我的博客上最受欢迎的帖子之一是有关JDBC安全领域和带有Primefaces的GlassFish上基于表单的身份验证的简短教程。 在收到有关它不再适用于最新的GlassFish 3.1.2.2的评论后,我认为可能是时候重新访问它并提出更新的版本了。 开始了:
制备
就像在原始教程中一样,我将依靠某些东西。 确保安装了最新的NetBeans 7.3 beta2(包括GlassFish 3.1.2.2)和MySQL Community Server(5.5.x)。 您应该已经验证一切正常,并且可以启动GlassFish并且MySQL Server也已启动。
一些基础
GlassFish身份验证领域,也称为安全策略域或安全域,是GlassFish Server在其上定义和实施通用安全策略的范围。 GlassFish Server已预先配置了文件,证书和管理领域。 此外,您可以设置LDAP,JDBC,摘要,Oracle Solaris或自定义领域。 应用程序可以在其部署描述符中指定要使用的领域。 如果要将应用程序的用户凭据存储在数据库中,则首选是JDBC领域。
准备数据库
启动NetBeans并切换到“服务”选项卡。 右键单击“数据库”节点,然后选择“注册MySQL服务器”。 填写安装细节,然后单击“确定”。 右键单击新的MySQL节点,然后选择“连接”。 现在,您将看到所有已经可用的数据库。 再次右键单击并选择“创建数据库”。 输入“ jdbcrealm”作为新的数据库名称。 备注:我们不会用一个单独的数据库用户来完成所有这些工作。 强烈建议您这样做,但是我在此示例中使用的是root用户。 如果您有用户,还可以在此处授予对其的完全访问权限。 点击“确定”。 您将自动连接到新创建的数据库。 展开粗体节点,然后右键单击“表”。 选择“执行命令”或通过向导输入表格详细信息。
CREATE TABLE USERS (`USERID` VARCHAR(255) NOT NULL,`PASSWORD` VARCHAR(255) NOT NULL,PRIMARY KEY (`USERID`)
);CREATE TABLE USERS_GROUPS (`GROUPID` VARCHAR(20) NOT NULL,`USERID` VARCHAR(255) NOT NULL,PRIMARY KEY (`GROUPID`)
);
现在,这就是数据库的全部内容。 移至下一段。
让GlassFish了解MySQL
首先要做的是从撰写本文时的5.1.22的MySQL网站获取最新最好的MySQL Connector / J。 解压缩mysql-connector-java-5.1.22-bin.jar文件并将其放到您的域文件夹中(例如,glassfish \ domains \ domain1 \ lib)。 做完了 现在终于可以创建一个项目了。
基本项目设置
启动一个新的基于Maven的Web应用程序项目。 选择“新建项目”>“ Maven”>“ Web应用程序”,然后单击下一步。 现在输入一个名称(例如secureapp)和所有需要的maven坐标,然后单击下一步。 选择您配置的GlassFish 3+服务器。 选择Java EE 6 Web作为您的EE版本,然后点击“完成”。 现在我们需要在GlassFish域中添加更多配置。右键单击新创建的项目,然后选择``新建>其他> GlassFish> JDBC连接池''。 输入新连接池的名称(例如SecurityConnectionPool),并在“从现有连接中提取:”复选框下方,选择您注册的MySQL连接。 点击下一步。 查看连接池属性,然后单击“完成”。 现在,新创建的Server Resources文件夹显示了sun-resources.xml文件。 遵循步骤并创建一个“新建>其他> GlassFish> JDBC资源”,指向创建的SecurityConnectionPool(例如jdbc / securityDatasource)。您将在名为glassfish-resources.xml的文件“其他源/设置”下找到已配置的内容。 。 它与应用程序一起部署到您的服务器。 因此,您不必在乎使用GlassFish管理控制台配置所有内容。此外,我们仍然需要Primefaces。 右键单击您的项目,选择“属性”更改为“框架”类别,然后添加“ JavaServer Faces”。 切换到“组件”选项卡,然后选择“ PrimeFaces”。 单击“确定”完成。 您可以通过打开pom.xml并检查Primefaces依赖项来验证是否可行。 3.4应该在那里。 随时将版本更改为最新的3.4.2。
最终的GlassFish配置
现在是时候启动GlassFish并进行领域配置了。 在NetBeans中,再次切换到“服务”选项卡,然后右键单击“ GlassFish 3+”节点。 选择“开始”,并观察“输出”窗口是否成功启动。 再次右键单击并选择“查看域管理控制台”,这将打开默认的浏览器,指向您http:// localhost:4848 /。 选择“配置>服务器配置>安全性>领域”,然后单击表顶部的“新建…”。 输入名称(例如JDBCRealm),然后从下拉列表中选择com.sun.enterprise.security.auth.realm.jdbc.JDBCRealm。 在文本字段中填写以下值:
贾斯 | jdbcRealm |
日本国家发展研究院 | jdbc / securityDatasource |
用户表 | 使用者 |
用户名列 | 用户名 |
密码栏 | 密码 |
组表 | 团体 |
组名列 | 组的名字 |
保留所有其他默认值/空白,然后在右上角选择“确定”。 您会看到一个漂亮JavaScript警告窗口,该窗口告诉您_not_保留“摘要算法”字段为空。 我发现了一个关于它的错误。 默认为SHA-256。 与3.1之前使用MD5的GlassFish版本不同。 本教程的较旧版本完全不使用摘要算法(“无”)。 这是为了使事情变得容易,但根本不被认为是好的做法。 因此,即使开发,也请坚持使用SHA-256。
