我想知道在使用JSF 2.0的Web应用程序中,关于用户认证的当前做法是什么(以及是否存在任何组件),并且是否使用了Java EE 6核心机制(登录/检查权限/注销),其中用户信息保存在JPA实体中。 Oracle Java EE教程对此描述比较简略(仅处理servlet)。
这是不使用其他框架(如Spring-Security(acegi)或Seam)的情况下,但是尽可能地希望遵循新的Java EE 6平台(Web profile)。
我想知道在使用JSF 2.0的Web应用程序中,关于用户认证的当前做法是什么(以及是否存在任何组件),并且是否使用了Java EE 6核心机制(登录/检查权限/注销),其中用户信息保存在JPA实体中。 Oracle Java EE教程对此描述比较简略(仅处理servlet)。
这是不使用其他框架(如Spring-Security(acegi)或Seam)的情况下,但是尽可能地希望遵循新的Java EE 6平台(Web profile)。
我想你希望使用基于表单的身份验证,并使用部署描述符和j_security_check
实现此目的。
在JSF中,您也可以通过只使用与教程中演示相同的预定义字段名j_username
和j_password
来完成此操作。
例如:
<form action="j_security_check" method="post">
<h:outputLabel for="j_username" value="Username" />
<h:inputText id="j_username" />
<br />
<h:outputLabel for="j_password" value="Password" />
<h:inputSecret id="j_password" />
<br />
<h:commandButton value="Login" />
</form>
你可以在User
的 getter 方法中使用延迟加载来检查是否已经登录,如果没有,则检查请求中是否存在Principal
,如果存在,则获取与j_username
相关联的User
。
package com.stackoverflow.q2206911;
import java.io.IOException;
import java.security.Principal;
import javax.faces.bean.ManagedBean;
import javax.faces.bean.SessionScoped;
import javax.faces.context.FacesContext;
@ManagedBean
@SessionScoped
public class Auth {
private User user; // The JPA entity.
@EJB
private UserService userService;
public User getUser() {
if (user == null) {
Principal principal = FacesContext.getCurrentInstance().getExternalContext().getUserPrincipal();
if (principal != null) {
user = userService.find(principal.getName()); // Find User by j_username.
}
}
return user;
}
}
在JSF EL中,可以通过#{auth.user}
轻松访问User
。
要注销,请执行HttpServletRequest#logout()
(并将User
设置为null!)。您可以通过ExternalContext#getRequest()
获取HttpServletRequest
的句柄。您也可以完全使会话失效。
public String logout() {
FacesContext.getCurrentInstance().getExternalContext().invalidateSession();
return "login?faces-redirect=true";
}
对于剩余部分(在部署描述符和领域中定义用户、角色和约束),只需按照Java EE 6教程和servlet容器文档的常规方式进行即可。
更新:您还可以使用新的Servlet 3.0 HttpServletRequest#login()
进行编程登录,而不是使用j_security_check
,因为在某些servlet容器中,它可能无法被转发器直接访问。在这种情况下,您可以使用一个完整的JSF表单和一个带有username
和password
属性以及一个login
方法的bean,该方法如下:
<h:form>
<h:outputLabel for="username" value="Username" />
<h:inputText id="username" value="#{auth.username}" required="true" />
<h:message for="username" />
<br />
<h:outputLabel for="password" value="Password" />
<h:inputSecret id="password" value="#{auth.password}" required="true" />
<h:message for="password" />
<br />
<h:commandButton value="Login" action="#{auth.login}" />
<h:messages globalOnly="true" />
</h:form>
还有这个视图作用域管理的 bean,它也记住了最初请求的页面:
@ManagedBean
@ViewScoped
public class Auth {
private String username;
private String password;
private String originalURL;
@PostConstruct
public void init() {
ExternalContext externalContext = FacesContext.getCurrentInstance().getExternalContext();
originalURL = (String) externalContext.getRequestMap().get(RequestDispatcher.FORWARD_REQUEST_URI);
if (originalURL == null) {
originalURL = externalContext.getRequestContextPath() + "/home.xhtml";
} else {
String originalQuery = (String) externalContext.getRequestMap().get(RequestDispatcher.FORWARD_QUERY_STRING);
if (originalQuery != null) {
originalURL += "?" + originalQuery;
}
}
}
@EJB
private UserService userService;
public void login() throws IOException {
FacesContext context = FacesContext.getCurrentInstance();
ExternalContext externalContext = context.getExternalContext();
HttpServletRequest request = (HttpServletRequest) externalContext.getRequest();
try {
request.login(username, password);
User user = userService.find(username, password);
externalContext.getSessionMap().put("user", user);
externalContext.redirect(originalURL);
} catch (ServletException e) {
// Handle unknown username/password in request.login().
