java - 如何在 Wildfly 8 上的 Picketbox/Undertow 中捕获 FailedLoginException 以应用 CORS-6ren

java - 如何在 Wildfly 8 上的 Picketbox/Undertow 中捕获 FailedLoginException 以应用 CORS

转载作者：行者123 更新时间：2023-12-04 20:13:15

在 ContainerResponseFilter 的帮助下，我能够将 CORS header 应用于所有传出响应，并且通过 ExceptionMapper，我可以对所有错误和异常执行相同的操作，除了任何与身份验证相关的异常Picketbox/Undertow 应该会加入 Wildfly。

无论我尝试什么，我的 ExceptionMapper 从不捕获它，结果，前端无法读取 401 状态，因为响应没有附加 CORS header (XHR HTTP状态码就变成了0)。

我正在使用 this PBKDF2 设置以针对 MySQL 数据库进行身份验证，起初我认为可能因为身份验证是在一个单独的模块中运行的，所以它没有被我的应用程序捕获，但即使在将所有身份验证代码移到我自己的应用程序中之后，我也有同样的问题。

这是我尝试使用错误的密码进行身份验证时得到的日志条目(当我根本不发送任何凭据时，我得到了一个非常相似的条目):

2014-11-29 16:11:08,053 TRACE [org.jboss.security] (default task-4) PBOX000224: End getAppConfigurationEntry(PBKDF2DatabaseDomain), AuthInfo: AppConfigurationEntry[]: [0] LoginModule Class: com.example.myapplication.security.SaltedDatabaseServerLoginModule ControlFlag: LoginModuleControlFlag: required Options: name=dsJndiName, value=java:/user name=principalsQuery, value=SELECT Hash FROM account WHERE ID=? name=rolesQuery, value=SELECT Role, 'Roles' FROM account WHERE account.ID=?

2014-11-29 16:11:08,053 TRACE [org.jboss.security] (default task-4) PBOX000236: Begin initialize method 2014-11-29 16:11:08,053 TRACE [org.jboss.security] (default task-4) PBOX000262: Module options [dsJndiName: java:/user, principalsQuery: SELECT Hash FROM account WHERE ID=?, rolesQuery: SELECT Role, 'Roles' FROM account WHERE account.ID=?, suspendResume: true] 2014-11-29 16:11:08,053 TRACE [org.jboss.security] (default task-4) PBOX000240: Begin login method 2014-11-29 16:11:08,053 TRACE [org.jboss.security] (default task-4) PBOX000263: Executing query SELECT Hash FROM account WHERE ID=? with username 1@2.se 2014-11-29 16:11:08,062 DEBUG [org.jboss.security] (default task-4) PBOX000283: Bad password for username 1@2.com 2014-11-29 16:11:08,062 TRACE [org.jboss.security] (default task-4) PBOX000244: Begin abort method 2014-11-29 16:11:08,062 DEBUG [org.jboss.security] (default task-4) PBOX000206: Login failure: javax.security.auth.login.FailedLoginException: PBOX000070: Password invalid/Password required at org.jboss.security.auth.spi.UsernamePasswordLoginModule.login(UsernamePasswordLoginModule.java:284) [picketbox-4.0.21.Beta1.jar:4.0.21.Beta1] at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method) [rt.jar:1.8.0_25] at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62) [rt.jar:1.8.0_25] at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43) [rt.jar:1.8.0_25] at java.lang.reflect.Method.invoke(Method.java:483) [rt.jar:1.8.0_25] at javax.security.auth.login.LoginContext.invoke(LoginContext.java:755) [rt.jar:1.8.0_25] at javax.security.auth.login.LoginContext.access$000(LoginContext.java:195) [rt.jar:1.8.0_25] at javax.security.auth.login.LoginContext$4.run(LoginContext.java:682) [rt.jar:1.8.0_25] at javax.security.auth.login.LoginContext$4.run(LoginContext.java:680) [rt.jar:1.8.0_25] at java.security.AccessController.doPrivileged(Native Method) [rt.jar:1.8.0_25] at javax.security.auth.login.LoginContext.invokePriv(LoginContext.java:680) [rt.jar:1.8.0_25] at javax.security.auth.login.LoginContext.login(LoginContext.java:587) [rt.jar:1.8.0_25] at org.jboss.security.authentication.JBossCachedAuthenticationManager.defaultLogin(JBossCachedAuthenticationManager.java:408) [picketbox-infinispan-4.0.21.Beta1.jar:4.0.21.Beta1] at org.jboss.security.authentication.JBossCachedAuthenticationManager.proceedWithJaasLogin(JBossCachedAuthenticationManager.java:345) [picketbox-infinispan-4.0.21.Beta1.jar:4.0.21.Beta1] at org.jboss.security.authentication.JBossCachedAuthenticationManager.authenticate(JBossCachedAuthenticationManager.java:333) [picketbox-infinispan-4.0.21.Beta1.jar:4.0.21.Beta1] at org.jboss.security.authentication.JBossCachedAuthenticationManager.isValid(JBossCachedAuthenticationManager.java:146) [picketbox-infinispan-4.0.21.Beta1.jar:4.0.21.Beta1] at org.wildfly.extension.undertow.security.JAASIdentityManagerImpl.verifyCredential(JAASIdentityManagerImpl.java:111) at org.wildfly.extension.undertow.security.JAASIdentityManagerImpl.verify(JAASIdentityManagerImpl.java:82) at io.undertow.security.impl.BasicAuthenticationMechanism.authenticate(BasicAuthenticationMechanism.java:110) [undertow-core-1.0.15.Final.jar:1.0.15.Final] at io.undertow.security.impl.SecurityContextImpl$AuthAttempter.transition(SecurityContextImpl.java:281) [undertow-core-1.0.15.Final.jar:1.0.15.Final] at io.undertow.security.impl.SecurityContextImpl$AuthAttempter.transition(SecurityContextImpl.java:298) [undertow-core-1.0.15.Final.jar:1.0.15.Final] at io.undertow.security.impl.SecurityContextImpl$AuthAttempter.access$100(SecurityContextImpl.java:268) [undertow-core-1.0.15.Final.jar:1.0.15.Final] at io.undertow.security.impl.SecurityContextImpl.attemptAuthentication(SecurityContextImpl.java:131) [undertow-core-1.0.15.Final.jar:1.0.15.Final] at io.undertow.security.impl.SecurityContextImpl.authTransition(SecurityContextImpl.java:106) [undertow-core-1.0.15.Final.jar:1.0.15.Final] at io.undertow.security.impl.SecurityContextImpl.authenticate(SecurityContextImpl.java:99) [undertow-core-1.0.15.Final.jar:1.0.15.Final] at io.undertow.servlet.handlers.security.ServletAuthenticationCallHandler.handleRequest(ServletAuthenticationCallHandler.java:54) [undertow-servlet-1.0.15.Final.jar:1.0.15.Final] at io.undertow.server.handlers.DisableCacheHandler.handleRequest(DisableCacheHandler.java:27) [undertow-core-1.0.15.Final.jar:1.0.15.Final] at io.undertow.server.handlers.PredicateHandler.handleRequest(PredicateHandler.java:25) [undertow-core-1.0.15.Final.jar:1.0.15.Final] at io.undertow.security.handlers.AuthenticationConstraintHandler.handleRequest(AuthenticationConstraintHandler.java:51) [undertow-core-1.0.15.Final.jar:1.0.15.Final] at io.undertow.security.handlers.AbstractConfidentialityHandler.handleRequest(AbstractConfidentialityHandler.java:45) [undertow-core-1.0.15.Final.jar:1.0.15.Final] at io.undertow.servlet.handlers.security.ServletConfidentialityConstraintHandler.handleRequest(ServletConfidentialityConstraintHandler.java:61) [undertow-servlet-1.0.15.Final.jar:1.0.15.Final] at io.undertow.servlet.handlers.security.ServletSecurityConstraintHandler.handleRequest(ServletSecurityConstraintHandler.java:56) [undertow-servlet-1.0.15.Final.jar:1.0.15.Final] at io.undertow.security.handlers.AuthenticationMechanismsHandler.handleRequest(AuthenticationMechanismsHandler.java:58) [undertow-core-1.0.15.Final.jar:1.0.15.Final] at io.undertow.servlet.handlers.security.CachedAuthenticatedSessionHandler.handleRequest(CachedAuthenticatedSessionHandler.java:70) [undertow-servlet-1.0.15.Final.jar:1.0.15.Final] at io.undertow.security.handlers.SecurityInitialHandler.handleRequest(SecurityInitialHandler.java:76) [undertow-core-1.0.15.Final.jar:1.0.15.Final] at io.undertow.server.handlers.PredicateHandler.handleRequest(PredicateHandler.java:25) [undertow-core-1.0.15.Final.jar:1.0.15.Final] at org.wildfly.extension.undertow.security.jacc.JACCContextIdHandler.handleRequest(JACCContextIdHandler.java:61) at io.undertow.server.handlers.PredicateHandler.handleRequest(PredicateHandler.java:25) [undertow-core-1.0.15.Final.jar:1.0.15.Final] at io.undertow.server.handlers.PredicateHandler.handleRequest(PredicateHandler.java:25) [undertow-core-1.0.15.Final.jar:1.0.15.Final] at io.undertow.servlet.handlers.ServletInitialHandler.handleFirstRequest(ServletInitialHandler.java:240) [undertow-servlet-1.0.15.Final.jar:1.0.15.Final] at io.undertow.servlet.handlers.ServletInitialHandler.dispatchRequest(ServletInitialHandler.java:227) [undertow-servlet-1.0.15.Final.jar:1.0.15.Final] at io.undertow.servlet.handlers.ServletInitialHandler.access$000(ServletInitialHandler.java:73) [undertow-servlet-1.0.15.Final.jar:1.0.15.Final] at io.undertow.servlet.handlers.ServletInitialHandler$1.handleRequest(ServletInitialHandler.java:146) [undertow-servlet-1.0.15.Final.jar:1.0.15.Final] at io.undertow.server.Connectors.executeRootHandler(Connectors.java:177) [undertow-core-1.0.15.Final.jar:1.0.15.Final] at io.undertow.server.HttpServerExchange$1.run(HttpServerExchange.java:727) [undertow-core-1.0.15.Final.jar:1.0.15.Final] at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1142) [rt.jar:1.8.0_25] at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:617) [rt.jar:1.8.0_25] at java.lang.Thread.run(Thread.java:745) [rt.jar:1.8.0_25]

这是我的 ExceptionMapper 类(当前设置为捕获所有 Throwable 以徒劳地尝试使其工作):

@Provider
public class NotAuthorizedExceptionMapper implements ExceptionMapper<Throwable>{

@Override
public Response toResponse(Throwable exception) {
    Response response = Response.status(Response.Status.UNAUTHORIZED).build();
    response.getHeaders().putSingle("Access-Control-Allow-Origin", "*");
    response.getHeaders().putSingle("Access-Control-Allow-Methods", "OPTIONS, GET, POST, PUT, DELETE");
    response.getHeaders().putSingle("Access-Control-Allow-Headers", "origin, content-type, accept, authorization, access-control-allow-origin, access-control-allow-methods, access-control-allow-headers, allow, content-length, date, last-modified");
    return response;
}

我该怎么做才能捕获这些身份验证异常，从而将 CORS 附加到它们？

最佳答案

最后我设法弄清楚，您可以通过修改配置文件 (standalone.xml) 将自定义 header 添加到 Wildfly 上所有非错误 传出响应。这为我解决了问题:

    <subsystem xmlns="urn:jboss:domain:undertow:1.1">
        <buffer-cache name="default"/>
        <server name="default-server">
            <https-listener name="default" socket-binding="https" security-realm="ApplicationRealm"/>
            <host name="default-host" alias="localhost">
                <location name="/" handler="welcome-content"/>
                <filter-ref name="cors-origin"/>
                <filter-ref name="cors-methods"/>
                <filter-ref name="cors-headers"/>
            </host>
        </server>
        <servlet-container name="default">
            <jsp-config/>
        </servlet-container>
        <handlers>
            <file name="welcome-content" path="${jboss.home.dir}/welcome-content"/>
        </handlers>
        <filters>
            <response-header name="cors-origin" header-name="Access-Control-Allow-Origin" header-value="your-domain-here.com"/>
            <response-header name="cors-methods" header-name="Access-Control-Allow-Methods" header-value="OPTIONS, GET, POST, PUT, DELETE"/>
            <response-header name="cors-headers" header-name="Access-Control-Allow-Headers" header-value="origin, content-type, accept, authorization, access-control-allow-origin, access-control-allow-methods, access-control-allow-headers, allow, content-length, date, last-modified, if-modified-since"/>
        </filters>
    </subsystem>

编辑:事实证明，Wildfly 并未将 CORS header 附加到未经授权的响应中，但当它遇到 500 错误时，它会非常巧妙地忽略它们。任何有关如何解决此问题的想法都将不胜感激。

关于java - 如何在 Wildfly 8 上的 Picketbox/Undertow 中捕获 FailedLoginException 以应用 CORS，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/27203830/