保护您的应用程序
完成配置环境。 现在,我们必须实际保护应用程序。 第一部分是考虑要保护的资源。 跳到您的Web页文件夹,然后再创建两个文件夹。 一个叫“管理员”,另一个叫“用户”。 其背后的想法是拥有两个单独的文件夹,属于相应组的用户可以访问这些文件夹。 现在我们必须创建一些页面。 打开Web Pages / index.xhtml并将h:body标记之间的所有内容替换为以下内容:
<h:body>Select where you want to go:<br /><h:link outcome='admin/index' value='To the admin section' /><br /><h:link outcome='users/index' value='To the user section' /></h:body>
现在,将新的index.xhtml添加到用户和admin文件夹。 让他们做这样的事情:
<h:body><h1>Hello Admin|User</h1><br /><h:link outcome='/index' value='Back to Homepage' /></h:body>
转到login.xhtml。 在Web文件夹的根目录中使用以下内容创建它。
<?xml version='1.0' encoding='UTF-8' ?>
<!DOCTYPE html PUBLIC '-//W3C//DTD XHTML 1.0Transitional//EN' 'http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd'>
<html xmlns='http://www.w3.org/1999/xhtml'xmlns:p='http://primefaces.org/ui'xmlns:h='http://java.sun.com/jsf/html'><h:head><title>Login Form</title></h:head><h:body><p:panel header='Login From'><form method='POST' action='j_security_check'>Username: <input type='text' name='j_username' />Password: <input type='password' name='j_password' /><br /><input type='submit' value='Login' /><input type='reset' value='Reset' /></form></p:panel></h:body>
</html>
如您所见,它具有基本的Primefaces p:panel组件,该组件具有简单的html形式,该形式指向预定义的动作j_security_check。 这就是所有魔力发生的地方。 您还必须包括两个用于用户名和密码的输入字段,并带有预定义的名称j_username和j_password。 现在,如果用户未输入正确的凭据,我们将创建显示的loginerror.xhtml。 (使用与上例相同的DOCTYPE和标头)。
<h:body><p:panel header='Login Error'>Sorry, you made an Error. Please try again: <a href='#{facesContext.externalContext.requestContextPath}/' >Login</a></p:panel></h:body>
唯一的魔术是登录锚的href链接。 我们需要获取正确的请求上下文,这可以通过访问faces上下文来完成。 如果没有适当权限的用户尝试访问文件夹,则会看到“ 403访问被拒绝”错误页面。 如果要自定义它,则需要添加它,并将以下几行添加到web.xml中:
<error-page>
<error-code>403</error-code>
<location>/faces/403.xhtml</location>
</error-page>
该片段定义了所有未经授权的请求都应转到403页。 如果您已经打开了web.xml,让我们开始保护您的应用程序。 我们需要为任何受保护的资源添加安全约束。 尽管安全约束对于Java EE Web应用程序的安全至关重要,但它对Web开发人员的了解却很少。 指定URL模式,HTTP方法,角色和传输约束的组合对于程序员或管理员而言可能是艰巨的。 重要的是要意识到,任何旨在安全但未通过安全约束指定的组合都将意味着Web容器将允许这些请求。 安全约束包括Web资源集合(URL模式,HTTP方法),授权约束(角色名称)和用户数据约束(是否需要通过受保护的传输(例如TLS)接收Web请求)。
<security-constraint><display-name>Admin Pages</display-name><web-resource-collection><web-resource-name>Protected Admin Area</web-resource-name><description></description><url-pattern>/faces/admin/*</url-pattern><http-method>GET</http-method><http-method>POST</http-method><http-method>HEAD</http-method><http-method>PUT</http-method><http-method>OPTIONS</http-method><http-method>TRACE</http-method><http-method>DELETE</http-method></web-resource-collection><auth-constraint><description/><role-name>admin</role-name></auth-constraint><user-data-constraint><transport-guarantee>NONE</transport-guarantee></user-data-constraint></security-constraint><security-constraint><display-name>All