j_security_checkを使用したJava EE / JSFでのユーザー認証の実行
JSF 2.0(およびコンポーネントが存在する場合)およびJava EE 6コアメカニズム(ログイン/アクセス権/ログアウトのチェック)を使用するWebアプリケーションのユーザー認証に関して、現在のアプローチはどうなっているのでしょうか。ユーザー情報はJPAエンティティに保持されます。 Oracle Java EEチュートリアルは、これについて少し疎です(サーブレットのみを処理します)。
これはなし Spring-Security(acegi)やSeamのような他のフレームワーク全体を利用していますが、新しいJava EE 6プラットフォーム(ウェブプロファイル)に固執しようとしています) 可能なら。
Webを検索してさまざまな方法を試した後、Java EE 6認証について提案することは次のとおりです。
セキュリティレルムを設定します。
私の場合、データベースにユーザーがいました。そこで、このブログ投稿に従って、データベーステーブルのユーザー名とMD5ハッシュパスワードに基づいてユーザーを認証できるJDBCレルムを作成しました。
http://blog.gamatam.com/2009/11/jdbc-realm-setup-with-glassfish-v3.html
注:この投稿では、データベース内のユーザーとグループテーブルについて説明しています。 javax.persistenceアノテーションを介してデータベースにマップされたUserType enum属性を持つUserクラスがありました。ユーザーとグループに同じテーブルを使用してレルムを構成し、userTypeカラムをグループカラムとして使用し、正常に機能しました。
フォーム認証を使用します。
上記のブログ投稿に引き続き、web.xmlとSun-web.xmlを構成しますが、BASIC認証を使用する代わりにFORMを使用します(実際、どちらを使用するかは関係ありませんが、最終的にはFORMを使用します)。 JSFではなく、標準のHTMLを使用します。
次に、データベースからのユーザー情報の遅延初期化に関する上記のBalusCのヒントを使用してください。彼は、マネージドBeanでFacesコンテキストからプリンシパルを取得することを提案しました。代わりに、ステートフルセッションBeanを使用して各ユーザーのセッション情報を保存したため、セッションコンテキストを挿入しました。
@Resource
private SessionContext sessionContext;
プリンシパルを使用して、ユーザー名を確認し、EJB Entity Managerを使用して、データベースからユーザー情報を取得し、SessionInformation EJBに格納できます。
ログアウト:
また、ログアウトする最良の方法を探しました。私が見つけた最良の方法は、サーブレットを使用することです:
@WebServlet(name = "LogoutServlet", urlPatterns = {"/logout"})
public class LogoutServlet extends HttpServlet {
@Override
protected void service(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
HttpSession session = request.getSession(false);
// Destroys the session for this user.
if (session != null)
session.invalidate();
// Redirects back to the initial page.
response.sendRedirect(request.getContextPath());
}
}
質問の日付を考えると、私の答えは本当に遅れていますが、これは、私と同じように、Googleからここにたどり着く他の人々に役立つことを願っています。
チャオ、
ビトール・ソウザ
フォームベースの認証展開記述子 およびj_security_checkを使用するとよいでしょう。
チュートリアルで示したように、同じ事前定義フィールド名j_usernameおよびj_passwordを使用するだけで、JSFでこれを行うこともできます。
例えば。
<form action="j_security_check" method="post">
<h:outputLabel for="j_username" value="Username" />
<h:inputText id="j_username" />
<br />
<h:outputLabel for="j_password" value="Password" />
<h:inputSecret id="j_password" />
<br />
<h:commandButton value="Login" />
</form>
Userゲッターで遅延読み込みを実行して、Userが既にログインしているかどうかを確認し、ログインしていない場合は、リクエストにPrincipalが存在するかどうかを確認します。 j_usernameに関連付けられたUser。
package com.stackoverflow.q2206911;
import Java.io.IOException;
import Java.security.Principal;
import javax.faces.bean.ManagedBean;
import javax.faces.bean.SessionScoped;
import javax.faces.context.FacesContext;
@ManagedBean
@SessionScoped
public class Auth {
private User user; // The JPA entity.
