回答:
Webを検索してさまざまな方法を試した後、Java EE 6認証について以下のことを提案します。
私の場合、データベースにユーザーがいました。そこで、このブログ投稿に従って、データベーステーブルのユーザー名とMD5ハッシュされたパスワードに基づいてユーザーを認証できるJDBCレルムを作成しました。
http://blog.gamatam.com/2009/11/jdbc-realm-setup-with-glassfish-v3.html
注:この投稿では、ユーザーとデータベース内のグループテーブルについて説明しています。データベースにjavax.persistenceアノテーションを介してマッピングされたUserType enum属性を持つUserクラスがありました。userType列をグループ列として使用して、ユーザーとグループに同じテーブルを使用してレルムを構成しましたが、正常に機能しました。
上記のブログ投稿に従って、web.xmlとsun-web.xmlを構成しますが、BASIC認証を使用する代わりに、FORMを使用します(実際には、どちらを使用してもかまいませんが、結局はFORMを使用しました)。JSFではなく、標準のHTMLを使用してください。
次に、上記のBalusCのヒントを使用して、データベースからユーザー情報を遅延初期化します。彼は、facesコンテキストからプリンシパルを取得するマネージドBeanでそれを行うことを提案しました。代わりに、各ユーザーのセッション情報を格納するためにステートフルセッションBeanを使用したので、セッションコンテキストを挿入しました。
@Resource
private SessionContext sessionContext;
プリンシパルを使用して、ユーザー名を確認し、EJB Entity Managerを使用してデータベースからユーザー情報を取得し、SessionInformation
EJBに保存します。
ログアウトするための最良の方法も探しました。私が見つけた最高のものはサーブレットを使用することです:
@WebServlet(name = "LogoutServlet", urlPatterns = {"/logout"})
public class LogoutServlet extends HttpServlet {
@Override
protected void service(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
HttpSession session = request.getSession(false);
// Destroys the session for this user.
if (session != null)
session.invalidate();
// Redirects back to the initial page.
response.sendRedirect(request.getContextPath());
}
}
質問の日付を考えると、私の答えは本当に遅いですが、私と同じように、これがGoogleからここに来る他の人々を助けることを願っています。
チャオ、
ビトールソウザ
HttpServletResponse#login(user, password)
、DBからユーザーのソルト、イテレーション、ソルティングに使用するすべてのものを取得し、そのソルトを使用してユーザーが入力したパスワードをハッシュし、コンテナーに認証を求めることができます。HttpServletResponse#login(user, password)
。
デプロイメント記述子と を使用したフォームベースの認証が必要だと思います。j_security_check
JSFでは、同じ事前定義済みフィールド名j_username
をj_password
使用して、チュートリアルで示されているように、これを行うこともできます。
例えば
<form action="j_security_check" method="post">
<h:outputLabel for="j_username" value="Username" />
<h:inputText id="j_username" />
<br />
<h:outputLabel for="j_password" value="Password" />
<h:inputSecret id="j_password" />
<br />
<h:commandButton value="Login" />
</form>
User
getterで遅延読み込みを実行して、User
がすでにログインしているかどうかを確認し、ログインしていない場合は、Principal
リクエストにが存在するかどうかを確認し、存在する場合はにUser
関連付けられてj_username
いるを取得します。
package com.stackoverflow.q2206911;
import java.io.IOException;
import java.security.Principal;
import javax.faces.bean.ManagedBean;
import javax.faces.bean.SessionScoped;
import javax.faces.context.FacesContext;
@ManagedBean
@SessionScoped
public class Auth {
private User user; // The JPA entity.
@EJB
private UserService userService;
public User getUser() {
if (user == null) {
Principal principal = FacesContext.getCurrentInstance().getExternalContext().getUserPrincipal();
if (principal != null) {
user = userService.find(principal.getName()); // Find User by j_username.
