security - 来自不同提供商的 Wildfly 身份验证和授权

Question

我正在尝试在 JBoss Wildfly 10.0.0.Final 上设置用户身份验证和授权

我根据 JBoss developer wiki 上的文档配置了 standalone.xml .

因为这没有用，我把解决方案从this answer付诸行动。

应用程序是使用

构建的

• JSF 2.2
• Java 1.8
• CDI 1.1

在用于 J2EE 的 Eclipse Neon (4.6.0) 上，具有附加方面动态 Web 模块、JavaScript、JAX-RS、JBoss Maven 集成 和JPA。

Login.xhtml 包含

<form id="login" class="form-login" method="POST" action="j_security_check">
    <h:inputText id="j_username" name="j_username" class="form-control" value="#{user.name}" pt:placeholder="User" pt:autofocus=""/>
    <h:message for="j_username" styleClass="errorMessage"/>
    <h:inputSecret id="j_password" name="j_password" class="form-control" value="#{user.password}" pt:placeholder="Password" />
    <h:message for="j_password" styleClass="errorMessage"/>
    <input class="btn btn-lg btn-primary btn-block btn-submit" type="submit" value="Login" />
</form>

来自 standalone.xml:

<security-domain name="LDAPAuth">
    <authentication>
        <login-module code="LdapExtended" flag="required">
            <module-option name="java.naming.factory.initial" value="com.sun.jndi.ldap.LdapCtxFactory"/>
            <module-option name="java.naming.provider.url" value="ldap://internal.de:389"/>
            <module-option name="java.naming.security.authentication" value="simple"/>
            <module-option name="bindDN" value="cn=machine-account,ou=special,ou=Users,dc=internal,dc=DE"/>
            <module-option name="bindCredential" value="SECRET"/>
            <module-option name="baseCtxDN" value="OU=Users,DC=internal,DC=DE"/>
            <module-option name="baseFilter" value="(&amp;(sAMAccountName={0})(objectClass=*))"/>
            <module-option name="allowEmptyPasswords" value="true"/>
            <module-option name="password-stacking" value="useFirstPass"/>
        </login-module>
    </authentication>
</security-domain>

并且 web.xml 读取

<security-constraint>
    <web-resource-collection>
      <web-resource-name>protected</web-resource-name>
      <url-pattern>/protected/*</url-pattern>
      <http-method>GET</http-method>
      <http-method>POST</http-method>
    </web-resource-collection>
    <auth-constraint>
       <role-name>appuser</role-name>
    </auth-constraint>
</security-constraint>
<login-config>
    <auth-method>FORM</auth-method>
    <realm-name>LDAP Authentication Realm</realm-name>
    <form-login-config>
        <form-login-page>/Login.xhtml</form-login-page>
        <form-error-page>/Noauth.xhtml</form-error-page>
    </form-login-config>
</login-config>
<security-role>
    <role-name>appsuser</role-name>
</security-role>

最后，<security-domain>java:/jaas/LDAPAuth</security-domain>在jboss-web.xml中设置

数据库连接通过

<datasource jta="true" jndi-name="java:/postgres" pool-name="PostgresDS" enabled="true" use-ccm="true">

以及里面相应的节点。

LDAP 连接似乎工作正常，但无论如何客户端都会收到一个空页面。

网络交易如下:

(1)

Request URL:http://localhost:8080/protected/j_security_check
Request Method:POST
Status Code:302 Found
Remote Address:127.0.0.1:8080

(2)

Request URL:http://localhost:8080/protected/res/img/favicon.png
Request Method:GET
Status Code:403 Forbidden
Remote Address:127.0.0.1:8080

相反，前端的目录布局是

[webapp]
    [protected]
    [res]
    [WEB-INF]
    Login.xhtml
    Noauth.xhtml

我不明白引擎盖下发生了什么。此外，我需要在 LDAP 身份验证 之后进行授权。授权必须由另一个数据库提供，该数据库仅包含用户名和角色，没有密码。这是强制性的。根据(JBoss 文档)[ https://docs.jboss.org/jbossas/docs/Server_Configuration_Guide/4/html/Using_JBoss_Login_Modules-Password_Stacking.html]密码堆叠是可行的方法，但我无法在授权数据库上提供任何密码。

这是如何实现的，更重要的是，为什么授权会以这种方式运行？

Answer 1

没有任何角色的来源。因此，服务器不会对 protected 资源设置任何权限。

为了使整个工作正常进行，您需要同时设置身份验证和授权。

我总结一下设置的过程:

<强>1。步骤

通过 WildFly 的管理界面或直接在 standalone.xml 中设置安全域，其中登录模块节点包含 module-option 类型的子节点。您的已正确设置。

有关模块属性的完整引用，请检查 https://developer.jboss.org/wiki/LdapExtLoginModule?_sscc=t

如果您从 LDAP 服务器获取角色，则至少需要 rolesCtxDN、roleFilter 和roleAttributeID。如果您从其他来源检索它们，例如一个数据库，你需要密码堆叠:

<强>2。步骤

为您的 Web 应用程序设置配置:

通过 POST 提交到 URL 路径 j_security_check 的数据在服务器端进行检查，并使用 Java 身份验证和授权服务通过 cookie 将 session ID 返回给客户端。

您的 jboss-web.xml 和 web.xml 已正确设置。

注意以下行为:

如果节点

<auth-constraint>
    ...
</auth-constraint>

内部没有role-name节点，没有用户可以访问。如果你把 <role-name>*</role-name>进入 auth-contraint，任何经过身份验证的用户都被授权。

<强>3。步骤

设置角色来源。在您的情况下，您需要向身份验证节点添加另一个登录模块:

<login-module code="org.jboss.security.auth.spi.DatabaseServerLoginModule" flag="required">
    <module-option name="dsJndiName" value="java:/postgres"/>
    <module-option name="principalsQuery" value="NULL"/>
    <module-option name="rolesQuery" value="SELECT roleColumn, 'Roles' FROM rolesTable WHERE name=?"/>
    <module-option name="password-stacking" value="useFirstPass"/>
</login-module>

关于网站图标的注意事项

您的页面很可能正在尝试访问 protected 资源。该行为在以下帖子中进行了解释:

https://www.gilluminate.com/2004/11/16/redirect-to-favicon-after-login-with-mozilla-problem/