primefaces

我会不时查看我博客上最受欢迎的内容，并尝试最好地满足您的需求。 因此，阅读我的博客是其他读者推动内容的一种方式。 另一种方法是通过评论或电子邮件与我联系。 今天，我将使用Primefaces修改我的JDBC Realm示例并将其更新到最新的WildFly服务器。

准备工作

第一步是下载最新的WildFly 8.2.0.Final并将其解压缩（我正在使用Java EE7完整版和Web发行版）到您选择的位置。 还要确保已安装，启动并正在运行MySQL Community Server（5.6.22） 。 我将使用NetBeans 8.0.2，因为版本号恰好适合WildFly :)并且您还应该下载最新的MySQL Connector / J （5.1.34）。

一些基础

WildFly 8.x使用PicketBox和JAAS的组合作为WildFly客户端和服务器安全机制。 所谓的“安全子系统”完全涵盖了该配置。 安全子系统通过使用与当前请求关联的安全上下文进行操作，然后此安全上下文向相关容器提供来自已配置安全域的许多功能，所公开的功能是身份验证管理器，授权管理器，审计管理器和一个映射管理器。 可以在WildFly文档中找到更多详细信息。 好消息是，您不必一次深入研究所有细节，因为我只关注配置的一个元素，而这正是部署特定配置所必需的。 这些是安全域 。 需要在任何相关的服务器配置文件（standalone.xml / standalone-full.xml /等）中进行配置。 默认情况下，配置了“其他”，“ jboss-ejb-policy”和“ jboss-web-policy”安全域。 请注意，这与您的应用程序完全相关，我将在一分钟内研究一下配置。 如果您正在寻找一种保护其他接口的方法，则需要研究如何保护管理接口 。 我最近有一篇有关如何使用undertow设置ssl / tls的博客文章。

新增使用者

由于我将大量使用admin-console，请确保首先将admin-user添加到管理领域。 ％JBOSS_HOME％/ bin / add-user.sh | .bat将引导您完成此过程。

WildFly和MySQL

要在应用程序中使用数据库持久化的用户名/密码/角色进行身份验证和授权，首先需要的是数据库。 并且这需要在WildFly中进行部署和配置。 有两种安装兼容JDBC4的驱动程序的方法：将其部署为任何其他应用程序包，或将其安装为模块。 任何兼容JDBC 4的驱动程序都将通过名称和版本自动识别并安装到系统中。 对于不兼容的驱动程序，请参阅WildFly文档 。

从存档中提取mysql-connector-java-5.1.34-bin.jar并转到WildFly管理控制台，然后选择“部署”并按“添加”按钮。 现在选择jar并在最后一个向导步骤中启用它。 现在切换到“配置”>“连接器”>“数据源”，然后按“添加”按钮。 输入名称（“ UserDS”）和JNDI名称（“ java：jboss / datasources / UserDS”。在下一页上，选择检测到的驱动程序“ mysql-connector-java-5.1.34-bin.jar_com.mysql.jdbc” .Driver_5_1”，并在最后一步中，需要配置实例的连接URL，用户和密码。在我的情况下，架构名称为“ wildfly”，连接URL为“ jdbc：mysql：// localhost：3306 / wildfly ”。

成功测试连接后，继续并启用它。 现在，您可以配置其余的了。

准备数据库

在我进一步研究安全域配置之前，数据库需要一些表供我们使用。 至少，这些用户应该能够保留登录名，密码和角色。 但是，我将在这里使用的数据库登录模块非常灵活，它允许您配置一个SQL查询以返回那些。 这意味着，您可以重复使用包含各种用户相关信息的相同应用程序用户数据库，只需为登录模块指定所需SQL以返回正确的信息即可。 在此示例中，这将是一个非常简单的设置，其中包含两个表，这些表恰好包含数据库登录模块所需的最少信息。

CREATE TABLE Users(username VARCHAR(255) PRIMARY KEY, passwd VARCHAR(255))
CREATE TABLE UserRoles(username VARCHAR(255), role VARCHAR(32))

这里要明确：这是一个非常简单的示例。 它在数据库级别上不包含很多检查，并且是您可能拥有的最简单的模型。 如果不添加一些外键和进一步的约束，我就不会在生产中使用它。

