jee6 学习笔记 11: Secure JSF2 web app with JAAS and JBoss7.1

最新推荐文章于 2020-05-10 13:33:03 发布
最新推荐文章于 2020-05-10 13:33:03 发布 · 177 阅读 · 0
文章标签:

#JAAS #JBoss7 #security

本文介绍如何使用Java Authentication and Authorization Service (JAAS) 和 JBoss 7.1为JSF 2应用程序提供安全保护。通过配置安全域、数据库表、web.xml等实现FORM认证方法,并展示了具体的实现步骤。

This article describes how to secure a JSF2 web application with Java Authentication and Authorization Service (JAAS) and JBoss7.1. It uses a "FORM" authentication method. Users and roles are stored in a mysql database. We also want to use JSF2 tags and Primefaces tags as well, not a plain html form.

 

1. Introduction

 

Briefly, JAAS would be provided by the container, ie, JBoss7.1 in our example. In order to handle the login form by our own application code, we need to activate the login process in the login bean, by calling the JAAS login module api. JEE6/Servelet 3.0 provides JAAS api in the HttpServeltRequest object, as follows:

 

request.login(username, password);
request.logout();

 

So, this results in the login backing bean to get the reference of the HttpServletRequest object and call the login(username, password). Here the username and password would be the form parameters user submitted. This is nothing new.

 

 

2. Configurations

 

JAAS is more about configurations. We need to configure a security domain in JBoss7.1 and secure resources(URLs) in web.xml of our web application. We also need to add a jboss-web.xml to hook up our configured security domain in JBoss7.1 to our web application configurations. In the database, we have two tables "user" and "role". The "user" table would hold username and password etc. The "role" table would hold mappings of "username" to the roles we defined for the web application.

 

2.1 Configure a JBoss7.1 secuirty domain

 

This involves adding our security domain to the "standalone.xml " for the standalone server. Open this file and search for "<security-domains>". Under this section, adding our own security domain configuration:

 

<security-domain name="jwSecureTest">
   <authentication>
      <login-module code="Database" flag="required">
           <module-option name="dsJndiName" value="java:/ProJee6DS"/>
           <module-option name="principalsQuery" 
                       value="select password from user where username=?"/>
           <module-option name="rolesQuery" 
                       value="select role, 'Roles' from role where username=?"/>
       </login-module>
   </authentication>
</security-domain>

 

Our secrity domain is going to use datasource  "java:/ProJee6DS"(u have to configure it. same to the datasource web app uses) to authenticate users. The "principalsQuery" would select user password from table "user" and "rolesQuery" would select the roles that the logged in user would have. Once user logged in successfully, these data would be saved in the login context for the user (-; this is my guess.

 

2.2 Database tables configuration

 

So lets add those "user" and "role" tables in database. We have two roles "admin" and "usr".

 

create table user (
  id int, 
  username varchar(20) not null, 
  password varchar(10) not null, 
  email varchar(100)
);

create table role (
  username varchar(20) not null,
  role varchar(10) not null
);

insert into user values (1, 'j2ee', 'j2ee', null);
insert into user values (2, 'jason', 'jason', 'jason@123.com');

insert into role values ('j2ee', 'admin');
insert into role values ('jason', 'usr');

 

 

2.3 Configure our web application web.xml

 

In "web.xml", we have to define the pages/urls to secure. For example, it needs "admin" role to access. We also define the access error page to handle the http "403" error. Note, we need to define it's a Servlet 3.0 web application. Since the JAAS api only available after 3.0

 

Here's the relevant section:

 

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
		xmlns="http://java.sun.com/xml/ns/javaee" 
                xmlns:web="http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd"
		xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd" id="ProJee6" version="3.0">

<!-- except for login.jsf, every page requires at lease role "usr", ie, u need to login -->
	<security-constraint>  
		<web-resource-collection>  
	    	<web-resource-name>login protected resources</web-resource-name>  
			<url-pattern>/home.jsf</url-pattern>
	    	<url-pattern>/tst/*</url-pattern>  
	    </web-resource-collection>  
	    <auth-constraint>  
	    	<role-name>usr</role-name> 
                <role-name>admin</role-name>
	    </auth-constraint>  
</security-constraint>

<!-- /student/* only accessible to users with role "admin" -->
 <security-constraint>

     <web-resource-collection>
            <web-resource-name>protected resources</web-resource-name>
            <url-pattern>/student/*</url-pattern>
	    <http-method>GET</http-method>
	    <http-method>POST</http-method>
      </web-resource-collection>
 
