我想创建(由我自己实现)身份验证机制,它将是 插入我的 Java EE 应用程序。
据我所知,我必须实现 LoginModule 并将此实现与 不知何故的容器机制。但问题是我不知道该怎么做。 也许你知道我在哪里可以找到有关它的示例代码或教程?
换句话说,我想强制容器在任何时候调用我的类: 会调用身份验证、登录和注销。
示例实现: HttpServletRequest.login 方法将成功验证登录时只有偶数个字母的用户。
【问题讨论】:
标签: security jboss7.x java-ee-6 java-ee-7 wildfly
我相信独立于容器的方法是使用 JASPIC (JSR 196)。不幸的是,它看起来并不简单、健壮或记录得特别好。这是一个参考:http://arjan-tijms.blogspot.com/2012/11/implementing-container-authentication.html。
【讨论】:
在阅读了 JAAS 之后,您应该基于 org.jboss.security.auth.spi.AbstractServerLoginModule(来自 org.picketbox/picketbox maven artifact )。然后将模块部署到您的应用中,并在 WildFly 的standalone.xml 中创建适当的安全域和领域,如下所示:
<security-domain name="myDomain" cache-type="default">
<authentication>
<login-module code="com.example.TestLoginModule" flag="required"
module="deployment.sample.jar"/>
</authentication>
</security-domain>
...
<security-realm name="MyRealm">
<authentication>
<jaas name="myDomain"/>
</authentication>
</security-realm>
注意不同 JBoss AS 版本上的不同行为。 7.1.1 不允许您部署登录模块,您必须创建一个单独的 jboss 模块并将其与 org.picketbox 和 jboss.security 模块绑定。
补充阅读: https://docs.jboss.org/author/display/WFLY8/Security+subsystem+configuration
https://docs.jboss.org/author/display/WFLY8/Security+Realms
http://java.dzone.com/articles/creating-custom-login-modules(有点过时,但给出了主要思想)
【讨论】:
你应该研究 JAAS。
维基百科给出了一个很好的概述: http://en.m.wikipedia.org/wiki/Java_Authentication_and_Authorization_Service
这将提供您需要的所有信息和教程: http://docs.oracle.com/javase/7/docs/technotes/guides/security/
示例应用教程: http://download.java.net/jdk8/docs/technotes/guides/security/jaas/tutorials/GeneralAcnOnly.html
并在 SO 中查看: JAAS for human beings
【讨论】: