使用j_security_check在Java EE / JSF中执行用户身份验证

我想你希望使用基于表单的身份验证，并使用部署描述符和j_security_check实现此目的。

在JSF中，您也可以通过只使用与教程中演示相同的预定义字段名j_username和j_password来完成此操作。

例如：

<form action="j_security_check" method="post">
    <h:outputLabel for="j_username" value="Username" />
    <h:inputText id="j_username" />
    <br />
    <h:outputLabel for="j_password" value="Password" />
    <h:inputSecret id="j_password" />
    <br />
    <h:commandButton value="Login" />
</form>

你可以在User的 getter 方法中使用延迟加载来检查是否已经登录，如果没有，则检查请求中是否存在Principal，如果存在，则获取与j_username相关联的User。

package com.stackoverflow.q2206911;

import java.io.IOException;
import java.security.Principal;

import javax.faces.bean.ManagedBean;
import javax.faces.bean.SessionScoped;
import javax.faces.context.FacesContext;

@ManagedBean
@SessionScoped
public class Auth {

    private User user; // The JPA entity.

    @EJB
    private UserService userService;

    public User getUser() {
        if (user == null) {
            Principal principal = FacesContext.getCurrentInstance().getExternalContext().getUserPrincipal();
            if (principal != null) {
                user = userService.find(principal.getName()); // Find User by j_username.
            }
        }
        return user;
    }

}

在JSF EL中，可以通过#{auth.user}轻松访问User。

要注销，请执行HttpServletRequest#logout()（并将User设置为null！）。您可以通过ExternalContext#getRequest()获取HttpServletRequest的句柄。您也可以完全使会话失效。

public String logout() {
    FacesContext.getCurrentInstance().getExternalContext().invalidateSession();
    return "login?faces-redirect=true";
}

对于剩余部分（在部署描述符和领域中定义用户、角色和约束），只需按照Java EE 6教程和servlet容器文档的常规方式进行即可。

---

更新：您还可以使用新的Servlet 3.0 HttpServletRequest#login() 进行编程登录，而不是使用j_security_check，因为在某些servlet容器中，它可能无法被转发器直接访问。在这种情况下，您可以使用一个完整的JSF表单和一个带有username和password属性以及一个login方法的bean，该方法如下：

<h:form>
    <h:outputLabel for="username" value="Username" />
    <h:inputText id="username" value="#{auth.username}" required="true" />
    <h:message for="username" />
    <br />
    <h:outputLabel for="password" value="Password" />
    <h:inputSecret id="password" value="#{auth.password}" required="true" />
    <h:message for="password" />
    <br />
    <h:commandButton value="Login" action="#{auth.login}" />
    <h:messages globalOnly="true" />
</h:form>

还有这个视图作用域管理的 bean，它也记住了最初请求的页面：

@ManagedBean
@ViewScoped
public class Auth {

    private String username;
    private String password;
    private String originalURL;

    @PostConstruct
    public void init() {
        ExternalContext externalContext = FacesContext.getCurrentInstance().getExternalContext();
        originalURL = (String) externalContext.getRequestMap().get(RequestDispatcher.FORWARD_REQUEST_URI);

        if (originalURL == null) {
            originalURL = externalContext.getRequestContextPath() + "/home.xhtml";
        } else {
            String originalQuery = (String) externalContext.getRequestMap().get(RequestDispatcher.FORWARD_QUERY_STRING);

            if (originalQuery != null) {
                originalURL += "?" + originalQuery;
            }
        }
    }

    @EJB
    private UserService userService;

    public void login() throws IOException {
        FacesContext context = FacesContext.getCurrentInstance();
        ExternalContext externalContext = context.getExternalContext();
        HttpServletRequest request = (HttpServletRequest) externalContext.getRequest();

        try {
            request.login(username, password);
            User user = userService.find(username, password);
            externalContext.getSessionMap().put("user", user);
            externalContext.redirect(originalURL);
        } catch (ServletException e) {
            // Handle unknown username/password in request.login().
            context.addMessage(null, new FacesMessage("Unknown login"));
        }
    }

    public void logout() throws IOException {
        ExternalContext externalContext = FacesContext.getCurrentInstance().getExternalContext();
        externalContext.invalidateSession();
        externalContext.redirect(externalContext.getRequestContextPath() + "/login.xhtml");
    }

    // Getters/setters for username and password.
}

这样，在JSF EL中可以通过#{user}访问User。

在搜索了网络并尝试了许多不同的方法后，我建议使用以下步骤进行Java EE 6身份验证：

设置安全域：

在我的情况下，我的用户在数据库中。因此，我遵循了这篇博客文章创建了一个JDBC Realm，可以根据数据库表中的用户名和MD5散列密码对用户进行身份验证：

http://blog.gamatam.com/2009/11/jdbc-realm-setup-with-glassfish-v3.html

注意：该帖子谈到了数据库中的用户和组表。我有一个User类，其中有一个映射到数据库的javax.persistence注释的UserType枚举属性。我将具有相同表格结构的用户和组配置为领域，使用userType列作为组列，并且它可以正常工作。

使用表单身份验证：

仍然按照上述博客文章，配置您的web.xml和sun-web.xml，但不要使用BASIC身份验证，而应使用FORM（实际上，使用哪个都无所谓，但我最终使用了FORM）。 使用标准的HTML，而不是JSF。

然后使用BalusC在上面的提示来自数据库懒惰初始化用户信息。他建议在托管bean中执行此操作，从faces上下文获取主体。我使用状态会话bean代替为每个用户存储会话信息，因此我注入了会话上下文：

 @Resource
 private SessionContext sessionContext;

通过使用 principal，我可以检查用户名，并使用 EJB 实体管理器从数据库中获取用户信息并存储在我的 SessionInformation EJB 中。

注销：

我还搜索了最佳的注销方式。我找到的最好的方法是使用一个 Servlet：

 @WebServlet(name = "LogoutServlet", urlPatterns = {"/logout"})
 public class LogoutServlet extends HttpServlet {
  @Override
  protected void service(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
   HttpSession session = request.getSession(false);

   // Destroys the session for this user.
   if (session != null)
        session.invalidate();

   // Redirects back to the initial page.
   response.sendRedirect(request.getContextPath());
  }
 }

虽然我的回答已经很晚，考虑到问题的日期，但我希望这对其他通过谷歌来到这里的人有所帮助，就像我一样。

Ciao,

Vítor Souza

需要提到的是，完全将身份验证问题留给前端控制器（例如Apache Web服务器），并评估HttpServletRequest.getRemoteUser()，这是REMOTE_USER环境变量的JAVA表示，这是一种选择。这也允许Sophisticated登录设计，例如Shibboleth身份验证。通过Web服务器过滤请求到servlet容器是生产环境中的良好设计，通常使用mod_jk来实现。

问题 HttpServletRequest.login方法没有在会话中设置身份验证状态 已在3.0.1中得到解决。更新glassfish至最新版本即可完成。
更新过程非常简单：

glassfishv3/bin/pkg set-authority -P dev.glassfish.org
glassfishv3/bin/pkg image-update