Access</display-name><web-resource-collection><web-resource-name>None Protected User Area</web-resource-name><description/><url-pattern>/faces/users/*</url-pattern><http-method>GET</http-method><http-method>POST</http-method><http-method>HEAD</http-method><http-method>PUT</http-method><http-method>OPTIONS</http-method><http-method>TRACE</http-method><http-method>DELETE</http-method></web-resource-collection><user-data-constraint><transport-guarantee>NONE</transport-guarantee></user-data-constraint></security-constraint>
如果必须定义约束,那么容器应如何挑战用户。 Web容器可以使用HTTP BASIC,HTTP DIGEST,HTTPS CLIENT或基于FORM的身份验证方案对Web客户端/用户进行身份验证。 在这种情况下,我们使用基于FORM的身份验证并定义JDBCRealm。
<login-config><auth-method>FORM</auth-method><realm-name>JDBCRealm</realm-name><form-login-config><form-login-page>/faces/login.xhtml</form-login-page><form-error-page>/faces/loginerror.xhtml</form-error-page></form-login-config></login-config>
领域名称必须是您之前分配的安全领域的名称。 关闭web.xml并打开sun-web.xml,以进行从应用程序角色名到数据库中实际组的映射。 这种抽象感觉很奇怪,但是有一些原因。 引入它是为了可以将应用程序角色映射到企业中的不同组名。 我从未见过广泛使用此功能,但是该功能已存在,您必须对其进行配置。 其他应用服务器的确假设没有映射,则角色名称和组名称确实匹配。 GlassFish不这么认为。 因此,您必须将以下内容放入glassfish-web.xml中。 您可以通过右键单击项目的WEB-INF文件夹来创建它,选择“新建>其他> GlassFish> GlassFish描述符”
<security-role-mapping><role-name>admin</role-name><group-name>admin</group-name></security-role-mapping>
就是说,基本上……您所需的一切都准备就绪。 唯一缺少的是数据库中的用户。 它仍然是空的……我们需要添加一个测试用户:
将测试用户添加到数据库
再次,我们首先右键单击NetBeans中“服务”选项卡上的jdbcrealm数据库。 选择“执行命令”并插入以下内容:
INSERT INTO USERS VALUES ('admin', '8c6976e5b5410415bde908bd4dee15dfb167a9c873fc4bb8a81f6f2ab448a918');
INSERT INTO USERS_GROUPS VALUES ('admin', 'admin');
您可以使用用户admin和密码admin登录并访问安全区域。 生成哈希的示例代码如下所示:
try {MessageDigest md = MessageDigest.getInstance('SHA-256');String text = 'admin';md.update(text.getBytes('UTF-8')); // Change this to 'UTF-16' if neededbyte[] digest = md.digest();BigInteger bigInt = new BigInteger(1, digest);String output = bigInt.toString(16);System.out.println(output);} catch (NoSuchAlgorithmException | UnsupportedEncodingException ex) {Logger.getLogger(PasswordTest.class.getName()).log(Level.SEVERE, null, ex);}
参考:来自JCG合作伙伴 Markus Eisele的GlassFish 3.1.2.2和Primefaces 3.4的JDBC领域和基于表单的身份验证,来自企业软件开发和Java博客。
翻译自: https://www.javacodegeeks.com/2013/02/jdbc-realm-and-form-based-authentication-with-glassfish-3-1-2-2-and-primefaces-3-4.html