      <auth-constraint>
            <!-- restrict role "usr" to access this page 
            <role-name>usr</role-name>
            -->
            <role-name>admin</role-name>
      </auth-constraint>
        
         <!-- uncomment to configure ssl: need to configure https connector.
	 <user-data-constraint>
	     <transport-guarantee>CONFIDENTIAL</transport-guarantee>    
	 </user-data-constraint>
	 -->
</security-constraint>

<!-- define auth method "FORM" and our login page -->
<login-config>
    <auth-method>FORM</auth-method>
    <form-login-config>
        <form-login-page>/login.jsf</form-login-page>
        <form-error-page>/login.jsf</form-error-page>
    </form-login-config>
</login-config>

......

<!-- define our http 403 error page -->
<error-page>
    <error-code>403</error-code>
    <location>/noAccess.jsf</location>
</error-page>

 

 

2.4 Adding jboss-web.xml

 

This descriptor is used to hook up the security domain we defined in JBoss "jwSecureTest" to our application. It needs to be packaged into "WEB-INF/jboss-web.xml":

 

<?xml version="1.0" encoding="UTF-8"?>
<jboss-web>
	<security-domain>java:/jaas/jwSecureTest</security-domain>   
</jboss-web>

 

 

2.5. Implement our login page and its backing bean

 

We dont need to change our login page at all. Here's it anyway:

 

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" 
	"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> 
<html xmlns="http://www.w3.org/1999/xhtml"
      xmlns:h="http://java.sun.com/jsf/html"
      xmlns:f="http://java.sun.com/jsf/core"
      xmlns:ui="http://java.sun.com/jsf/facelets"
      xmlns:p="http://primefaces.org/ui"> 
    
<h:head>
	<title>login page</title>
</h:head>

<h:body>
  <p:panel header="Login Panel" style="width:50%">
  <h:messages/>
     <h:form>
     <h:panelGrid columns="2">
         <h:outputLabel value="#{msgs.username}: "/> 
         <h:inputText id="nameId" value="#{loginBean.user.username}" 
              required="true" requiredMessage="username is required"/>
   
         <h:outputLabel value="${msgs.password}: "/> 
         <h:inputSecret id="passId" value="#{loginBean.user.password}" 
              required="true" requiredMessage="password is required"/>
   
         <!-- call action bean method login() -->
         <h:panelGroup>
            <h:commandButton type="submit" 
                     value="#{msgs.login}" action="#{loginBean.login}"/>
            
           <p:spacer width="20"/>

            <h:outputText value="are you #{flash.USER.username}?" 
                     rendered="#{not empty flash.USER.username}"/>
         </h:panelGroup>
      </h:panelGrid>
      </h:form>
  </p:panel>
</h:body>
</html>

 

 

But we need to change the backing bean to start the JAAS login process by calling its api:

 

package com.jxee.action;

import java.io.Serializable;
import java.security.Principal;

import javax.ejb.EJB;
import javax.faces.application.FacesMessage;
import javax.faces.bean.ManagedBean;
import javax.faces.context.ExternalContext;
import javax.faces.context.FacesContext;
import javax.faces.context.Flash;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpSession;

import org.apache.log4j.Logger;

import com.jxee.ejb.usr.UserDAO;
import com.jxee.model.User;

/**
 * Backing bean for login.xhtml
 * @ManagedBean used to replace the declaration of the bean in faces-config.xml
 * <br/>you can give it a name, like @ManagedBean("myBean"), otherwise, it defaults
 * to the class name with the first character lower cased, eg, "loginBean". So in this
 * example, it can be accessed in JSF pages like this: #{loginBean.login}
 */
@ManagedBean
@SuppressWarnings("all")
public class LoginBean implements Serializable {
  
  private static final Logger log = Logger.getLogger(LoginBean.class);
  
  // inject EJB UserDAO for accessing database
  // @EJB private UserDAO userDao;  // this is not used when using JAAS
  
  private User user = new User();
  
  public User getUser() { return this.user; }
  public void setUser(User user) { this.user = user; }
  
