0

私のWebアプリでは、フォームベースのログインを使用しています。login-config.xmlに設定されたテーブルのデータに加えて、別のデータベースに存在するユーザーを検証する必要があるシナリオがあります。

だから、私はこの流れを考えていました:

ユーザーはセキュリティで保護されたリソースにアクセスしようとします->アクティブなセッションがない場合はログインフォームにリダイレクトされます->ユーザーは自分の資格情報を入力します->j_security_checkはlogin-config.xmlに従って認証します->認証が成功した場合は正常に、そうでない場合はリダイレクトしますjspエラーページ。ユーザーが他のDBに存在するかどうかを確認し(具体的にはActive Directory。資格情報を検証するためのコードが既にあります)、成功時にセッションを作成します->それ以外の場合はエラーページにリダイレクトします

上で太字で強調表示されている部分は可能ですか?

いくつかの記事を読んだことがありますが、j_security_checkに認証が与えられると、それを覆す方法はありません。それは本当ですか?

この問題に対する他の可能な解決策はありますか(login-config.xmlで指定されたテーブルに他のデータベースからユーザーを追加したり、login-config.xmlを変更したりすることは別として)??

(私はJbossを使用しています)

ありがとう。

4

1 に答える 1

0

j_security_checkの後にユーザーがリダイレクトされるURLをキャッチするサーブレットフィルターを作成します。このフィルターで、他のデータベースのユーザー資格情報を確認します。

チェックが成功した場合は、その事実を反映するセッションブール値に追加します。チェックが失敗した場合は、セッションを削除し(HttpSession.invalidate()メソッド)、ユーザーをエラーページにリダイレクトします。

おそらく、フィルターは認証を必要とするすべてのURLをキャッチします。フィルタでは、ブールフラグがあるかどうかをチェックするため、データベースチェックを何度も実行する必要はありません。

于 2012-04-23T21:53:36.150 に答える