternalContext().getUserPrincipal();
            if (principal != null) {
                user = userService.find(principal.getName()); // Find User by j_username.
            }
        }
        return user;
    }

}

Các Userrõ ràng là dễ tiếp cận trong JSF EL bằng #{auth.user}.

Để đăng xuất, hãy thực hiện HttpServletRequest#logout()(và đặt Userthành null!). Bạn có thể xử lý HttpServletRequesttrong JSF bằng cách ExternalContext#getRequest(). Bạn cũng có thể làm mất hiệu lực phiên hoàn toàn.

public String logout() {
    FacesContext.getCurrentInstance().getExternalContext().invalidateSession();
    return "login?faces-redirect=true";
}

Đối với phần còn lại (xác định người dùng, vai trò và các ràng buộc trong mô tả triển khai và lĩnh vực), chỉ cần làm theo hướng dẫn Java EE 6 và tài liệu của người phục vụ theo cách thông thường.

Cập nhật : bạn cũng có thể sử dụng Servlet 3.0 mới HttpServletRequest#login()để thực hiện đăng nhập theo chương trình thay vì sử dụng j_security_checkmà có thể không truy cập được bởi một người điều phối trong một số trình điều khiển dịch vụ. Trong trường hợp này, bạn có thể sử dụng một biểu mẫu JSF đầy đủ và một bean với usernamevà passwordcác thuộc tính và một loginphương thức giống như sau:

<h:form>
    <h:outputLabel for="username" value="Username" />
    <h:inputText id="username" value="#{auth.username}" required="true" />
    <h:message for="username" />
    <br />
    <h:outputLabel for="password" value="Password" />
    <h:inputSecret id="password" value="#{auth.password}" required="true" />
    <h:message for="password" />
    <br />
    <h:commandButton value="Login" action="#{auth.login}" />
    <h:messages globalOnly="true" />
</h:form>

Và khung nhìn này được quản lý trong phạm vi được quản lý cũng nhớ trang được yêu cầu ban đầu:

@ManagedBean
@ViewScoped
public class Auth {

    private String username;
    private String password;
    private String originalURL;

    @PostConstruct
    public void init() {
        ExternalContext externalContext = FacesContext.getCurrentInstance().getExternalContext();
        originalURL = (String) externalContext.getRequestMap().get(RequestDispatcher.FORWARD_REQUEST_URI);

        if (originalURL == null) {
            originalURL = externalContext.getRequestContextPath() + "/home.xhtml";
        } else {
            String originalQuery = (String) externalContext.getRequestMap().get(RequestDispatcher.FORWARD_QUERY_STRING);

            if (originalQuery != null) {
                originalURL += "?" + originalQuery;
            }
        }
    }

    @EJB
    private UserService userService;

    public void login() throws IOException {
        FacesContext context = FacesContext.getCurrentInstance();
        ExternalContext externalContext = context.getExternalContext();
        HttpServletRequest request = (HttpServletRequest) externalContext.getRequest();

        try {
            request.login(username, password);
            User user = userService.find(username, password);
            externalContext.getSessionMap().put("user", user);
            externalContext.redirect(originalURL);
        } catch (ServletException e) {
            // Handle unknown username/password in request.login().
            context.addMessage(null, new FacesMessage("Unknown login"));
        }
    }

    public void logout() throws IOException {
        ExternalContext externalContext = FacesContext.getCurrentInstance().getExternalContext();
        externalContext.invalidateSession();
        externalContext.redirect(externalContext.getRequestContextPath() + "/login.xhtml");
    }

    // Getters/setters for username and password.
}

Bằng cách Usernày, có thể truy cập được trong JSF EL #{user}.

Cần phải đề cập rằng đó là một tùy chọn để hoàn toàn để lại các vấn đề xác thực cho bộ điều khiển phía trước, ví dụ: Máy chủ web Apache và đánh giá httpServletRequest.getRemoteUser (), là đại diện của JAVA cho biến môi trường REMOTE_USER. Điều này cũng cho phép đăng nhập tinh vi trong các thiết kế như xác thực Shibboleth. Lọc các yêu cầu tới một thùng chứa servlet thông qua một máy chủ web là một thiết kế tốt cho môi trường sản xuất, thường mod_jk được sử dụng để làm như vậy.

Sự cố httpServletRequest.login không đặt trạng thái xác thực trong phiên đã được khắc phục trong 3.0.1. Cập nhật cá thủy tinh lên phiên bản mới nhất và bạn đã hoàn thành.

Cập nhật khá đơn giản:

glassfishv3/bin/pkg set-authority -P dev.glassfish.org
glassfishv3/bin/pkg image-update