  /**
   * jaas login
   */
  public String login() {
      ExternalContext cntxt = FacesContext.getCurrentInstance().getExternalContext();
      HttpServletRequest req = (HttpServletRequest) cntxt.getRequest();

      try {
          req.login(this.user.getUsername(), this.user.getPassword());
          log.info(">>> user logged in: " + this.user.getUsername());
          return "/home.jsf";
      }
      catch(Exception e) {
          log.error(String.format("login failed. user: %s, due to: %s ", 
                              this.user.getUsername(),e.getMessage()));
      }
    
      return "/login.jsf";
  }
  
  /**
   * jaas logout
   */
  public String logout() {

     ExternalContext cntxt = FacesContext.getCurrentInstance().getExternalContext();
     HttpServletRequest req = (HttpServletRequest) cntxt.getRequest();
     Principal pp = req.getUserPrincipal();
     String aname = pp.getName();

     try {
        req.logout();
        log.info(">>> user logged out: " + aname);
     }
     catch(Exception e) {
        log.error(String.format("Error logout user %s, due to: %s", 
                              aname, e.getMessage()));
     }

     return "/login.jsf?faces-redirect=true";
  }

  ......

}

 

The http 403 error page "/noAccess.xhtml":

 

<ui:composition xmlns="http://www.w3.org/1999/xhtml"
   				xmlns:h="http://java.sun.com/jsf/html"
      			xmlns:f="http://java.sun.com/jsf/core"
      			xmlns:ui="http://java.sun.com/jsf/facelets"
      			xmlns:p="http://primefaces.org/ui"
   				template="/template/template1.xhtml">

	<ui:define name="title">home</ui:define>
	
	<ui:define name="content">
	    <p:panel header="Access Error" style="width:60%;border:0px">
	        <b>#{msgs.noAccess}</b>
	    </p:panel>
    </ui:define>
</ui:composition>

 

 

With these configurations, onle users with "admin" role can access the pages "/student/*". This include pages "/student/studentSearch.js" and "student/studentDetails.jsf". That is, according to our database data, user "jason" has no access to these pages.

 

Next, i'll take a look at prorgammatic approach of JAAS to secure application components. JEE6 provides annotations to test if calling client is in a role to secure the calling of a method.

 

 

