永続化のために JPA (Postgresql を使用) でPicketlink ( 2.6.0.Final ) を使用しています。また、次の基準で初期化子を実装しました。
@Singleton
@Startup
public class Initialiser {
@Inject
private PartitionManager partitionManager;
// Create users
@PostConstruct
public void createUsers()
{
try {
createUser("admin", new String[]{RoleConstants.BASIC});
} catch (Exception ex ) {} // Ignore error
try {
createUser("paul", new String[]{RoleConstants.BASIC, RoleConstants.IS_ADMIN});
} catch (Exception ex ) {} // Ignore error
}
private void createUser(String loginName, String[] roles)
{
User user = new User(loginName);
IdentityManager identityManager = this.partitionManager.createIdentityManager();
identityManager.add(user);
identityManager.updateCredential(user, new Password(loginName + "Test"));
for (String role: roles) {
Role xrole = new Role(role);
identityManager.add(xrole);
RelationshipManager relationshipManager = this.partitionManager.createRelationshipManager();
grantRole(relationshipManager, user, xrole);
}
}
}
war私をWildflyにデプロイした後、構成されたpostgresqlデータベースにユーザーが作成されているのがaccounttypeentityテーブルに表示されます。IdentityQueryそして、通常の JPA アプローチ (ルックアップ経由) を使用して、これらのユーザー アカウントをクエリして見つけることができます。
問題:
PL を使用して Restful API (JAX-RS を使用して実装) を保護しています。エンドポイントの呼び出し元にログイン セッションがあるかどうか、および関連するユーザー アカウントに必要なロールがあるかどうかを確認するためのカスタム アノテーションで各エンドポイントを装飾します (各エンドポイントは必要なロールをアノテーションの一部として渡します)。
さて、問題は、ユーザーがログインしているidentity.isLoggedIn() == true場合でも、このユーザーが必要なロールで初期化時に作成したユーザーの 1 つである場合でも、このユーザーが必要なロールを持っているかどうかを確認する呼び出しが失敗することです! 本質的なコードは次のとおりです。
hasRole(relationshipManager, user, getRole(identityManager, role)
また、カスタム アノテーションの定義全体は次のとおりです。
@ApplicationScoped
public class CustomAuthorizer {
Logger log = Logger.getLogger(CustomAuthorizer.class);
@Inject
Identity identity;
@Inject
IdentityManager identityManager;
@Inject
RelationshipManager relationshipManager;
/**
* This method is used to check if classes and methods annotated with {@link BasicRolesAllowed} can perform
* the operation or not
*
* @param identity The Identity bean, representing the currently authenticated user
* @param identityManager The IdentityManager provides methods for checking a user's roles
* @return true if the user can execute the method or class
* @throws Exception
*/
@Secures
@BasicRolesAllowed
public boolean hasBasicRolesCheck(InvocationContext invocationContext) throws Exception {
log.error("** Checking roles...");
BasicRolesAllowed basicRolesAllowed = getAnnotation(invocationContext,BasicRolesAllowed.class);
String[] requiredRoles = basicRolesAllowed.value();// get these from annotation
Identity identity = getIdentity();
if((requiredRoles.length > 0) && (!getIdentity().isLoggedIn()))
{
log.error("** User Not Logged In: can't pass role checking...");
return false;
}
boolean isAuthorized = true;
User user = (User) getIdentity().getAccount();
for (String role : requiredRoles) {
isAuthorized = isAuthorized && hasRole(relationshipManager, user, getRole(identityManager, role));
log.info(String.format("User:%s | Role: %s | Has?: %s", user, role, isAuthorized));
}
return isAuthorized;
}
private <T extends Annotation> T getAnnotation(InvocationContext invocationContext, Class<T> annotationType) {
Class unproxiedClass = getUnproxiedClass(invocationContext.getTarget().getClass());
T annotation = (T) unproxiedClass.getAnnotation(annotationType);
Method invocationContextMethod = invocationContext.getMethod();
if (annotation == null) {
annotation = invocationContextMethod.getAnnotation(annotationType);
}
if (annotation == null) {
throw new IllegalArgumentException("No annotation [" + annotationType + " found in type [" + unproxiedClass + "] or method [" + invocationContextMethod + ".");
}
return annotation;
}
private Identity getIdentity() {
return this.identity;
}
}
だから、私は少しごまかして、3 つの質問を (1 つに) 提示します。
- picketlink が、作成したユーザーに割り当てたロールを保持していることを実際に確認するにはどうすればよいですか?
- これらの割り当てられたロールは、データベース (または他の場所) のどこに保存されているので、確認できますか?
- ユーザー ロールを間違った方法でチェックしている場合 (私のコードを参照)、どうすれば修正できますか?