context.addMessage(null, new FacesMessage("Unknown login"));
}
}
public void logout() throws IOException {
ExternalContext externalContext = FacesContext.getCurrentInstance().getExternalContext();
externalContext.invalidateSession();
externalContext.redirect(externalContext.getRequestContextPath() + "/login.xhtml");
}
// Getters/setters for username and password.
}
这样,在JSF EL中可以通过#{user}
访问User
。
在搜索了网络并尝试了许多不同的方法后,我建议使用以下步骤进行Java EE 6身份验证:
在我的情况下,我的用户在数据库中。因此,我遵循了这篇博客文章创建了一个JDBC Realm,可以根据数据库表中的用户名和MD5散列密码对用户进行身份验证:
http://blog.gamatam.com/2009/11/jdbc-realm-setup-with-glassfish-v3.html
注意:该帖子谈到了数据库中的用户和组表。我有一个User类,其中有一个映射到数据库的javax.persistence注释的UserType枚举属性。我将具有相同表格结构的用户和组配置为领域,使用userType列作为组列,并且它可以正常工作。
仍然按照上述博客文章,配置您的web.xml和sun-web.xml,但不要使用BASIC身份验证,而应使用FORM(实际上,使用哪个都无所谓,但我最终使用了FORM)。 使用标准的HTML,而不是JSF。
然后使用BalusC在上面的提示来自数据库懒惰初始化用户信息。他建议在托管bean中执行此操作,从faces上下文获取主体。我使用状态会话bean代替为每个用户存储会话信息,因此我注入了会话上下文:
@Resource
private SessionContext sessionContext;
通过使用 principal,我可以检查用户名,并使用 EJB 实体管理器从数据库中获取用户信息并存储在我的 SessionInformation EJB 中。
我还搜索了最佳的注销方式。我找到的最好的方法是使用一个 Servlet:
@WebServlet(name = "LogoutServlet", urlPatterns = {"/logout"})
public class LogoutServlet extends HttpServlet {
@Override
protected void service(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
HttpSession session = request.getSession(false);
// Destroys the session for this user.
if (session != null)
session.invalidate();
// Redirects back to the initial page.
response.sendRedirect(request.getContextPath());
}
}
虽然我的回答已经很晚,考虑到问题的日期,但我希望这对其他通过谷歌来到这里的人有所帮助,就像我一样。
Ciao,
Vítor Souza
HttpServletResponse#login(user, password)
上插入的明文密码值,这样您只需从数据库中获取用户的salt、迭代和用于加盐的任何东西,使用该salt对用户输入的密码进行哈希处理,然后要求容器使用HttpServletResponse#login(user, password)
进行身份验证。 - emportella需要提到的是,完全将身份验证问题留给前端控制器(例如Apache Web服务器),并评估HttpServletRequest.getRemoteUser(),这是REMOTE_USER环境变量的JAVA表示,这是一种选择。这也允许Sophisticated登录设计,例如Shibboleth身份验证。通过Web服务器过滤请求到servlet容器是生产环境中的良好设计,通常使用mod_jk来实现。
glassfishv3/bin/pkg set-authority -P dev.glassfish.org
glassfishv3/bin/pkg image-update
RequestDispatcher.FORWARD_REQUEST_URI
定义。在JSF中,请求属性可以通过ExternalContext#getRequestMap()
获得。 - BalusC