jee6 学习笔记 5 - Struggling with JSF2 binding GET params
04-08
这篇"jee6 学习笔记 5 - Struggling with JSF2 binding GET params"主要探讨了开发者在使用JSF2绑定GET参数时可能遇到的挑战和解决方案。 JSF2是一个基于MVC(模型-视图-控制器)设计模式的Java框架,用于创建交互...
jee6poc:使用 JEE6 平台的概念证明。 使用 Deltaspike、JSF 和 Primefaces 和 JBoss Logging
07-09
它使用 Deltaspike、JSF with Primefaces 和 JBoss Logging。 JBoss 环境设置 概念验证参考环境是 JBoss EAP 6.3GA,需要正确配置 POC 才能按预期工作。 先决条件 安装并配置了 Oracle JDK 7 - 目前是 Oracle JDK 7...
jee6 学习笔记 12: Securing Application Component with JAAS api
加瓦的境界
09-03 128
In "jee6 学习笔记 11", we explored the JAAS configuration for a JSF2.0 application with JBoss7.1, so far so good.   This article would explore the JAAS APIs that enable further control on application c...
jee6 学习笔记 - 总结
加瓦的境界
09-03 348
"jee6 学习笔记" 系列基本告一段落了。 学习涉及到了 jee6 的多个方面, 以及 JBoss 6/7 的配置等等:   1, project 的建立 2, primefaces 3.3 基本应用 3, jsf2.0 参数传递 4, 大数据查询的简单处理 5, ejb3.1 基本特点的简单试验与理解 6, i18n 多语言支持 7JAAS 的配置和应用, 以及JAAS A...
Java Web开发笔记(2016-5-6 11:13、2016-5-10 11:13、2016-5-12 14:58)
u010401391的专栏
05-19 2234
20160518添加: JavaWeb项目打包: E:\apache-tomcat-7.0.65\webapps\EquipmentSys1>jar -cvf EquipmentSys1.war * Xftp 4 product key: 101210-450789-147200 20160507添加: /* JAVA发送HTTP请求,返回HTTP响应内容 请求类HttpR...
awesome-java
大强博客
06-19 3721
A curated list of awesome frameworks, libraries and software for the Java programming language. Awesome Java A curated list of awesome Java frameworks, libraries and software. Contents Projects ...
JAVA开源项目
IT熊的专栏
03-31 900
Spring Framework 【Java开源JEE框架】Spring是一个解决了许多在J2EE开发中常见的问题的强大框架。 Spring提供了管理业务对象的一致方法并且鼓励了注入对接口编程而不是对类编程的良好习惯。Spring的架构基础是基于使用JavaBean属性的Inversion of Control容器。然而,这仅仅是完整图景中的一部分:Spring在使用IoC容器作为构建完关注所有架
Java开源JEE框架
meteorWJ's Home—Floating clound
01-30 3140
 Spring Framework 【Java开源JEE框架】Spring是一个解决了许多在J2EE开发中常见的问题的强大框架。 Spring提供了管理业务对象的一致方法并且鼓励了注入对接口编程而不是对类编程的良好习惯。Spring的架构基础是基于使用JavaBean属性的Inversion of Control容器。然而,这仅仅是完整图景中的一部分:Spring在使用IoC容
找到一个关于seam详细介绍的网址
Huakelilinjie的博客
03-21 3863
http://docs.jboss.org/seam/2.0.0.GA/reference/zh/html/index.html seam - 语境相关的组件 [满江红20080327] Java EE框架 2.0GA Table of Contents JBoss Seam简介1. Seam 入门 1.1. 试试
Java开源 JEE框架
yalke
07-02 664
输入您的搜索字词 提交搜索表单 Web www.open-open.com Web开发 Web开发框架 JSP标签 AJAX框架 服务器 应用服务器 Web服务器 开发工具 Eclipse插件 IDE 项目管理 Web测试工具 UML建模 源码控制 团队协作 测试工具 项目构建 打包工具 其它 其它项...
LazyInitializationException的四种解决方案–第2部分
最佳 Java 编程
05-10 925
本文从教程​​的第1部分继续。 使用PersistenceContextType.EXTENDED的有状态EJB加载收集 该方法只能应用于与Full JEE环境兼容的应用程序:将EJB与PersistenceContextType.EXTENDED一起使用。 检查下面的代码,DAO的样子: package com.ejb; import javax.ejb.Stateful; ...
dockerized-java-e-commerce-app:使用JEEJSF框架的电子商务Web应用程序
02-04
使用JEEJSF框架的电子商务Web应用程序 :ghost: 该项目是为对的最终检查而创建的 这背后的主要思想是,我们必须创建一个电子杂货店,销售来自不同供应商的多种产品。 杂货店只能通过佣金来赚钱。 :memo: 要求清单...
jee6-petclinic2:Spring Pet Clinic 到 JEE 的另一个迁移示例
07-13
