我正在尝试在JBoss Wildfly 10.0.0.Final上设置用户身份验证和授权
我根据JBoss developer wiki上的文档配置了 standalone.xml 。
由于这不起作用,我将this answer的解决方案付诸行动。
使用
构建应用程序on Eclipse Neon(4.6.0)for J2EE,附加方面 Dynamic Web Modue , JavaScript , JAX-RS , JBoss Maven集成和 JPA 。
Login.xhtml持有
<form id="login" class="form-login" method="POST" action="j_security_check">
<h:inputText id="j_username" name="j_username" class="form-control" value="#{user.name}" pt:placeholder="User" pt:autofocus=""/>
<h:message for="j_username" styleClass="errorMessage"/>
<h:inputSecret id="j_password" name="j_password" class="form-control" value="#{user.password}" pt:placeholder="Password" />
<h:message for="j_password" styleClass="errorMessage"/>
<input class="btn btn-lg btn-primary btn-block btn-submit" type="submit" value="Login" />
</form>
来自standalone.xml:
<security-domain name="LDAPAuth">
<authentication>
<login-module code="LdapExtended" flag="required">
<module-option name="java.naming.factory.initial" value="com.sun.jndi.ldap.LdapCtxFactory"/>
<module-option name="java.naming.provider.url" value="ldap://internal.de:389"/>
<module-option name="java.naming.security.authentication" value="simple"/>
<module-option name="bindDN" value="cn=machine-account,ou=special,ou=Users,dc=internal,dc=DE"/>
<module-option name="bindCredential" value="SECRET"/>
<module-option name="baseCtxDN" value="OU=Users,DC=internal,DC=DE"/>
<module-option name="baseFilter" value="(&(sAMAccountName={0})(objectClass=*))"/>
<module-option name="allowEmptyPasswords" value="true"/>
<module-option name="password-stacking" value="useFirstPass"/>
</login-module>
</authentication>
</security-domain>
web.xml读取
<security-constraint>
<web-resource-collection>
<web-resource-name>protected</web-resource-name>
<url-pattern>/protected/*</url-pattern>
<http-method>GET</http-method>
<http-method>POST</http-method>
</web-resource-collection>
<auth-constraint>
<role-name>appuser</role-name>
</auth-constraint>
</security-constraint>
<login-config>
<auth-method>FORM</auth-method>
<realm-name>LDAP Authentication Realm</realm-name>
<form-login-config>
<form-login-page>/Login.xhtml</form-login-page>
<form-error-page>/Noauth.xhtml</form-error-page>
</form-login-config>
</login-config>
<security-role>
<role-name>appsuser</role-name>
</security-role>
最后,<security-domain>java:/jaas/LDAPAuth</security-domain>
在jboss-web.xml中设置
通过
设置数据库连接 <datasource jta="true" jndi-name="java:/postgres" pool-name="PostgresDS" enabled="true" use-ccm="true">
和里面的相应节点。
LDAP连接似乎正常,但无论如何客户端都会收到一个空页。
网络交易如下:
(1)
Request URL:http://localhost:8080/protected/j_security_check
Request Method:POST
Status Code:302 Found
Remote Address:127.0.0.1:8080
(2)
Request URL:http://localhost:8080/protected/res/img/favicon.png
Request Method:GET
Status Code:403 Forbidden
Remote Address:127.0.0.1:8080
相反,前端的目录布局是
[webapp]
[protected]
[res]
[WEB-INF]
Login.xhtml
Noauth.xhtml
我不明白幕后发生了什么。此外,我需要在LDAP 身份验证之后执行授权。授权必须由另一个仅保存用户名和角色的数据库提供,不包含密码。这是强制性的。根据(JBoss文档)[https://docs.jboss.org/jbossas/docs/Server_Configuration_Guide/4/html/Using_JBoss_Login_Modules-Password_Stacking.html]密码堆叠是可行的方法,但我无法在授权数据库上提供任何密码。
如何实现这一目标,更重要的是,为什么授权会以这种方式运作?
答案 0 :(得分:0)
任何角色都没有来源。因此,服务器不会为受保护资源设置任何权限。
为了使整个工作正常,您需要设置身份验证和授权。
让我总结一下设置过程:
<强> 1。步骤强>
通过WildFly的管理界面设置安全域,或直接在standalone.xml中设置安全域,登录模块节点保存 module-option 类型的子节点。你的设置得当。
有关模块属性的完整参考,请选中https://developer.jboss.org/wiki/LdapExtLoginModule?_sscc=t
如果您从LDAP服务器获取角色,则至少需要 rolesCtxDN , roleFilter 和 roleAttributeID 。如果您从其他来源检索它们,例如数据库,您需要密码堆叠:
<强> 2。步骤强>
设置Web应用程序的配置:
在服务器端检查通过POST提交到URL路径 j_security_check 的数据,并使用Java身份验证和授权服务通过cookie将会话ID返回给客户端。
您的 jboss-web.xml 和 web.xml 已正确设置。
注意以下行为:
如果节点
<auth-constraint>
...
</auth-constraint>
里面没有角色名称节点,没有用户可以访问。如果您将<role-name>*</role-name>
置于auth-contraint中,则任何经过身份验证的用户都将获得授权。
第3。步骤强>
设置角色来源。在您的情况下,您需要将另一个登录模块添加到身份验证节点:
<login-module code="org.jboss.security.auth.spi.DatabaseServerLoginModule" flag="required">
<module-option name="dsJndiName" value="java:/postgres"/>
<module-option name="principalsQuery" value="NULL"/>
<module-option name="rolesQuery" value="SELECT roleColumn, 'Roles' FROM rolesTable WHERE name=?"/>
<module-option name="password-stacking" value="useFirstPass"/>
</login-module>
关于favicon的说明
您的网页最有可能尝试访问受保护的资源。该行为在以下帖子中解释:
https://www.gilluminate.com/2004/11/16/redirect-to-favicon-after-login-with-mozilla-problem/