文章推荐： java - 区分右移 (>>) 和 Java 泛型

文章推荐： java - 使用 Selenium 和 IE 测试 html 文件

文章推荐： grid - ForeignKey 列不选择 Kendo-Grid 中的值

文章推荐： documentation - 设计规范在项目文档中的含义是什么？

cors - 如何检查域是否启用了 CORS
我尝试访问此 API click here for more info POST https://api.line.me/v2/oauth/accessToken 但总是得到错误: XMLHttpRe
cors - CORS 如何保护应用程序？
我在掌握 CORS 概念时遇到问题... 我认为同源策略保护应用程序不会对“不受信任的域”进行 ajax 调用。所以， mydomain.com 向发出 ajax 调用somedomain.com
cors - CORS 预检响应如何实际缓存在浏览器中？
一个技术性很强的问题，可能只有了解浏览器内部结构的人才能回答...... 浏览器缓存 CORS 预检响应的准确程度如何(假设在对 OPTIONS 预检请求的响应中返回了 Access-Control-
cors - CORS 试图解决的问题是什么？
我一直在阅读 CORS以及它是如何工作的，但我发现很多事情令人困惑。例如，有很多关于事情的细节，比如 User Joe is using browser BrowserX to get data fr
cors - OWASP CORS 建议中的矛盾
在 OWASP site 上看到这个矛盾，我感到很困惑。 CORS 备忘单: 使用 Access-Control-Allow-Credentials: true 响应 header 时要特别小心。将允
cors - 修复 cors 飞行前未连接
我们无法在飞行前恢复使用 cors:任何帮助都非常感谢 ==========错误========================== About to connect() to localhost p
cors - 为什么字体文件必须遵守 CORS 规则而图像不需要？
跨域请求字体文件时，您必须确保允许请求域使用 CORS header 访问字体文件: 访问控制允许来源访问控制允许凭据然而，这在请求图像时不是必需的，无论是对于 img元素或 background
cors - 对无效 CORS 请求的预期响应是什么？
CORS 规范没有说明服务器应如何响应无效的 CORS 请求。例如，如果请求 Origin 无效，则 CORS spec states :“终止这组步骤。请求超出了本规范的范围。”其他错误情况也有类似
cors - 同源策略和 CORS - 有什么意义？
我在理解同源策略和“解决”它的不同方法时遇到了一些麻烦。很明显，同源策略是作为一种安全措施而存在的，因此来自服务器/域的一个脚本无法访问来自另一个服务器/域的数据。也很明显，有时能够打破此规则很有
cors - API网关云信息 CORS
我正在尝试使用 cloudformation 在 API Gateway 中部署 API。这些方法需要启用 CORS，我遵循此处的模板 Enable CORS for API Gateway in C
cors - 如何将 CORS 预检缓存应用于整个域
我正在构建一个使用 CORS 的 REST 应用程序。每个 REST 调用都是不同的，我发现获取预检 OPTIONS 调用会产生很大的开销。有没有办法缓存并应用预检选项结果，以便对同一域的任何后续调用
cors - MVC6 Cors - 拦截预检
我正在将我的 WebApi 升级到 MVC6。在 WebApi 中，我可以拦截每个 HTTP 请求，如果是预检，我可以用浏览器可以接受的 header 进行响应。我正在尝试找出如何在 MVC6 W
cors - 如何处理无效的 CORS 预检请求？
假设一个 CORS 预检请求进来了，但它为一个或多个 Access-Control-Request-* 指定了一个不受支持的值。标题。服务器应该如何将其传达回浏览器？一些例子: 浏览器发送带有 Ac
cors - 在 GraphDB 上启用 CORS
问题中的一切。附加信息: 使用 Win 10，GraphDB 免费，9.1.1 • RDF4J 3.0.1 • Connectors 12.0.2 我在控制台 => 设置中添加了 graphdb.w
cors - 如何为 SonarQube 服务启用 CORS
我正在尝试通过 jQuery 调用 Sonar 网络服务之一。由于调用是跨域进行的，因此调用在 Chrome 上失败并出现以下错误: 请求的资源上不存在“Access-Control-Allow-Or
cors - 在 NestJs 中启用 Cors
我想使用 NestJs api，但我在每个 fetch 中都收到相同的错误消息: Access to fetch at 'http://localhost:3000/articles' from or
cors - Svelte API 代理 cors
我不确定这是否属于这里，但我在开发我的 svelte 应用程序时遇到了问题。在开发过程中，它目前在独立服务器上运行(遵循使用 rollup 和 sirv 的指南)并针对不同端口上的后端 API。稍
cors - 正确的 CORS 设置是否会阻止 XSRF？
如果在服务器上正确设置 CORS 以仅允许某些来源访问服务器，这是否足以防止 XSRF 攻击？最佳答案更具体地说，很容易错误地认为如果 evil.com 由于 CORS 无法向 good.com
cors - Istio ingress - 启用 cors
我在 Istio 入口上启用 CORS 时遇到问题。正如 Istio Ingress 文档所述，“ingresskubernetes.io”注释将被忽略。是否可以在 Istio 入口上启用 CORS？
cors - Istio ingress - 启用 cors
我在 Istio 入口上启用 CORS 时遇到问题。正如 Istio Ingress 文档所述，“ingresskubernetes.io”注释将被忽略。是否可以在 Istio 入口上启用 CORS？

行者123

个人简介

我是一名优秀的程序员,十分优秀！

作者热门文章

滴滴打车优惠券免费领取

全站热门文章

首页

博学

6Ren·AI

商城

java - 如何在 Wildfly 8 上的 Picketbox/Undertow 中捕获 FailedLoginException 以应用 CORS