1

GlassFish 3.1.2 に移行していますが、認証の問題を解決できないようです。

議題は単純です。ログイン Bean でユーザーのプログラムによる認証を行う必要があります。認証は機能しているように見えます (コードは login() メソッドを通過します) が、サーバーは保護されたリソースに対して 403 を表示してしまいます...助けてください :)

詳細はこちら。名前とパスのペアを含む純粋な JSF ログイン ページがあります。

<ui:composition xmlns="http://www.w3.org/1999/xhtml"
    xmlns:h="http://java.sun.com/jsf/html"
    xmlns:f="http://java.sun.com/jsf/core"
    xmlns:ui="http://java.sun.com/jsf/facelets"
    xmlns:p="http://primefaces.org/ui" template="/templates/main.xhtml">

    <ui:define name="body">
        <h:form id="form">
            <p:messages />

            <p:panel>
                <h:panelGrid>
                    <h:outputText value="User Name" />
                    <p:inputText value="#{loginBean.userName}" id="userName"
                        required="true" />
                    <p:message for="userName" />

                    <h:outputText value="Password" />
                    <p:password value="#{loginBean.password}" id="password"
                        required="true" />
                    <p:message for="password" />

                </h:panelGrid>

                <h:panelGrid columns="2">
                    <p:commandButton value="Clear"
                        actionListener="#{loginBean.clear()}" ajax="false" />

                    <p:commandButton value="Login" action="#{loginBean.login()}"
                        ajax="false" />
                </h:panelGrid>
            </p:panel>
        </h:form>
    </ui:define>
</ui:composition>

およびログインを実行する Bean

@Named("loginBean")
@SessionScoped
public class LoginBean implements Serializable {

    private static final long serialVersionUID = 1L;

    @Inject
    @Named("dao")
    private Dao dao;

    private String userName;

    private String password;

    @Inject
    private UserBean userBean;

    ...

    public String login() {
        HttpServletRequest request = (HttpServletRequest) FacesContext
                .getCurrentInstance().getExternalContext().getRequest();

        try {
            request.login(getUserName(), getPassword());

            Principal principal = request.getUserPrincipal();

            logger.info("Logged in successfully: " + principal);
        } catch (ServletException e) {
            Messages.addError("Invalid user name or password.");
            return null;
        }

        User user = dao.findSingle("SELECT u FROM User AS u WHERE u.name = ?1",
                getUserName());

        if (user == null) {
            logger.severe("Unable to find user record after successful authentication");

            Messages.addError("Unable to load user record");
            try {
                request.logout();
            } catch (ServletException e) {
                logger.log(Level.SEVERE, "Unable to logout after failed login attempt", e);
            }
            return null;
        }

        getUserBean().setUser(user);

        return "/list/list.xhtml?faces-redirect=true";
    }

    ... 

    accessors

    ...
}

これが私のweb.xmlです

<?xml version='1.0' encoding='UTF-8'?>

<web-app version="3.0" xmlns="http://java.sun.com/xml/ns/javaee"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd">

    <display-name>GM</display-name>

    <context-param>
        <param-name>javax.faces.PROJECT_STAGE</param-name>
        <param-value>Development</param-value>
    </context-param>

    <!-- Faces Servlet -->
    <servlet>
        <servlet-name>Faces Servlet</servlet-name>
        <servlet-class>javax.faces.webapp.FacesServlet</servlet-class>
        <load-on-startup>1</load-on-startup>
    </servlet>

    <servlet-mapping>
        <servlet-name>Faces Servlet</servlet-name>
        <url-pattern>*.xhtml</url-pattern>
    </servlet-mapping>

    <login-config>
        <realm-name>gmRealm</realm-name>
    </login-config>

    <security-role>
        <role-name>user</role-name>
    </security-role>

    <security-role>
        <role-name>admin</role-name>
    </security-role>

    <security-constraint>
        <web-resource-collection>
            <web-resource-name>Protected Area</web-resource-name>
            <url-pattern>/list/*</url-pattern>
        </web-resource-collection>
        <auth-constraint>
            <role-name>user</role-name>
        </auth-constraint>
    </security-constraint>

    <security-constraint>
        <web-resource-collection>
            <web-resource-name>Admin Area</web-resource-name>
            <url-pattern>/admin/*</url-pattern>
        </web-resource-collection>
        <auth-constraint>
            <role-name>admin</role-name>
        </auth-constraint>
    </security-constraint>

    <welcome-file-list>
        <welcome-file>login.xhtml</welcome-file>
    </welcome-file-list>

</web-app>

プロジェクトのフォルダー構造は次のとおりです。

フォルダ構造

ここで説明したように、レルムをセットアップすることもできました: http://blog.gamatam.com/2009/11/jdbc-realm-setup-with-glassfish-v3.html

空想はありません、AFAICT。

ただし、ログインに成功した後、保護されたリソースに到達すると、次のようになります。

HTTP Status 403 - Access to the requested resource has been denied

サーバーログに次のメッセージが含まれているにもかかわらず:

INFO: Logged in successfully: nick

また、login() メソッドの戻り値から「?faces-redirect=true」を削除すると、最初の保護されたリソースはログイン直後に問題なくレンダリングされますが、その後のすべてのリクエストは 403 で失敗します。

デバッガーに表示される内容は次のとおりです。

デバッグ ビュー

また、宿題を終えたと思います。

j_security_checkを使ってJava EE/JSFでユーザー認証を行う

Servlet 3.0 を使用してログインをプログラムで制御する

JSF 2.0 シンプルログインページ

Glassfish 3 セキュリティ - JDBC レルムを使用したフォーム ベースの認証

助けてください...

4

2 に答える 2

0

ああ、これは展開に特化しすぎていると思います。TomcatスタックのSpringでプロトタイプを再調整することになりました。今では魅力のように機能します:)。

于 2012-08-20T18:26:53.433 に答える
-1

春のセキュリティではjsfリソースが許可されていないと思います。http タグの security.xml に次の行を追加します。

<http .........>
    <intercept-url pattern="/javax.faces.resource/**" access="permitAll"/>
</http>
于 2016-08-24T06:21:13.807 に答える