JSF 2.0 (およびコンポーネントが存在する場合) を使用する Web アプリケーションのユーザー認証と、ユーザー情報が JPA に保持されている Java EE 6 コアメカニズム (ログイン/アクセス許可の確認/ログアウト) に関する現在のアプローチはどうなっているのか疑問に思っています。実在物。Oracle Java EE チュートリアルは、これに関して少しまばらです (サーブレットのみを処理します)。
これには、Spring-Security (acegi) や Seam などの他のフレームワーク全体を使用する必要はありませんが、可能であれば新しい Java EE 6 プラットフォーム (Web プロファイル) に固執しようとしています。
デプロイメント記述子と を使用したフォームベース認証が必要だと思います。j_security_check
チュートリアルで示されているように、事前に定義された同じフィールド名j_usernameを使用するだけで、JSF でもこれを行うことができます。j_password
例えば
<form action="j_security_check" method="post">
<h:outputLabel for="j_username" value="Username" />
<h:inputText id="j_username" />
<br />
<h:outputLabel for="j_password" value="Password" />
<h:inputSecret id="j_password" />
<br />
<h:commandButton value="Login" />
</form>
Userゲッターで遅延読み込みを実行して、Userがすでにログインしているかどうかを確認し、ログインしていない場合はPrincipalがリクエストに存在するかどうかを確認し、存在する場合は にUser関連付けられている を取得しj_usernameます。
package com.stackoverflow.q2206911;
import java.io.IOException;
import java.security.Principal;
import javax.faces.bean.ManagedBean;
import javax.faces.bean.SessionScoped;
import javax.faces.context.FacesContext;
@ManagedBean
@SessionScoped
public class Auth {
private User user; // The JPA entity.
@EJB
private UserService userService;
public User getUser() {
if (user == null) {
Principal principal = FacesContext.getCurrentInstance().getExternalContext().getUserPrincipal();
if (principal != null) {
user = userService.find(principal.getName()); // Find User by j_username.
}
}
return user;
}
}
はUser、JSF EL で明らかにアクセス可能#{auth.user}です。
ログアウトするには、 a を実行しますHttpServletRequest#logout()(そしてUsernull に設定します!)。HttpServletRequestで JSFの のハンドルを取得できますExternalContext#getRequest()。セッションを完全に無効にすることもできます。
public String logout() {
FacesContext.getCurrentInstance().getExternalContext().invalidateSession();
return "login?faces-redirect=true";
}
残りの部分 (デプロイメント記述子とレルムでのユーザー、ロール、および制約の定義) については、通常の方法で Java EE 6 チュートリアルとサーブレットコンテナーのドキュメントに従ってください。
更新: 新しいサーブレット 3.0を使用して、一部のサーブレット コンテナーのディスパッチャーが到達できない可能性があるものHttpServletRequest#login()を使用する代わりに、プログラムによるログインを行うこともできます。j_security_checkこの場合、完全な JSF フォームと、次のようなプロパティとusernameメソッドを備えた Bean を使用できます。passwordlogin
<h:form>
<h:outputLabel for="username" value="Username" />
<h:inputText id="username" value="#{auth.username}" required="true" />
<h:message for="username" />
<br />
<h:outputLabel for="password" value="Password" />
<h:inputSecret id="password" value="#{auth.password}" required="true" />
<h:message for="password" />
<br />
<h:commandButton value="Login" action="#{auth.login}" />
<h:messages globalOnly="true" />
</h:form>
そして、最初に要求されたページも記憶するこのビュー スコープのマネージド Bean は次のとおりです。
@ManagedBean
@ViewScoped
public class Auth {
private String username;
private String password;
private String originalURL;
@PostConstruct
public void init() {
ExternalContext externalContext = FacesContext.getCurrentInstance().getExternalContext();
originalURL = (String) externalContext.getRequestMap().get(RequestDispatcher.FORWARD_REQUEST_URI);
if (originalURL == null) {
originalURL = externalContext.getRequestContextPath() + "/home.xhtml";
} else {
String originalQuery = (String) externalContext.getRequestMap().get(RequestDispatcher.FORWARD_QUERY_STRING);
if (originalQuery != null) {
originalURL += "?" + originalQuery;
}
}
}
@EJB
private UserService userService;
public void login() throws IOException {
FacesContext context = FacesContext.getCurrentInstance();
ExternalContext externalContext = context.getExternalContext();
HttpServletRequest request = (HttpServletRequest) externalContext.getRequest();
try {
request.login(username, password);
User user = userService.find(username, password);
externalContext.getSessionMap().put("user", user);
externalContext.redirect(originalURL);
} catch (ServletException e) {
// Handle unknown username/password in request.login().
