使用 j_security_check 在 Java EE / JSF 中执行用户身份验证

Posted 2023-02-27

【中文标题】使用 j_security_check 在 Java EE / JSF 中执行用户身份验证

【英文标题】：Performing user authentication in Java EE / JSF using j_security_check

【发布时间】：2011-01-13 11:54:14

【问题描述】：

我想知道当前的方法是关于使用 JSF 2.0（以及是否存在任何组件）和 Java EE 6 核心机制（登录/检查权限/注销）的 Web 应用程序的用户身份验证，并保留用户信息在 JPA 实体中。 Oracle Java EE 教程在这方面有点稀疏（仅处理 servlet）。

这没有使用整个其他框架，例如 Spring-Security (acegi) 或 Seam，但如果可能的话，希望坚持使用新的 Java EE 6 平台（Web 配置文件） .

【参考方案1】：

我想你想要 form based authentication 使用 deployment descriptors 和 j_security_check。

您也可以在 JSF 中通过使用与教程中演示的相同的预定义字段名称 j_username 和 j_password 来执行此操作。

例如

<form action="j_security_check" method="post">
    <h:outputLabel for="j_username" value="Username" />
    <h:inputText id="j_username" />
    <br />
    <h:outputLabel for="j_password" value="Password" />
    <h:inputSecret id="j_password" />
    <br />
    <h:commandButton value="Login" />
</form>

您可以在 User getter 中进行延迟加载，以检查 User 是否已登录，如果没有，则检查请求中是否存在 Principal，如果存在，则获取 @987654334 @ 与 j_username 关联。

package com.***.q2206911;

import java.io.IOException;
import java.security.Principal;

import javax.faces.bean.ManagedBean;
import javax.faces.bean.SessionScoped;
import javax.faces.context.FacesContext;

@ManagedBean
@SessionScoped
public class Auth 

    private User user; // The JPA entity.

    @EJB
    private UserService userService;

    public User getUser() 
        if (user == null) 
            Principal principal = FacesContext.getCurrentInstance().getExternalContext().getUserPrincipal();
            if (principal != null) 
                user = userService.find(principal.getName()); // Find User by j_username.
            
        
        return user;
    

User 显然可以通过 #auth.user 在 JSF EL 中访问。

要注销，请执行HttpServletRequest#logout()（并将User 设置为null！）。您可以通过 ExternalContext#getRequest() 在 JSF 中获取 HttpServletRequest 的句柄。您也可以完全使会话无效。

public String logout() 
    FacesContext.getCurrentInstance().getExternalContext().invalidateSession();
    return "login?faces-redirect=true";

对于剩余部分（在部署描述符和领域中定义用户、角色和约束），只需按照常规方式遵循 Java EE 6 教程和 servletcontainer 文档即可。

---

更新：您还可以使用新的 Servlet 3.0 HttpServletRequest#login() 进行编程登录，而不是使用 j_security_check，在某些 servlet 容器中调度程序本身可能无法访问该 j_security_check。在这种情况下，您可以使用一个完整的 JSF 表单和一个具有 username 和 password 属性的 bean 和一个 login 方法，如下所示：

<h:form>
    <h:outputLabel for="username" value="Username" />
    <h:inputText id="username" value="#auth.username" required="true" />
    <h:message for="username" />
    <br />
    <h:outputLabel for="password" value="Password" />
    <h:inputSecret id="password" value="#auth.password" required="true" />
    <h:message for="password" />
    <br />
    <h:commandButton value="Login" action="#auth.login" />
    <h:messages globalOnly="true" />
</h:form>

这个视图范围的托管 bean 还记得最初请求的页面：

@ManagedBean
@ViewScoped
public class Auth 

    private String username;
    private String password;
    private String originalURL;

    @PostConstruct
    public void init() 
        ExternalContext externalContext = FacesContext.getCurrentInstance().getExternalContext();
        originalURL = (String) externalContext.getRequestMap().get(RequestDispatcher.FORWARD_REQUEST_URI);

        if (originalURL == null) 
            originalURL = externalContext.getRequestContextPath() + "/home.xhtml";
         else 
            String originalQuery = (String) externalContext.getRequestMap().get(RequestDispatcher.FORWARD_QUERY_STRING);

            if (originalQuery != null) 
                originalURL += "?" + originalQuery;
            
        
    

    @EJB
    private UserService userService;

    public void login() throws IOException 
        FacesContext context = FacesContext.getCurrentInstance();
        ExternalContext externalContext = context.getExternalContext();
        HttpServletRequest request = (HttpServletRequest) externalContext.getRequest();

        try 
            request.login(username, password);
            User user = userService.find(username, password);
            externalContext.getSessionMap().put("user", user);
            externalContext.redirect(originalURL);
         catch (ServletException e) 
            // Handle unknown username/password in request.login().
            context.addMessage(null, new FacesMessage("Unknown login"));
        
    

    public void logout() throws IOException 
        ExternalContext externalContext = FacesContext.getCurrentInstance().getExternalContext();
        externalContext.invalidateSession();
        externalContext.redirect(externalContext.getRequestContextPath() + "/login.xhtml");
    

    // Getters/setters for username and password.