}
}
return user;
}
}
User
明らかによるJSF ELでアクセス可能です#{auth.user}
。
ログアウトするには、aを実行しますHttpServletRequest#logout()
(そしてUser
nullに設定します!)。のハンドルをHttpServletRequest
JSF で取得できますExternalContext#getRequest()
。セッションを完全に無効にすることもできます。
public String logout() {
FacesContext.getCurrentInstance().getExternalContext().invalidateSession();
return "login?faces-redirect=true";
}
残りの部分(デプロイメント記述子とレルムでのユーザー、ロール、制約の定義)については、Java EE 6チュートリアルとservletcontainerのドキュメントに従って通常の方法に従ってください。
更新:一部のサーブレットコンテナでは、ディスパッチャから実際に到達できない場合があるHttpServletRequest#login()
代わりに、新しいサーブレット3.0 を使用してプログラムによるログインを行うこともできますj_security_check
。この場合、あなたはfullworthy JSFフォームとと豆使用することができますusername
し、password
プロパティとlogin
、このような方法を見て:
<h:form>
<h:outputLabel for="username" value="Username" />
<h:inputText id="username" value="#{auth.username}" required="true" />
<h:message for="username" />
<br />
<h:outputLabel for="password" value="Password" />
<h:inputSecret id="password" value="#{auth.password}" required="true" />
<h:message for="password" />
<br />
<h:commandButton value="Login" action="#{auth.login}" />
<h:messages globalOnly="true" />
</h:form>
そして、このビューは、最初にリクエストされたページを記憶するマネージドBeanをスコープとしました
@ManagedBean
@ViewScoped
public class Auth {
private String username;
private String password;
private String originalURL;
@PostConstruct
public void init() {
ExternalContext externalContext = FacesContext.getCurrentInstance().getExternalContext();
originalURL = (String) externalContext.getRequestMap().get(RequestDispatcher.FORWARD_REQUEST_URI);
if (originalURL == null) {
originalURL = externalContext.getRequestContextPath() + "/home.xhtml";
} else {
String originalQuery = (String) externalContext.getRequestMap().get(RequestDispatcher.FORWARD_QUERY_STRING);
if (originalQuery != null) {
originalURL += "?" + originalQuery;
}
}
}
@EJB
private UserService userService;
public void login() throws IOException {
FacesContext context = FacesContext.getCurrentInstance();
ExternalContext externalContext = context.getExternalContext();
HttpServletRequest request = (HttpServletRequest) externalContext.getRequest();
try {
request.login(username, password);
User user = userService.find(username, password);
externalContext.getSessionMap().put("user", user);
externalContext.redirect(originalURL);
} catch (ServletException e) {
// Handle unknown username/password in request.login().
context.addMessage(null, new FacesMessage("Unknown login"));
}
}
public void logout() throws IOException {
ExternalContext externalContext = FacesContext.getCurrentInstance().getExternalContext();
externalContext.invalidateSession();
externalContext.redirect(externalContext.getRequestContextPath() + "/login.xhtml");
}
// Getters/setters for username and password.
}
このようにして、User
はJSF ELでにアクセスできます#{user}
。
j_security_check
がすべてのサーブレットコンテナで機能しない可能性があるという免責事項を含めるように質問を更新しました。
@WebServlet(name="testServlet", urlPatterns={"/ testServlet "}) @ServletSecurity(@HttpConstraint(rolesAllowed = {"testUser", "admin”}))
およびメソッドごとレベル: @ServletSecurity(httpMethodConstraints={ @HttpMethodConstraint("GET"), @HttpMethodConstraint(value="POST", rolesAllowed={"testUser"})})
FacesServlet
ありません。サーブレットを変更することはできません(変更したくありません)。
RequestDispatcher.FORWARD_REQUEST_URI
。リクエスト属性はJSFにあり、で利用できますExternalContext#getRequestMap()
。
問題HttpServletRequest.loginがセッションで認証状態を設定しないは3.0.1で修正されました。Glassfishを最新バージョンに更新すれば完了です。
更新は非常に簡単です:
glassfishv3/bin/pkg set-authority -P dev.glassfish.org
glassfishv3/bin/pkg image-update