来自不同提供商的Wildfly身份验证和授权

时间:2016-10-20 14:16:45

标签: security jsf jboss ldap wildfly

我正在尝试在JBoss Wildfly 10.0.0.Final上设置用户身份验证和授权

我根据JBoss developer wiki上的文档配置了 standalone.xml

由于这不起作用,我将this answer的解决方案付诸行动。

使用

构建应用程序
  • JSF 2.2
  • Java 1.8
  • CDI 1.1

on Eclipse Neon(4.6.0)for J2EE,附加方面 Dynamic Web Modue JavaScript JAX-RS JBoss Maven集成 JPA

Login.xhtml持有

<form id="login" class="form-login" method="POST" action="j_security_check">
    <h:inputText id="j_username" name="j_username" class="form-control" value="#{user.name}" pt:placeholder="User" pt:autofocus=""/>
    <h:message for="j_username" styleClass="errorMessage"/>
    <h:inputSecret id="j_password" name="j_password" class="form-control" value="#{user.password}" pt:placeholder="Password" />
    <h:message for="j_password" styleClass="errorMessage"/>
    <input class="btn btn-lg btn-primary btn-block btn-submit" type="submit" value="Login" />
</form>

来自standalone.xml:

<security-domain name="LDAPAuth">
    <authentication>
        <login-module code="LdapExtended" flag="required">
            <module-option name="java.naming.factory.initial" value="com.sun.jndi.ldap.LdapCtxFactory"/>
            <module-option name="java.naming.provider.url" value="ldap://internal.de:389"/>
            <module-option name="java.naming.security.authentication" value="simple"/>
            <module-option name="bindDN" value="cn=machine-account,ou=special,ou=Users,dc=internal,dc=DE"/>
            <module-option name="bindCredential" value="SECRET"/>
            <module-option name="baseCtxDN" value="OU=Users,DC=internal,DC=DE"/>
            <module-option name="baseFilter" value="(&amp;(sAMAccountName={0})(objectClass=*))"/>
            <module-option name="allowEmptyPasswords" value="true"/>
            <module-option name="password-stacking" value="useFirstPass"/>
        </login-module>
    </authentication>
</security-domain>

web.xml读取

<security-constraint>
    <web-resource-collection>
      <web-resource-name>protected</web-resource-name>
      <url-pattern>/protected/*</url-pattern>
      <http-method>GET</http-method>
      <http-method>POST</http-method>
    </web-resource-collection>
    <auth-constraint>
       <role-name>appuser</role-name>
    </auth-constraint>
</security-constraint>
<login-config>
    <auth-method>FORM</auth-method>
    <realm-name>LDAP Authentication Realm</realm-name>
    <form-login-config>
        <form-login-page>/Login.xhtml</form-login-page>
        <form-error-page>/Noauth.xhtml</form-error-page>
    </form-login-config>
</login-config>
<security-role>
    <role-name>appsuser</role-name>
</security-role>

最后,<security-domain>java:/jaas/LDAPAuth</security-domain>在jboss-web.xml中设置

通过

设置数据库连接

<datasource jta="true" jndi-name="java:/postgres" pool-name="PostgresDS" enabled="true" use-ccm="true">

和里面的相应节点。

LDAP连接似乎正常,但无论如何客户端都会收到一个空页。

网络交易如下:

(1)

Request URL:http://localhost:8080/protected/j_security_check
Request Method:POST
Status Code:302 Found
Remote Address:127.0.0.1:8080

(2)

Request URL:http://localhost:8080/protected/res/img/favicon.png
Request Method:GET
Status Code:403 Forbidden
Remote Address:127.0.0.1:8080

相反,前端的目录布局是

[webapp]
    [protected]
    [res]
    [WEB-INF]
    Login.xhtml
    Noauth.xhtml

我不明白幕后发生了什么。此外,我需要在LDAP 身份验证之后执行授权。授权必须由另一个仅保存用户名和角色的数据库提供,不包含密码。这是强制性的。根据(JBoss文档)[https://docs.jboss.org/jbossas/docs/Server_Configuration_Guide/4/html/Using_JBoss_Login_Modules-Password_Stacking.html]密码堆叠是可行的方法,但我无法在授权数据库上提供任何密码。

如何实现这一目标,更重要的是,为什么授权会以这种方式运作?

1 个答案:

答案 0 :(得分:0)

任何角色都没有来源。因此,服务器不会为受保护资源设置任何权限。

为了使整个工作正常,您需要设置身份验证和授权。

让我总结一下设置过程:

<强> 1。步骤

通过WildFly的管理界面设置安全域,或直接在standalone.xml中设置安全域,登录模块节点保存 module-option 类型的子节点。你的设置得当。

有关模块属性的完整参考,请选中https://developer.jboss.org/wiki/LdapExtLoginModule?_sscc=t

如果您从LDAP服务器获取角色,则至少需要 rolesCtxDN roleFilter roleAttributeID 。如果您从其他来源检索它们,例如数据库,您需要密码堆叠

<强> 2。步骤

设置Web应用程序的配置:

在服务器端检查通过POST提交到URL路径 j_security_check 的数据,并使用Java身份验证和授权服务通过cookie将会话ID返回给客户端。

您的 jboss-web.xml web.xml 已正确设置。

注意以下行为:

如果节点

 
<auth-constraint>
    ...
</auth-constraint>

里面没有角色名称节点,没有用户可以访问。如果您将<role-name>*</role-name>置于auth-contraint中,则任何经过身份验证的用户都将获得授权。

第3。步骤

设置角色来源。在您的情况下,您需要将另一个登录模块添加到身份验证节点:

<login-module code="org.jboss.security.auth.spi.DatabaseServerLoginModule" flag="required">
    <module-option name="dsJndiName" value="java:/postgres"/>
    <module-option name="principalsQuery" value="NULL"/>
    <module-option name="rolesQuery" value="SELECT roleColumn, 'Roles' FROM rolesTable WHERE name=?"/>
    <module-option name="password-stacking" value="useFirstPass"/>
</login-module>

关于favicon的说明

您的网页最有可能尝试访问受保护的资源。该行为在以下帖子中解释:

https://www.gilluminate.com/2004/11/16/redirect-to-favicon-after-login-with-mozilla-problem/