context.addMessage(null, new FacesMessage("Unknown login"));
}
}
public void logout() throws IOException {
ExternalContext externalContext = FacesContext.getCurrentInstance().getExternalContext();
externalContext.invalidateSession();
externalContext.redirect(externalContext.getRequestContextPath() + "/login.xhtml");
}
// Getters/setters for username and password.
}
このようにして、Userによって JSF EL にアクセスできます#{user}。
Web を検索してさまざまな方法を試した結果、Java EE 6 認証について次のように提案します。
私の場合、データベースにユーザーがいました。そこで、このブログ投稿に従って、データベース テーブル内のユーザー名と MD5 でハッシュされたパスワードに基づいてユーザーを認証できる JDBC レルムを作成しました。
http://blog.gamatam.com/2009/11/jdbc-realm-setup-with-glassfish-v3.html
注: この投稿では、データベース内のユーザーとグループ テーブルについて説明しています。javax.persistence アノテーションを介してデータベースにマップされた UserType enum 属性を持つ User クラスがありました。userType 列をグループ列として使用して、ユーザーとグループに同じテーブルを使用してレルムを構成したところ、正常に機能しました。
上記のブログ投稿に引き続き、web.xml と sun-web.xml を構成しますが、BASIC 認証を使用する代わりに FORM を使用します (実際、どちらを使用してもかまいませんが、最終的に FORM を使用することになりました)。JSF ではなく、標準の HTML を使用します。
次に、上記の BalusC のヒントを使用して、データベースからユーザー情報を遅延初期化します。彼は、faces コンテキストからプリンシパルを取得するマネージド Bean でそれを行うことを提案しました。代わりに、ステートフル セッション Bean を使用して各ユーザーのセッション情報を保存したので、セッション コンテキストを注入しました。
@Resource
private SessionContext sessionContext;
プリンシパルを使用すると、ユーザー名を確認し、EJB エンティティ マネージャーを使用してデータベースからユーザー情報を取得し、SessionInformationEJB に格納できます。
また、ログアウトする最良の方法を探しました。私が見つけた最高のものは、サーブレットを使用することです:
@WebServlet(name = "LogoutServlet", urlPatterns = {"/logout"})
public class LogoutServlet extends HttpServlet {
@Override
protected void service(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
HttpSession session = request.getSession(false);
// Destroys the session for this user.
if (session != null)
session.invalidate();
// Redirects back to the initial page.
response.sendRedirect(request.getContextPath());
}
}
質問の日付を考えると私の答えは本当に遅れていますが、これが私と同じようにGoogleからここにたどり着いた他の人々に役立つことを願っています.
チャオ、
ビトル・ソウザ
認証の問題をフロントコントローラー(Apache Webサーバーなど)に完全に任せ、代わりにHttpServletRequest.getRemoteUser()を評価するオプションであることに注意してください。これはREMOTE_USER環境変数のJAVA表現です。これにより、Shibboleth認証などの高度なログイン設計も可能になります。Webサーバーを介したサーブレットコンテナへのリクエストのフィルタリングは、実稼働環境に適した設計であり、多くの場合、mod_jkを使用してフィルタリングします。
HttpServletRequest.login がセッションで認証状態を設定しないという問題は、3.0.1 で修正されました。glassfish を最新バージョンに更新すれば完了です。
更新は非常に簡単です。
glassfishv3/bin/pkg set-authority -P dev.glassfish.org
glassfishv3/bin/pkg image-update