下一步，至少要有一个用户填写表格以进行测试。 为此，我们需要确定应使用的MessageDigest算法。 网络上有许多样本试图暗示MD5是一种加密任何内容的可行方法。 这不是真的。 它必须至少为SHA-256或更高。 JDK 8引入了SHA-512，但似乎不适用于此版本的WildFly，因此我将其退回到SHA-256。 因此，在添加用户之前，我们需要一种使用SHA-256加密密码的方法。 值得庆幸的是，PicketBox中埋有一个不错的小工具，您可以通过命令行使用它：

java -cp %JBOSS_HOME%\modules\system\layers\base\org\picketbox\main\picketbox-4.0.21.Final.jar org.jboss.security.Base64Encoder <password> <MessageDigest>

输出是base64编码的密码。 对于带MessageDigest“ SHA-256”的密码“ admin”，它是：jGl25bVBBBW96Qi9Te4V37Fnqchz / Eu4qB9vKrRIqRg =

现在是时候对数据库进行一些插入了：

INSERT INTO `wildfly`.`user` (`username`, `passwd`) VALUES ('myfear', 'jGl25bVBBBW96Qi9Te4V37Fnqchz/Eu4qB9vKrRIqRg=');INSERT INTO `wildfly`.`userroles` (`unsername`, `role`) VALUES ('myfear', 'ADMIN');

这是WildFly的最后一步。 返回服务器配置，然后转到示例应用程序。

在WildFly中配置安全域

确保您的WildFly实例已关闭并打开配置xml（例如standalone.xml）进行编辑。 现在找到<security-domains>标记，并为其添加一个新的安全域：

<security-domain name="secureDomain" cache-type="default"><authentication><login-module code="Database" flag="required"><module-option name="dsJndiName" value="java:jboss/datasources/UserDS"/><module-option name="principalsQuery" value="select passwd from Users where username=?"/><module-option name="rolesQuery" value="select role, 'Roles' from UserRoles where username=?"/><module-option name="hashAlgorithm" value="SHA-256"/><module-option name="hashEncoding" value="base64"/></login-module></authentication></security-domain>

启动您的实例，然后很快查看是否一切正常。 转到我的GitHub帐户上的SimpleJDBCRealmWildFly ，然后在NetBeans中打开它。

调整Web应用程序

您会注意到，在此Web应用程序中没有很多要看的东西。 它在网页文件夹中包含两个不同的文件夹：“ admin”和“ users”。 “ admin”文件夹应该受到保护，这是通过在web.xml中添加相关的<security-constraint>来完成的。 <auth-contraint>是角色名称“ admin”。 比较完整的web.xml以获取详细信息，如果有疑问，请确保与我以前的帖子中有关所有细节的工作方式进行核对。 唯一仍然开放的是如何将部署链接到安全域“ secureDomain”。 这是在jboss-web.xml描述符中完成的。

<jboss-web><security-domain>secureDomain</security-domain>
</jboss-web>

这就是开始所需要的所有魔术。 如果现在尝试访问示例应用程序的admin部分，则系统会提示您一个登录表单。

角色组映射呢？

这是一个非常简单的示例，我决定不添加角色组映射。 实际上，该通用概念允许将开发人员角色从生产中的管理/操作角色中进一步抽象出来。 有一些方法可以实际执行此操作。 我将在后面详细介绍如何添加它。 到目前为止，请确保对web.xml中的<role-name>元素和用户的数据库角色条目使用相同的大小写。 在此示例中，两者均以大写字母“ ADMIN”书写。

故障排除技巧

你会遇到麻烦的。 因为许多的原因。 缓存是一个。 如果您确实在数据库中更改了角色名称，并且您已经对用户进行了身份验证，则很可能看不到更新。 您可以从安全域定义中删除cache-type =“ default”属性，并使用no-cache运行。

错误消息也是另一个有用的信息。 出于安全原因，在INFO模式下记录的内容很少。 确保添加安全记录器并将日志子系统中控制台记录器的日志级别更改为TRACE：

<logger category="org.jboss.security"><level name="TRACE"/></logger>

您最喜欢的浏览器的“隐身功能”更加有用。 这将阻止您再次使用相同的凭据运行，而您要做的就是使用其他帐户。 但这也可以通过注销轻松解决。 但这是下一篇文章的另一个重要主题。

翻译自: https://www.javacodegeeks.com/2015/02/jdbc-realm-and-form-based-authentication-with-wildfly-8-2-0-final-primefaces-5-1-and-mysql-5.html

primefaces