这样User 可以通过#user 在JSF EL 中访问。

【讨论】：

我更新了问题以包含一个免责声明，即调度到 j_security_check 可能不适用于所有 servlet 容器。

Java 教程中关于在 Web 应用程序中使用编程安全性的链接：java.sun.com/javaee/6/docs/tutorial/doc/gjiie.html（使用 Servlet）：在 servlet 类上，您可以使用：@WebServlet(name="testServlet", urlPatterns="/ testServlet ") @ServletSecurity(@HttpConstraint(rolesAllowed = "testUser", "admin”)) 在每个方法级别上：@ServletSecurity(httpMethodConstraints= @HttpMethodConstraint("GET"), @HttpMethodConstraint(value="POST", rolesAllowed="testUser"))

你的意思是……？这是否适用于JSF？好吧，在 JSF 中只有一个 servlet，FacesServlet，您不能（也不想）修改它。

@BalusC - 当你说上面是最好的方法时，你是指使用 j_security_check 还是编程登录？

@simgineer：请求的 URL 可用作请求属性，其名称由 RequestDispatcher.FORWARD_REQUEST_URI 定义。请求属性在 JSF 中，由 ExternalContext#getRequestMap() 提供。

【参考方案2】：

在网上搜索并尝试了许多不同的方法后，以下是我对 Java EE 6 身份验证的建议：

设置安全领域：

就我而言，我在数据库中有用户。所以我按照这篇博文创建了一个 JDBC Realm，它可以根据我的数据库表中的用户名和 MD5 哈希密码对用户进行身份验证：

http://blog.gamatam.com/2009/11/jdbc-realm-setup-with-glassfish-v3.html

注意：该帖子讨论了数据库中的用户和组表。我有一个 User 类，其 UserType 枚举属性通过 javax.persistence 注释映射到数据库。我为用户和组配置了同一张表，使用 userType 列作为组列，它工作正常。

使用表单认证：

仍然按照上面的博文，配置你的web.xml和sun-web.xml，但是不要使用BASIC认证，而是使用FORM（其实用哪一个都无所谓，但我最终还是使用了FORM ）。使用标准 HTML，而不是 JSF。

然后使用 BalusC 上面关于延迟初始化数据库中的用户信息的技巧。他建议在一个托管 bean 中执行此操作，从 faces 上下文中获取主体。相反，我使用有状态会话 bean 来存储每个用户的会话信息，因此我注入了会话上下文：

 @Resource
 private SessionContext sessionContext;

通过主体，我可以检查用户名，并使用 EJB 实体管理器从数据库中获取用户信息并存储在我的 SessionInformation EJB 中。

退出：

我还四处寻找最好的退出方式。我发现最好的方法是使用 Servlet：

 @WebServlet(name = "LogoutServlet", urlPatterns = "/logout")
 public class LogoutServlet extends HttpServlet 
  @Override
  protected void service(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException 
   HttpSession session = request.getSession(false);

   // Destroys the session for this user.
   if (session != null)
        session.invalidate();

   // Redirects back to the initial page.
   response.sendRedirect(request.getContextPath());
  
 

虽然考虑到问题的发布日期，我的回答确实很晚，但我希望这可以帮助其他最终从 Google 来到这里的人，就像我一样。

喏，

维托·苏萨

【讨论】：

一点建议：您正在使用 request.getSession(false) 并在其上调用 invalidate()。如果没有会话，request.getSession(false) 可能会返回 null。最好先检查它是否为空；）

@Vitor：嗨..你想谈谈什么时候从基于容器的安全性转移到像 shiro 或其他替代品这样的替代品是好的？在此处查看更多重点问题：***.com/questions/7782720/…

Glassfish JDBC 领域似乎不支持存储加盐密码哈希。在这种情况下使用它真的是最佳做法吗？

对不起，帮不了你。我不是 Glassfish 专家。也许在新线程中问这个问题，看看人们怎么说？

Lii，您可以使用 glassfish 容器处理盐渍。配置你的愈合不使用任何哈希。它将比较您在HttpServletResponse#login(user, password) 上为密码插入的纯值，这样您就可以从数据库中获取用户的盐、迭代以及您用于盐渍的任何内容，对用户使用该盐输入的密码进行哈希处理，然后询问容器使用HttpServletResponse#login(user, password) 进行身份验证。

【参考方案3】：

应该提到的是，将身份验证问题完全留给前端控制器是一个选项，例如Apache Webserver 并评估 HttpServletRequest.getRemoteUser() ，它是 REMOTE_USER 环境变量的 JAVA 表示。这也允许复杂的登录设计，例如 Shibboleth 身份验证。通过 Web 服务器过滤对 servlet 容器的请求对于生产环境来说是一个很好的设计，通常使用 mod_jk 来做到这一点。

【参考方案4】：

问题HttpServletRequest.login does not set authentication state in session 已在 3.0.1 中修复。将 glassfish 更新到最新版本即可。

更新非常简单：

glassfishv3/bin/pkg set-authority -P dev.glassfish.org
glassfishv3/bin/pkg image-update

【讨论】：

链接已损坏。你指的是哪个问题？