gpt4 book ai didi

tomcat - Undertow 是否具有与 Tomcat Web 身份验证等效的 Web 层身份验证?

转载 作者:行者123 更新时间:2023-11-28 23:58:34 25 4
gpt4 key购买 nike

这可能是“XY 问题”问题的实例;如果是,请随时通过更正我的假设来回答。


更新:有一次,我曾尝试通过执行 loginRequest.login(username, password); 来使用 HttpServletRequest,但那不会编译,产生编译在 HttpServletRequest 中找不到关于 login(String, String) 的错误,所以我放弃了那个角度。然而,我刚刚找到一个 article which suggests that this is the correct change to make ,所以我又回到了那条路上。

有人告诉我,也许我使用的是该类的旧版本。我的编译时类路径中可能有旧的 HttpServletRequest。我现在正在调查。


从 Tomcat(在 JBoss 5 中)切换到 Undertow(在 JBoss 7 中)后,我们的用户身份验证页面被破坏了。

我们有一个 HttpServlet,它曾经在 JBoss 5 的 Tomcat Web 服务器中运行。因此,它使用 Tomcat 的 WebAuthentication,如下所示:

import org.jboss.web.tomcat.security.login.WebAuthentication;
import java.io.IOException;
import javax.servlet.http.*;
// ... import etc.

public class MyHttpServlet extends HttpServlet
{
private void loginCase( HttpServletRequest loginRequest,
HttpServletResponse loginResponse ) throws ServletException, IOException, RemoteException
{
String username;
String password;

// ... other stuff

// Authenticate with the web tier. This invokes the MyLoginModule,
// which uses the user database tables to authenticate and establish
// the user's role(s). This servlet does role checking, but this step
// is necessary to get the user's credentials into the container, which
// secures remote EJBs. If this is not done, the servlets and JSPs will
// not be able to properly access secured EJBs.
WebAuthentication webAuth = new WebAuthentication();
boolean loginResult = webAuth.login(username, password);

// ...
}
}

紧接在使用 WebAuthentication 之前的评论,即关于使用 web 层进行身份验证的评论,不是我添加的。那是在原始代码中,看起来它是关于为什么选择 WebAuthentication 作为身份验证机制的解释。

我的理解是 Undertow/JBoss7 不再有可用的 WebAuthentication 类。

在运行时,当用户提交他们的名称/密码条目时,会有一个 ClassNotFoundException 消息 org.jboss.web.tomcat.security.login.WebAuthentication from [module "deployment .myproject.ear.viewers.war"来自服务模块加载器]

现在我们无法再访问 WebAuthentication(我什至将包含必要类的 Tomcat 中的 jar 文件复制到我的 .ear 文件的 lib/目录中,但 Undertow 似乎并不理解这一点并且我遇到了不同的错误),我正在寻找替代品。

我的理解是我只需要让用户通过 Web 层进行身份验证,本质上是 WebAuthentication.login 的替代品。 WebAuthentication 的唯一用途是上面代码示例中提到的两行。

我可以用什么替换 WebAuthentication 来使这项工作正常进行?

显然,一个简单的类替换会很棒,但如果它必须比这更复杂,那么只要我们能够让它工作就可以了。

最佳答案

一般来说,用户管理被排除在 JEE 规范之外,因此每个供应商都以不同的方式进行管理。查看 DatabaseServerLoginModule 的文档内置于 JBoss/Wildfly 中。如果这还不够(而且我不喜欢它使用的表格布局),另一种方法是编写您自己的:

...

import org.jboss.security.SimpleGroup;
import org.jboss.security.SimplePrincipal;
import org.jboss.security.auth.spi.UsernamePasswordLoginModule;

...

/**
* Extends a WildFly specific class to implement a custom login module.
*
* Note that this class is referenced in the standalone.xml in a
* security-domain/authentication/login-module section. If the package or name
* changes then that needs to be updated too.
*
*/
public class MyLoginModule extends UsernamePasswordLoginModule {
private MyPrincipal principal;

@Override
public void initialize(Subject subject, CallbackHandler callbackHandler,
Map<String, ?> sharedState, Map<String, ?> options) {

super.initialize(subject, callbackHandler, sharedState, options);
}

/**
* While we have to override this method the validatePassword method ignores
* the value.
*/
@Override
protected String getUsersPassword() throws LoginException {
return null;
}

/**
* Validates the password passed in (inputPassword) for the given username.
*/
@Override
protected boolean validatePassword(String inputPassword, String expectedPassword) {
// validate as you do today - IGNORE "expectedPassword"
}

/**
* Get the roles that are tied to the user.
*/
@Override
protected Group[] getRoleSets() throws LoginException {
SimpleGroup group = new SimpleGroup("Roles");

List<String> userRoles = // get roles for a user the way you do currently

for( String nextRoleName: userRoles ) {
group.addMember(new SimplePrincipal(nextRoleName));
}

return new Group[] { group };
}

/**
* This method is what ends up triggering the other methods.
*/
@Override
public boolean login() throws LoginException {
boolean login;

login = super.login();
if (login) {
principal = // populate the principal

return login;
}

@Override
protected Principal getIdentity() {
return principal != null ? principal : super.getIdentity();
}
}

这使您更接近标准 JEE 安全性。如果不允许(基于 web.xml 中的 security-constraint 节),您的方法甚至不会被调用,并且您不必验证用户已登录。

起初有点令人生畏,但一旦开始工作就非常简单。

说了这么多,我已经删除了这样的代码并移至 Keycloak .这是一个单独的授权引擎,也与 Tomcat 集成。它具有大量功能,例如社交登录等。

关于tomcat - Undertow 是否具有与 Tomcat Web 身份验证等效的 Web 层身份验证?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/51902196/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com