java - Wildfly 8 安全域适用于简单的应用程序，但不适用于更复杂的应用程序

Question

我正在更改现有的 Java EE 7 Web 应用程序，以使用标准 Java EE 安全域机制针对 Active Directory 进行身份验证。我首先创建一个简单的概念验证 Web 应用程序来测试并让 Wildfly 配置正常工作，然后将更改应用到主应用程序。我现在的情况是测试应用程序可以运行，但主应用程序不能运行。

如何让主应用程序与安全域正常工作？我该如何诊断这个问题？什么会干扰安全过程？

这是我在standalone.xml 中的领域和域配置:

<security-realms>
    <!-- Default realms omitted -->
    <security-realm name="ActiveDirectoryRealm">
        <authentication>
            <ldap connection="MyAD" base-dn="OU=Test Users,OU=AU,DC=company,DC=int">
                <username-filter attribute="sAMAccountName"/>
            </ldap>
        </authentication>
    </security-realm>
</security-realms>
<outbound-connections>
    <ldap name="MyAD" url="ldap://company.int" search-dn="CN=Wildfly AS,OU=Service Accounts,OU=AU,DC=company,DC=int" search-credential="xxx"/>
</outbound-connections>

<!-- Skip many lines -->

<security-domain name="active-directory" cache-type="default">
    <authentication>
        <login-module code="Remoting" flag="optional">
            <module-option name="password-stacking" value="useFirstPass"/>
        </login-module>
        <login-module code="RealmDirect" flag="sufficient">
            <module-option name="password-stacking" value="useFirstPass"/>
            <module-option name="realm" value="ActiveDirectoryRealm"/>
        </login-module>
    </authentication>
</security-domain>

这是我的 jboss-web.xml 文件(两个应用程序中相同):

<jboss-web>
    <security-domain>active-directory</security-domain>
</jboss-web>

最后是 web.xml 的安全位(除了 URL 模式受到限制外，两个应用程序中的安全位相同):

<security-constraint>
    <web-resource-collection>
        <web-resource-name>Unauthenticated Resources</web-resource-name>
        <url-pattern>/css/*</url-pattern>
        <url-pattern>/font/*</url-pattern>
        <url-pattern>/images/*</url-pattern>
        <url-pattern>/js/*</url-pattern>
        <url-pattern>/lib/*</url-pattern>
        <url-pattern>/partials/*</url-pattern>
    </web-resource-collection>
</security-constraint>

<security-constraint>
    <web-resource-collection>
        <web-resource-name>All Resources</web-resource-name>
        <url-pattern>/*</url-pattern>
    </web-resource-collection>
    <auth-constraint>
        <role-name>*</role-name>
    </auth-constraint>
</security-constraint>

<login-config>
    <auth-method>FORM</auth-method>
    <realm-name>My Realm</realm-name>
    <form-login-config>
        <form-login-page>/Login.html</form-login-page>
        <form-error-page>/NoAccess.html</form-error-page>
    </form-login-config>
</login-config>

<security-role>
    <role-name>*</role-name>
</security-role>

有关应用程序的一些事实:

• 这两个应用程序都使用 Servlet 3.1 web.xml 文件并打包为 WAR。
• 两个应用程序都会激活 Undertow 和 EJB 子系统，而主应用程序还会激活 JPA。
• 我已将这两个应用程序部署到在本地计算机上运行的同一个 Wildfly 8.2 实例。
• 主应用程序使用 Spring(因为我们使用 Spring-Data 和 Spring-MVC)以及 EJB，而测试应用程序不使用 Spring。

测试应用程序运行良好，但主应用程序总是无法登录(我被重定向到表单错误页面)。我为 org.jboss.security 打开了 TRACE 日志记录，但当我尝试登录时得到的只是:

2015-07-22 13:36:54,903 TRACE [org.jboss.security] (default task-1) PBOX000354: Setting security roles ThreadLocal: null

对于额外的奇怪点，我可以将 jboss-web.xml 中的安全域值设置为 active-directory 或 java:/jaas/active-directory 并且两者都有效，但是在主应用程序中使用前缀会导致它无法启动。我知道the prefix is no longer supported in Wildfly 8但不确定为什么两个应用程序之间的行为不同。

预先感谢您的任何帮助和建议，非常感谢!

Answer 1

嗯，这很尴尬......事实证明问题出在我的登录表单中。我认为这两个应用程序之间是相同的，但主应用程序的输入字段名称中有一个前导空格。