jee6-petclinic2 要使用 mysql jndi 资源: 要将 mysql 数据源安装到 Wildfly 8.1 上,请运行“mvn verify -Pds” 在 conf/persistence.xml jta-data-source 和 comment 属性中取消注释。
【四旋翼飞行器】【模拟悬链机器人的动态】设计和控制由两个四旋翼飞行器推动的缆绳研究(Matlab代码实现)
11-26
【四旋翼飞行器】【模拟悬链机器人的动态】设计和控制由两个四旋翼飞行器推动的缆绳研究(Matlab代码实现)内容概要:本文围绕“设计和控制由两个四旋翼飞行器推动的缆绳系统”展开研究,通过建立动力学模型并利用Matlab进行仿真,模拟类似悬链机器人的动态行为。研究重点在于多无人机协同控制、缆绳张力分析及系统稳定性控制,结合非线性动力学与控制理论,实现对柔性连接负载的精确操控。文中提供了完整的Matlab代码实现,便于复现实验结果,适用于复杂空中作业任务的仿真验证。; 适合人群:具备一定控制理论基础和Matlab编程能力的研究生、科研人员及从事无人机协同控制、机器人系统开发的工程技术人员。; 使用场景及目标:①研究多无人机协同搬运与柔性负载控制;②掌握缆绳系统动力学建模与仿真方法;③应用于空中机器人、工业吊装、救援运输等实际场景的控制系统设计与优化; 阅读建议:建议结合Matlab代码逐模块分析,重点关注动力学建模、控制律设计与仿真结果验证部分,可进一步扩展至更多无人机协同或复杂环境干扰下的鲁棒性研究。
基于遗传算法的梯级水电站群联合火电厂优化调度研究(Python代码实现)
11-26
基于遗传算法的梯级水电站群联合火电厂优化调度研究(Python代码实现)内容概要:本文研究了基于遗传算法的梯级水电站群联合火电厂优化调度问题,旨在通过智能优化方法实现电力系统中水火电资源的协调调度,提升能源利用效率与调度经济性。文中构建了考虑水电站间水力联系、水库库容约束、机组出力特性及火电厂运行成本的综合优化模型,并采用遗传算法进行求解,给出了完整的Python代码实现。该方法能够有效处理复杂的非线性、多约束、多变量调度问题,具备良好的收敛性和实
无人机基于改进粒子群算法的无人机路径规划研究[和遗传算法、粒子群算法进行比较](Matlab代码实现)
最新发布
11-26
【无人机】基于改进粒子群算法的无人机路径规划研究[和遗传算法、粒子群算法进行比较](Matlab代码实现)内容概要:本文围绕基于改进粒子群算法的无人机路径规划展开研究,重点探讨了在复杂环境中利用改进粒子群算法(PSO)实现无人机三维路径规划的方法,并将其与遗传算法(GA)、标准粒子群算法等传统优化算法进行对比分析。研究内容涵盖路径规划的多目标优化、避障策略、航路点约束以及算法收敛性和寻优能力的评估,所有实验均通过Matlab代码实现,提供了完整的仿真验证流程。文章还提到了多种智能优化算法在无人机路径规划中的应用比较,突出了改进PSO在收敛速度和全局寻优方面的优势。; 适合人群:具备一定Matlab编程基础和优化算法知识的研究生、科研人员及从事无人机路径规划、智能优化算法研究的相关技术人员。; 使用场景及目标:①用于无人机在复杂地形或动态环境下的三维路径规划仿真研究;②比较不同智能优化算法(如PSO、GA、蚁群算法、RRT等)在路径规划中的性能差异;③为多目标优化问题提供算法选型和改进思路。; 阅读建议:建议读者结合文中提供的Matlab代码进行实践操作,重点关注算法的参数设置、适应度函数设计及路径约束处理方式,同时可参考文中提到的多种算法对比思路,拓展到其他智能优化算法的研究与改进中。
图像重建使用FDK的三维谢普洛根幻影重建(Matlab代码实现)
11-26
【图像重建】使用FDK的三维谢普洛根幻影重建(Matlab代码实现)内容概要:本文介绍了使用FDK算法在Matlab环境中实现三维谢普洛根幻影(Shepp-Logan phantom)图像重建的技术方法,重点展示了图像重建过程中的关键步骤与代码实现。该资源属于一系列图像处理与医学成像技术研究的一部分,涵盖了从投影数据生成到反投影重建的完整流程,帮助读者理解CT图像重建的基本原理与FDK算法的应用细节。; 适合人群:具备一定Matlab编程基础,从事医学图像处理、计算机断层成像(CT)或相关领域研究的研究生、科研人员及工程技术人员。; 使用场景及目标:①学习和掌握FDK算法在三维图像重建中的具体实现;②理解Shepp-Logan幻影模型在仿真成像中的作用;③为医学图像重建、算法验证与教学演示提供可运行的Matlab代码参考; 阅读建议:建议结合Matlab代码逐行调试,理解投影(正弦图)生成与滤波反投影的每一步操作,同时可延伸学习其他重建算法(如FBP
【大数据搜索技术】Elasticsearch7.8安装部署与集群管理:基于CentOS的分布式搜索引擎配置及性能优化实践
11-26
内容概要:本文详细介绍了Elasticsearch 7.8的安装部署及核心功能应用,涵盖环境准备、解压配置、启动优化、集群搭建、分片管理、健康监控等内容,并结合Kibana和Logstash构建完整的ELK日志分析体系。文章还讲解了中文分词器IK的使用、快照备份与恢复机制,以及如何通过Filebeat采集Nginx等服务的日志数据并进行可视化展示,系统性地呈现了Elasticsearch在实际生产环境中的部署与运维流程。; 适合人群:具备Linux基础和一定运维经验的技术人员,尤其是从事日志分析、搜索系统搭建或中间件维护的开发与运维工程师;适合初学者入门Elasticsearch及相关生态组件。; 使用场景及目标:①掌握Elasticsearch单节点与集群环境的安装与配置;②理解索引、分片、副本等核心概念并应用于实际业务;③构建基于Filebeat+Logstash+ES+Kibana的日志采集与分析链路;④实现数据的备份恢复与中文检索功能; 阅读建议:建议按照文档顺序逐步操作,重点关注配置参数调优与常见错误处理(如权限、虚拟内存限制),动手实践集群部署与日志采集流程,结合Kibana进行数据验证与可视化分析,加深对ELK生态协同工作的理解。
commonapi-dbus-demo
11-26
commonapi-dbus-demo
深入理解JSF2绑定GET参数:jee6学习笔记5
学习笔记主要聚焦于如何在JSF2中绑定GET请求参数,即“jee6 学习笔记 5 - Struggling with JSF2 binding GET params”中所探讨的核心问题。JSF(JavaServer Faces)是Java EE平台中用于构建组件驱动的用户界面的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值