web-dev-qa-db-ja.com

j_security_checkを使用したJava EE / JSFでのユーザー認証の実行

JSF 2.0(およびコンポーネントが存在する場合)およびJava EE 6コアメカニズム(ログイン/アクセス権/ログアウトのチェック)を使用するWebアプリケーションのユーザー認証に関して、現在のアプローチはどうなっているのでしょうか。ユーザー情報はJPAエンティティに保持されます。 Oracle Java EEチュートリアルは、これについて少し疎です(サーブレットのみを処理します)。

これはなし Spring-Security(acegi)やSeamのような他のフレームワーク全体を利用していますが、新しいJava EE 6プラットフォーム(ウェブプロファイル)に固執しようとしています) 可能なら。

155
ngeek

Webを検索してさまざまな方法を試した後、Java EE 6認証について提案することは次のとおりです。

セキュリティレルムを設定します。

私の場合、データベースにユーザーがいました。そこで、このブログ投稿に従って、データベーステーブルのユーザー名とMD5ハッシュパスワードに基づいてユーザーを認証できるJDBCレルムを作成しました。

http://blog.gamatam.com/2009/11/jdbc-realm-setup-with-glassfish-v3.html

注:この投稿では、データベース内のユーザーとグループテーブルについて説明しています。 javax.persistenceアノテーションを介してデータベースにマップされたUserType enum属性を持つUserクラスがありました。ユーザーとグループに同じテーブルを使用してレルムを構成し、userTypeカラムをグループカラムとして使用し、正常に機能しました。

フォーム認証を使用します。

上記のブログ投稿に引き続き、web.xmlとSun-web.xmlを構成しますが、BASIC認証を使用する代わりにFORMを使用します(実際、どちらを使用するかは関係ありませんが、最終的にはFORMを使用します)。 JSFではなく、標準のHTMLを使用します。

次に、データベースからのユーザー情報の遅延初期化に関する上記のBalusCのヒントを使用してください。彼は、マネージドBeanでFacesコンテキストからプリンシパルを取得することを提案しました。代わりに、ステートフルセッションBeanを使用して各ユーザーのセッション情報を保存したため、セッションコンテキストを挿入しました。

 @Resource
 private SessionContext sessionContext;

プリンシパルを使用して、ユーザー名を確認し、EJB Entity Managerを使用して、データベースからユーザー情報を取得し、SessionInformation EJBに格納できます。

ログアウト:

また、ログアウトする最良の方法を探しました。私が見つけた最良の方法は、サーブレットを使用することです:

 @WebServlet(name = "LogoutServlet", urlPatterns = {"/logout"})
 public class LogoutServlet extends HttpServlet {
  @Override
  protected void service(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
   HttpSession session = request.getSession(false);

   // Destroys the session for this user.
   if (session != null)
        session.invalidate();

   // Redirects back to the initial page.
   response.sendRedirect(request.getContextPath());
  }
 }

質問の日付を考えると、私の答えは本当に遅れていますが、これは、私と同じように、Googleからここにたどり着く他の人々に役立つことを願っています。

チャオ、

ビトール・ソウザ

84

フォームベースの認証展開記述子 およびj_security_checkを使用するとよいでしょう。

チュートリアルで示したように、同じ事前定義フィールド名j_usernameおよびj_passwordを使用するだけで、JSFでこれを行うこともできます。

例えば。

<form action="j_security_check" method="post">
    <h:outputLabel for="j_username" value="Username" />
    <h:inputText id="j_username" />
    <br />
    <h:outputLabel for="j_password" value="Password" />
    <h:inputSecret id="j_password" />
    <br />
    <h:commandButton value="Login" />
</form>

Userゲッターで遅延読み込みを実行して、Userが既にログインしているかどうかを確認し、ログインしていない場合は、リクエストにPrincipalが存在するかどうかを確認します。 j_usernameに関連付けられたUser

package com.stackoverflow.q2206911;

import Java.io.IOException;
import Java.security.Principal;

import javax.faces.bean.ManagedBean;
import javax.faces.bean.SessionScoped;
import javax.faces.context.FacesContext;

@ManagedBean
@SessionScoped
public class Auth {

    private User user; // The JPA entity.