@EJB
private UserService userService;
public User getUser() {
if (user == null) {
Principal principal = FacesContext.getCurrentInstance().getExternalContext().getUserPrincipal();
if (principal != null) {
user = userService.find(principal.getName()); // Find User by j_username.
}
}
return user;
}
}
Userは、#{auth.user}によってJSF ELで明らかにアクセスできます。
ログアウトするには HttpServletRequest#logout() を実行します(そしてUserをnullに設定します!)。 JSFでHttpServletRequestのハンドルを取得するには、 ExternalContext#getRequest() を使用します。セッションを完全に無効にすることもできます。
public String logout() {
FacesContext.getCurrentInstance().getExternalContext().invalidateSession();
return "login?faces-redirect=true";
}
残り(デプロイメント記述子とレルムでユーザー、ロール、制約を定義する)については、通常の方法でJava EE 6チュートリアルとservletcontainerドキュメントに従ってください。
Update:新しいServlet 3.0を使用することもできます HttpServletRequest#login()j_security_checkではなく、一部のサーブレットコンテナのディスパッチャから到達可能です。この場合、次のようなusernameおよびpasswordプロパティとloginメソッドを備えた完全なJSFフォームとBeanを使用できます。
<h:form>
<h:outputLabel for="username" value="Username" />
<h:inputText id="username" value="#{auth.username}" required="true" />
<h:message for="username" />
<br />
<h:outputLabel for="password" value="Password" />
<h:inputSecret id="password" value="#{auth.password}" required="true" />
<h:message for="password" />
<br />
<h:commandButton value="Login" action="#{auth.login}" />
<h:messages globalOnly="true" />
</h:form>
そして、このビューは、最初に要求されたページも記憶するマネージドBeanをスコープしました。
@ManagedBean
@ViewScoped
public class Auth {
private String username;
private String password;
private String originalURL;
@PostConstruct
public void init() {
ExternalContext externalContext = FacesContext.getCurrentInstance().getExternalContext();
originalURL = (String) externalContext.getRequestMap().get(RequestDispatcher.FORWARD_REQUEST_URI);
if (originalURL == null) {
originalURL = externalContext.getRequestContextPath() + "/home.xhtml";
} else {
String originalQuery = (String) externalContext.getRequestMap().get(RequestDispatcher.FORWARD_QUERY_STRING);
if (originalQuery != null) {
originalURL += "?" + originalQuery;
}
}
}
@EJB
private UserService userService;
public void login() throws IOException {
FacesContext context = FacesContext.getCurrentInstance();
ExternalContext externalContext = context.getExternalContext();
HttpServletRequest request = (HttpServletRequest) externalContext.getRequest();
try {
request.login(username, password);
User user = userService.find(username, password);
externalContext.getSessionMap().put("user", user);
externalContext.redirect(originalURL);
} catch (ServletException e) {
// Handle unknown username/password in request.login().
context.addMessage(null, new FacesMessage("Unknown login"));
}
}
public void logout() throws IOException {
ExternalContext externalContext = FacesContext.getCurrentInstance().getExternalContext();
externalContext.invalidateSession();
externalContext.redirect(externalContext.getRequestContextPath() + "/login.xhtml");
}
// Getters/setters for username and password.
}
このようにして、Userは、#{user}によってJSF ELでアクセスできます。
認証の問題をフロントコントローラーに完全に任せるオプションであることに注意してください。 Apache Webサーバーを使用して、代わりにHttpServletRequest.getRemoteUser()を評価します。これは、REMOTE_USER環境変数のJava表現です。これにより、Shibboleth認証などの洗練されたログイン設計も可能になります。 Webサーバーを介したサーブレットコンテナーへのリクエストのフィルター処理は、実稼働環境に適した設計です。多くの場合、mod_jkを使用してフィルター処理を行います。
問題 HttpServletRequest.loginはセッションで認証状態を設定しない は3.0.1で修正されました。 glassfishを最新バージョンに更新すれば完了です。
更新は非常に簡単です:
glassfishv3/bin/pkg set-authority -P dev.glassfish.org
glassfishv3/bin/pkg image-update