使用Keycloak的安全JEE应用程序具有匿名的SessionContext.getCallerPrincipal()
我有一个使用Keycloak保护的JEE服务(JaxRx),验证工作正常,但当我想用@RolesAllowed应用安全性时,我得到了EJBAccessException。
该服务部署在Wildfly 11中,关于文档,我使用@SecurityDomain("keycloak")和下一个配置文件(jboss-ejb3.xml)将安全上下文传播到EJB层。
<?xml version="1.0" encoding="UTF-8"?>
<jboss:jboss
xmlns="http://java.sun.com/xml/ns/javaee"
xmlns:jboss="http://www.jboss.com/xml/ns/javaee"
xmlns:s="urn:security:1.1"
version="3.1" impl-version="2.0">
<assembly-descriptor>
<s:security>
<ejb-name>*</ejb-name>
<s:security-domain>keycloak</s:security-domain>
</s:security>
</assembly-descriptor>
</jboss:jboss>
我在Wildfly中安装了keycloak security-domain。
我正在检查,我看到SessionContext没有用户,但Web Context有它。
如图所示,请求用户在RequestContext中被标识,但在SessionContext(上下文)中不存在,它显示anonymous而不是用户。
我的服务中可能缺少哪些想法?
2 个答案:
答案 0 :(得分:2)
在这种情况下,我的jboss-web.xml文件夹中缺少WEB-INF文件。
我添加了一个名为jboss-web.xml的文件,其中包含以下内容,并且像魅力一样工作。
<?xml version="1.0" encoding="UTF-8"?>
<jboss>
<security-domain>keycloak</security-domain>
</jboss>
答案 1 :(得分:0)
我也遇到了类似的问题,因为我的EJB不安全。必须使用@PermitAll或@RolesAllowed批注来保护EJB。没有这些注释之一,您可以从EjbContext检索的用户主体将是匿名的。
相关问题
- 在使用Keycloak保护的Web应用程序中获取登录用户名
- 使用JMX的JEE App
- 春天的安全休息api没有用钥匙扣确保
- Angular 5 + Keycloak允许匿名用户
- 使用Keycloak的安全JEE应用程序具有匿名的SessionContext.getCallerPrincipal()
- 在Spring引导应用程序中使用@RolesAllowed使用keycloak保护
- 由应用程序网关后面的keycloak node.js应用程序保护的基于重定向的身份验证流
- Spring MVC + Security App的Keycloak配置问题
- 在Keycloak受保护的REST API中,邮递员请求失败春季安全
- 使用OIDC客户端的SAML 2.0 IDP,我可以使用IDP发起SSO吗?
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?