Answers:
在搜索Web并尝试了许多不同的方式之后,这是我对Java EE 6身份验证的建议:
就我而言,我在数据库中有用户。因此,我按照这篇博客文章创建了一个JDBC领域,该领域可以根据我的数据库表中的用户名和MD5哈希密码对用户进行身份验证:
http://blog.gamatam.com/2009/11/jdbc-realm-setup-with-glassfish-v3.html
注意:该帖子讨论了数据库中的用户和组表。我有一个User类,它的UserType枚举属性通过javax.persistence批注映射到数据库。我使用userType列作为group列为用户和组配置了具有相同表的领域,并且工作正常。
仍然遵循上述博客文章,配置您的web.xml和sun-web.xml,但是不要使用BASIC身份验证,而要使用FORM(实际上,使用哪一个都没有关系,但是我最终使用了FORM)。使用标准HTML,而不是JSF。
然后使用上面的BalusC技巧对数据库中的用户信息进行延迟初始化。他建议在托管bean中进行操作,以从faces上下文中获取主体。相反,我使用一个有状态会话bean来存储每个用户的会话信息,因此我注入了会话上下文:
@Resource
private SessionContext sessionContext;
使用委托人,我可以检查用户名,并使用EJB实体管理器从数据库中获取用户信息并将其存储在我的SessionInformationEJB中。
我还四处寻找最佳注销方法。我发现的最好的方法是使用Servlet:
@WebServlet(name = "LogoutServlet", urlPatterns = {"/logout"})
public class LogoutServlet extends HttpServlet {
@Override
protected void service(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
HttpSession session = request.getSession(false);
// Destroys the session for this user.
if (session != null)
session.invalidate();
// Redirects back to the initial page.
response.sendRedirect(request.getContextPath());
}
}
尽管考虑到问题的日期,我的回答确实很晚,但我希望这能像我一样对其他从Google来的人有所帮助。
再见,
维托·索扎(VítorSouza)
HttpServletResponse#login(user, password),这样您就可以从数据库中获取用户的盐,迭代以及用于盐化的任何内容,对用户使用该盐输入的密码进行哈希处理,然后要求容器进行身份验证HttpServletResponse#login(user, password)。
我想您想要使用部署描述符和的 基于表单的身份验证。j_security_check
您也可以在JSF中通过使用相同的预定义字段名来完成此操作j_username,j_password如本教程中所示。
例如
<form action="j_security_check" method="post">
<h:outputLabel for="j_username" value="Username" />
<h:inputText id="j_username" />
<br />
<h:outputLabel for="j_password" value="Password" />
<h:inputSecret id="j_password" />
<br />
<h:commandButton value="Login" />
</form>
您可以在Usergetter中进行延迟加载,以检查是否User已登录,如果尚未登录,则检查Principal请求中是否存在,如果存在,则获取与的User关联j_username。
package com.stackoverflow.q2206911;
import java.io.IOException;
import java.security.Principal;
import javax.faces.bean.ManagedBean;
import javax.faces.bean.SessionScoped;
import javax.faces.context.FacesContext;
@ManagedBean
@SessionScoped
public class Auth {
private User user; // The JPA entity.
@EJB
private UserService userService;
public User getUser() {
if (user == null) {
Principal principal = FacesContext.getCurrentInstance().getExternalContext().getUserPrincipal();
if (principal != null) {
user = userService.find(principal.getName()); // Find User by j_username.
}
}
return user;
}
}
该User是由JSF EL明显访问#{auth.user}。
要注销,请执行一个HttpServletRequest#logout()(并设置User为null!)。您可以通过来获得HttpServletRequestJSF中的句柄ExternalContext#getRequest()。您也可以完全使会话无效。
public String logout() {
FacesContext.getCurrentInstance().getExternalContext().invalidateSession();
return "login?faces-redirect=true";
}
对于剩余部分(在部署描述符和领域中定义用户,角色和约束),只需按照通常的方式遵循Java EE 6教程和servletcontainer文档。
更新:您还可以使用新的Servlet 3.0 HttpServletRequest#login()进行程序化登录,而不是使用j_security_check某些Servlet 容器中的调度程序本身可能无法访问的登录方式。在这种情况下,您可以使用完全有价值的JSF表单以及具有username和password属性以及login方法的Bean,如下所示:
<h:form>
<h:outputLabel for="username" value="Username" />
<h:inputText id="username" value="#{auth.username}" required="true" />
<h:message for="username" />
<br />
<h:outputLabel for="password" value="Password" />
<h:inputSecret id="password" value="#{auth.password}" required="true" />
<h:message for="password" />
<br />
<h:commandButton value="Login" action="#{auth.login}" />
<h:messages globalOnly="true" />
</h:form>
这个视图的作用域为托管bean,它也记住了最初请求的页面:
@ManagedBean
@ViewScoped
public class Auth {
private String username;
private String password;
private String originalURL;
@PostConstruct
public void init() {
ExternalContext externalContext = FacesContext.getCurrentInstance().getExternalContext();
originalURL = (String) externalContext.getRequestMap().get(RequestDispatcher.FORWARD_REQUEST_URI);
if (originalURL == null) {
originalURL = externalContext.getRequestContextPath() + "/home.xhtml";
} else {
String originalQuery = (String) externalContext.getRequestMap().get(RequestDispatcher.FORWARD_QUERY_STRING);
if (originalQuery != null) {
originalURL += "?" + originalQuery;
}
}
}
@EJB
private UserService userService;
public void login() throws IOException {
FacesContext context = FacesContext.getCurrentInstance();
ExternalContext externalContext = context.getExternalContext();
HttpServletRequest request = (HttpServletRequest) externalContext.getRequest();
try {
request.login(username, password);
User user = userService.find(username, password);
externalContext.getSessionMap().put("user", user);
externalContext.redirect(originalURL);
} catch (ServletException e) {
// Handle unknown username/password in request.login().
context.addMessage(null, new FacesMessage("Unknown login"));
}
}
public void logout() throws IOException {
ExternalContext externalContext = FacesContext.getCurrentInstance().getExternalContext();
externalContext.invalidateSession();
externalContext.redirect(externalContext.getRequestContextPath() + "/login.xhtml");
}
// Getters/setters for username and password.
}
这样,User可以在JSF EL中访问#{user}。
j_security_check可能无法在所有servlet容器上进行调度。
@WebServlet(name="testServlet", urlPatterns={"/ testServlet "}) @ServletSecurity(@HttpConstraint(rolesAllowed = {"testUser", "admin”})) 在per方法上等级: @ServletSecurity(httpMethodConstraints={ @HttpMethodConstraint("GET"), @HttpMethodConstraint(value="POST", rolesAllowed={"testUser"})})
FacesServlet并且您不能(也不想修改)它。
RequestDispatcher.FORWARD_REQUEST_URI。请求属性在JSF中,由提供ExternalContext#getRequestMap()。
应该提到的是,将身份验证问题完全留给前端控制器(例如Apache Web服务器)并评估HttpServletRequest.getRemoteUser()代替,这是REMOTE_USER环境变量的JAVA表示。这还允许进行复杂的登录设计,例如Shibboleth身份验证。通过Web服务器将请求过滤到servlet容器对于生产环境来说是一个很好的设计,通常使用mod_jk来做到这一点。
HttpServletRequest.login未在会话中设置身份验证状态的问题已在3.0.1中修复。将glassfish更新到最新版本,即可完成。
更新非常简单:
glassfishv3/bin/pkg set-authority -P dev.glassfish.org
glassfishv3/bin/pkg image-update