使用j_security_check在Java EE / JSF中执行用户身份验证
我想知道当前的方法是关于使用JSF 2.0(以及是否存在任何组件)和Java EE 6核心机制(登录/检查许可权/注销)的Web应用程序的用户身份验证,并将用户信息保存在JPA中实体。Oracle Java EE教程对此有点稀疏(仅处理servlet)。
这并没有利用诸如Spring-Security(acegi)或Seam之类的其他框架,而是尽可能地希望使用新的Java EE 6平台(Web Profile)。
问题答案:
我想您想要使用部署描述符和的 基于表单的身份验证。j_security_check
您也可以在JSF中通过使用相同的预定义字段名来完成此操作j_username,j_password如本教程中所示。
例如
<form action="j_security_check" method="post">
<h:outputLabel for="j_username" value="Username" />
<h:inputText id="j_username" />
<br />
<h:outputLabel for="j_password" value="Password" />
<h:inputSecret id="j_password" />
<br />
<h:commandButton value="Login" />
</form>
您可以在Usergetter中进行延迟加载,以检查是否User已经登录,如果尚未登录,则检查Principal请求中是否存在,如果已登录,则获取与的User关联j_username。
package com.stackoverflow.q2206911;
import java.io.IOException;
import java.security.Principal;
import javax.faces.bean.ManagedBean;
import javax.faces.bean.SessionScoped;
import javax.faces.context.FacesContext;
@ManagedBean
@SessionScoped
public class Auth {
private User user; // The JPA entity.
@EJB
private UserService userService;
public User getUser() {
if (user == null) {
Principal principal = FacesContext.getCurrentInstance().getExternalContext().getUserPrincipal();
if (principal != null) {
user = userService.find(principal.getName()); // Find User by j_username.
}
}
return user;
}
}
该User是由JSF EL明显访问#{auth.user}。
要注销,请执行一HttpServletRequest#logout()(并设置User为null!)。您可以通过来获取HttpServletRequestJSF中的句柄ExternalContext#getRequest()。您也可以完全使会话无效。
public String logout() {
FacesContext.getCurrentInstance().getExternalContext().invalidateSession();
return "login?faces-redirect=true";
}
对于剩余部分(在部署描述符和领域中定义用户,角色和约束),只需按照通常的方式遵循Java EE 6教程和servletcontainer文档。
更新:您还可以使用新的Servlet3.0HttpServletRequest#login()进行程序化登录,而不是使用j_security_check某些Servlet容器中的调度程序本身可能无法访问的登录方式。在这种情况下,您可以使用完全有价值的JSF表单以及具有username和password属性以及login方法的Bean,如下所示:
<h:form>
<h:outputLabel for="username" value="Username" />
<h:inputText id="username" value="#{auth.username}" required="true" />
<h:message for="username" />
<br />
<h:outputLabel for="password" value="Password" />
<h:inputSecret id="password" value="#{auth.password}" required="true" />
<h:message for="password" />
<br />
<h:commandButton value="Login" action="#{auth.login}" />
<h:messages globalOnly="true" />
</h:form>
这个视图的作用域为托管bean,它也记住了最初请求的页面:
@ManagedBean
@ViewScoped
public class Auth {
private String username;
private String password;
private String originalURL;
@PostConstruct
public void init() {
ExternalContext externalContext = FacesContext.getCurrentInstance().getExternalContext();
originalURL = (String) externalContext.getRequestMap().get(RequestDispatcher.FORWARD_REQUEST_URI);
if (originalURL == null) {
originalURL = externalContext.getRequestContextPath() + "/home.xhtml";
} else {
String originalQuery = (String) externalContext.getRequestMap().get(RequestDispatcher.FORWARD_QUERY_STRING);
if (originalQuery != null) {
originalURL += "?" + originalQuery;
}
}
}
@EJB
private UserService userService;
public void login() throws IOException {
FacesContext context = FacesContext.getCurrentInstance();
ExternalContext externalContext = context.getExternalContext();
HttpServletRequest request = (HttpServletRequest) externalContext.getRequest();
try {
request.login(username, password);
User user = userService.find(username, password);
externalContext.getSessionMap().put("user", user);
externalContext.redirect(originalURL);
} catch (ServletException e) {
// Handle unknown username/password in request.login().
context.addMessage(null, new FacesMessage("Unknown login"));
}
}
public void logout() throws IOException {
ExternalContext externalContext = FacesContext.getCurrentInstance().getExternalContext();
externalContext.invalidateSession();
externalContext.redirect(externalContext.getRequestContextPath() + "/login.xhtml");
}
// Getters/setters for username and password.
}
这样,User可以在JSF EL中访问#{user}。
-
这是服务到服务身份验证中概述的规则的一个例外吗?该规则规定需要设置为接收服务的url(例如https://xxxxx.run.app)。和是一回事吗? 最后,除了使用googlecloudsdk(即imaging不存在)之外,是否还有其他方法使用用户帐户而不是服务帐户进行身份验证?
-
PS:我知道我可以使用一个额外的基于sAMAccountName的LDAP查询来获得用户的完整LDAP帐户,但是这将需要一个不必要的第二个LDAP查询,并且还需要将LDAP配置从Weblogic复制到我的应用程序中。
-
问题内容: 在我的iOS应用程序中,我想使用WKWebView在应用程序中包装外部URL 。此URL需要基本身份验证(它需要用户和密码凭据,如以下屏幕截图所示)。 经过一番调查,我尝试使用 didReceiveAuthenticationChallengemethod来启用自动 登录,因此我不了解它的工作原理。 这是我的代码。 I’m facing with this exception: If
-
问题内容: 我有一个SSIS包,可通过HTTP与远程服务器通信。我使用数据库中的存储过程(SQL Server 2012)执行SSIS包,该存储过程是从Web服务器调用的。Web服务器使用Windows身份验证连接到数据库。现在,我需要从不支持Windows身份验证的客户端运行存储过程(以及SSIS程序包)。SSIS程序包非常复杂,以至于无法移植到其他解决方案。 SSIS程序包具有传递的复杂变量。
-
问题内容: 我正在尝试为我的支票写支票。但是该函数本身并未被调用。有人可以给我一些解决方案吗?我正在用ReactJs开发。 这是路线部分: 这是功能: 问题答案: 在,你可以利用来与生命周期方法一起更换功能存在于反应路由器V3。 查看此答案以获取更多详细信息: react-router v4中的onEnter prop 但是,由于您要做的只是在onEnter道具中进行身份验证,因此您可以轻松创建一
-
该应用程序应该接受用户电子邮件和密码,并使用Firebase身份验证作为后端。我使用像素2作为模拟器。每次应用程序处理登录功能时,它都会崩溃。 下面是Java文件和gradle文件 Java文件: