使用j_security_check在Java EE / JSF中执行用户身份验证

Question

我想知道当前的方法是关于使用JSF 2.0（如果存在任何组件）和使用用户信息的Java EE 6核心机制（登录/检查权限/注销）的Web应用程序的用户身份验证在JPA实体中。 Oracle Java EE教程在这方面有点稀疏（仅处理servlet）。

这是没有使用整个其他框架，比如Spring-Security（acegi）或Seam，但是如果可能的话，尽量使用新的Java EE 6平台（Web配置文件）

Answer 1

我想您希望form based authentication使用deployment descriptors和j_security_check。

您也可以在JSF中执行此操作，只需使用相同的预定义字段名j_username和j_password，如教程中所示。

E.g。

<form action="j_security_check" method="post">
    <h:outputLabel for="j_username" value="Username" />
    <h:inputText id="j_username" />
    <br />
    <h:outputLabel for="j_password" value="Password" />
    <h:inputSecret id="j_password" />
    <br />
    <h:commandButton value="Login" />
</form>

你可以在User getter中进行延迟加载以检查User是否已经登录，如果没有，则检查请求中是否存在Principal，如果是，然后获得与User相关联的j_username。

package com.stackoverflow.q2206911;

import java.io.IOException;
import java.security.Principal;

import javax.faces.bean.ManagedBean;
import javax.faces.bean.SessionScoped;
import javax.faces.context.FacesContext;

@ManagedBean
@SessionScoped
public class Auth {

    private User user; // The JPA entity.

    @EJB
    private UserService userService;

    public User getUser() {
        if (user == null) {
            Principal principal = FacesContext.getCurrentInstance().getExternalContext().getUserPrincipal();
            if (principal != null) {
                user = userService.find(principal.getName()); // Find User by j_username.
            }
        }
        return user;
    }

}

User显然可以通过#{auth.user}在JSF EL中访问User。

要注销，请执行HttpServletRequest#logout()（并将HttpServletRequest设置为null！）。您可以通过ExternalContext#getRequest()获取JSF中public String logout() { FacesContext.getCurrentInstance().getExternalContext().invalidateSession(); return "login?faces-redirect=true"; } 的句柄。您也可以完全无效会话。

j_security_check

对于残余（在部署描述符和领域中定义用户，角色和约束），只需按照常规方式遵循Java EE 6教程和servletcontainer文档。

---

更新：您还可以使用新的Servlet 3.0 HttpServletRequest#login()进行程序化登录，而不是使用username，调度程序可能无法访问这些password一些servletcontainers。在这种情况下，您可以使用一个完整的JSF表单和一个具有login和<h:form> <h:outputLabel for="username" value="Username" /> <h:inputText id="username" value="#{auth.username}" required="true" /> <h:message for="username" /> <br /> <h:outputLabel for="password" value="Password" /> <h:inputSecret id="password" value="#{auth.password}" required="true" /> <h:message for="password" /> <br /> <h:commandButton value="Login" action="#{auth.login}" /> <h:messages globalOnly="true" /> </h:form> 属性的bean以及一个@ManagedBean @ViewScoped public class Auth { private String username; private String password; private String originalURL; @PostConstruct public void init() { ExternalContext externalContext = FacesContext.getCurrentInstance().getExternalContext(); originalURL = (String) externalContext.getRequestMap().get(RequestDispatcher.FORWARD_REQUEST_URI); if (originalURL == null) { originalURL = externalContext.getRequestContextPath() + "/home.xhtml"; } else { String originalQuery = (String) externalContext.getRequestMap().get(RequestDispatcher.FORWARD_QUERY_STRING); if (originalQuery != null) { originalURL += "?" + originalQuery; } } } @EJB private UserService userService; public void login() throws IOException { FacesContext context = FacesContext.getCurrentInstance(); ExternalContext externalContext = context.getExternalContext(); HttpServletRequest request = (HttpServletRequest) externalContext.getRequest(); try { request.login(username, password); User user = userService.find(username, password); externalContext.getSessionMap().put("user", user); externalContext.redirect(originalURL); } catch (ServletException e) { // Handle unknown username/password in request.login(). context.addMessage(null, new FacesMessage("Unknown login")); } } public void logout() throws IOException { ExternalContext externalContext = FacesContext.getCurrentInstance().getExternalContext(); externalContext.invalidateSession(); externalContext.redirect(externalContext.getRequestContextPath() + "/login.xhtml"); } // Getters/setters for username and password. } 方法，如下所示：

User

这个视图作用域的托管bean也会记住最初请求的页面：

#{user}

这样{{1}}可以通过{{1}}在JSF EL中访问。

Answer 2

在搜索Web并尝试了许多不同的方法之后，这就是我建议的Java EE 6身份验证：

设置安全领域：

就我而言，我有数据库中的用户。所以我按照这篇博客文章创建了一个JDBC领域，可以根据我的数据库表中的用户名和MD5哈希密码对用户进行身份验证：

http://blog.gamatam.com/2009/11/jdbc-realm-setup-with-glassfish-v3.html

注意：该帖子讨论了数据库中的用户和组表。我有一个User类，其UserType枚举属性通过javax.persistence注释映射到数据库。我使用userType列作为组列为用户和组配置了相同的表，并且它工作正常。

使用表单身份验证：

仍然按照上面的博客文章，配置你的web.xml和sun-web.xml，但不使用BASIC身份验证，而是使用FORM（实际上，你使用哪一个并不重要，但我最终使用了FORM ）。使用标准HTML，而不是JSF。

然后使用BalusC的上述提示从数据库中初始化用户信息。他建议在托管bean中从faces上下文中获取主体。相反，我使用有状态会话bean来存储每个用户的会话信息，因此我注入了会话上下文：

 @Resource
 private SessionContext sessionContext;

使用主体，我可以检查用户名，并使用EJB实体管理器从数据库中获取用户信息并存储在我的SessionInformation EJB中。

注销：

我也四处寻找最佳退出方式。我发现最好的是使用Servlet：

 @WebServlet(name = "LogoutServlet", urlPatterns = {"/logout"})
 public class LogoutServlet extends HttpServlet {
  @Override
  protected void service(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
   HttpSession session = request.getSession(false);

   // Destroys the session for this user.
   if (session != null)
        session.invalidate();

   // Redirects back to the initial page.
   response.sendRedirect(request.getContextPath());
  }
 }

虽然考虑到问题的日期，我的回答确实很晚，但我希望这有助于其他人来自谷歌，就像我一样。

侨，

VítorSouza

Answer 3

应该提到的是，可以完全将认证问题留给前端控制器，例如， Apache Webserver并评估HttpServletRequest.getRemoteUser（），它是REMOTE_USER环境变量的JAVA表示。这也允许复杂的登录设计，例如Shibboleth身份验证。通过Web服务器过滤请求到servlet容器对于生产环境来说是一个很好的设计，通常使用mod_jk来实现。

Answer 4

问题HttpServletRequest.login does not set authentication state in session已在3.0.1中修复。将glassfish更新到最新版本，你就完成了。

更新非常简单：

glassfishv3/bin/pkg set-authority -P dev.glassfish.org
glassfishv3/bin/pkg image-update