    @EJB
    private UserService userService;

    public User getUser() {
        if (user == null) {
            Principal principal = FacesContext.getCurrentInstance().getExternalContext().getUserPrincipal();
            if (principal != null) {
                user = userService.find(principal.getName()); // Find User by j_username.
            }
        }
        return user;
    }

}

Userは、#{auth.user}によってJSF ELで明らかにアクセスできます。

ログアウトするには HttpServletRequest#logout() を実行します(そしてUserをnullに設定します!)。 JSFでHttpServletRequestのハンドルを取得するには、 ExternalContext#getRequest() を使用します。セッションを完全に無効にすることもできます。

public String logout() {
    FacesContext.getCurrentInstance().getExternalContext().invalidateSession();
    return "login?faces-redirect=true";
}

残り(デプロイメント記述子とレルムでユーザー、ロール、制約を定義する)については、通常の方法でJava EE 6チュートリアルとservletcontainerドキュメントに従ってください。


Update:新しいServlet 3.0を使用することもできます HttpServletRequest#login()j_security_checkではなく、一部のサーブレットコンテナのディスパッチャから到達可能です。この場合、次のようなusernameおよびpasswordプロパティとloginメソッドを備えた完全なJSFフォームとBeanを使用できます。

<h:form>
    <h:outputLabel for="username" value="Username" />
    <h:inputText id="username" value="#{auth.username}" required="true" />
    <h:message for="username" />
    <br />
    <h:outputLabel for="password" value="Password" />
    <h:inputSecret id="password" value="#{auth.password}" required="true" />
    <h:message for="password" />
    <br />
    <h:commandButton value="Login" action="#{auth.login}" />
    <h:messages globalOnly="true" />
</h:form>

そして、このビューは、最初に要求されたページも記憶するマネージドBeanをスコープしました。

@ManagedBean
@ViewScoped
public class Auth {

    private String username;
    private String password;
    private String originalURL;

    @PostConstruct
    public void init() {
        ExternalContext externalContext = FacesContext.getCurrentInstance().getExternalContext();
        originalURL = (String) externalContext.getRequestMap().get(RequestDispatcher.FORWARD_REQUEST_URI);

        if (originalURL == null) {
            originalURL = externalContext.getRequestContextPath() + "/home.xhtml";
        } else {
            String originalQuery = (String) externalContext.getRequestMap().get(RequestDispatcher.FORWARD_QUERY_STRING);

            if (originalQuery != null) {
                originalURL += "?" + originalQuery;
            }
        }
    }

    @EJB
    private UserService userService;

    public void login() throws IOException {
        FacesContext context = FacesContext.getCurrentInstance();
        ExternalContext externalContext = context.getExternalContext();
        HttpServletRequest request = (HttpServletRequest) externalContext.getRequest();

        try {
            request.login(username, password);
            User user = userService.find(username, password);
            externalContext.getSessionMap().put("user", user);
            externalContext.redirect(originalURL);
        } catch (ServletException e) {
            // Handle unknown username/password in request.login().
            context.addMessage(null, new FacesMessage("Unknown login"));
        }
    }

    public void logout() throws IOException {
        ExternalContext externalContext = FacesContext.getCurrentInstance().getExternalContext();
        externalContext.invalidateSession();
        externalContext.redirect(externalContext.getRequestContextPath() + "/login.xhtml");
    }

    // Getters/setters for username and password.
}

このようにして、Userは、#{user}によってJSF ELでアクセスできます。

148
BalusC

認証の問題をフロントコントローラーに完全に任せるオプションであることに注意してください。 Apache Webサーバーを使用して、代わりにHttpServletRequest.getRemoteUser()を評価します。これは、REMOTE_USER環境変数のJava表現です。これにより、Shibboleth認証などの洗練されたログイン設計も可能になります。 Webサーバーを介したサーブレットコンテナーへのリクエストのフィルター処理は、実稼働環境に適した設計です。多くの場合、mod_jkを使用してフィルター処理を行います。

7
Matthias Ronge

問題 HttpServletRequest.loginはセッションで認証状態を設定しない は3.0.1で修正されました。 glassfishを最新バージョンに更新すれば完了です。

更新は非常に簡単です:

glassfishv3/bin/pkg set-authority -P dev.glassfish.org
glassfishv3/bin/pkg image-update
4
Hans Bacher