我正在尝试在 JBoss Wildfly 10.0.0.Final 上设置用户身份验证和授权
我根据 JBoss developer wiki 上的文档配置了 standalone.xml .
因为这没有用,我把解决方案从this answer付诸行动。
应用程序是使用
构建的- JSF 2.2
- Java 1.8
- CDI 1.1
在用于 J2EE 的 Eclipse Neon (4.6.0) 上,具有附加方面动态 Web 模块、JavaScript、JAX-RS、JBoss Maven 集成 和JPA。
Login.xhtml 包含
<form id="login" class="form-login" method="POST" action="j_security_check">
<h:inputText id="j_username" name="j_username" class="form-control" value="#{user.name}" pt:placeholder="User" pt:autofocus=""/>
<h:message for="j_username" styleClass="errorMessage"/>
<h:inputSecret id="j_password" name="j_password" class="form-control" value="#{user.password}" pt:placeholder="Password" />
<h:message for="j_password" styleClass="errorMessage"/>
<input class="btn btn-lg btn-primary btn-block btn-submit" type="submit" value="Login" />
</form>
来自 standalone.xml:
<security-domain name="LDAPAuth">
<authentication>
<login-module code="LdapExtended" flag="required">
<module-option name="java.naming.factory.initial" value="com.sun.jndi.ldap.LdapCtxFactory"/>
<module-option name="java.naming.provider.url" value="ldap://internal.de:389"/>
<module-option name="java.naming.security.authentication" value="simple"/>
<module-option name="bindDN" value="cn=machine-account,ou=special,ou=Users,dc=internal,dc=DE"/>
<module-option name="bindCredential" value="SECRET"/>
<module-option name="baseCtxDN" value="OU=Users,DC=internal,DC=DE"/>
<module-option name="baseFilter" value="(&(sAMAccountName={0})(objectClass=*))"/>
<module-option name="allowEmptyPasswords" value="true"/>
<module-option name="password-stacking" value="useFirstPass"/>
</login-module>
</authentication>
</security-domain>
并且 web.xml 读取
<security-constraint>
<web-resource-collection>
<web-resource-name>protected</web-resource-name>
<url-pattern>/protected/*</url-pattern>
<http-method>GET</http-method>
<http-method>POST</http-method>
</web-resource-collection>
<auth-constraint>
<role-name>appuser</role-name>
</auth-constraint>
</security-constraint>
<login-config>
<auth-method>FORM</auth-method>
<realm-name>LDAP Authentication Realm</realm-name>
<form-login-config>
<form-login-page>/Login.xhtml</form-login-page>
<form-error-page>/Noauth.xhtml</form-error-page>
</form-login-config>
</login-config>
<security-role>
<role-name>appsuser</role-name>
</security-role>
最后,<security-domain>java:/jaas/LDAPAuth</security-domain>在jboss-web.xml中设置
数据库连接通过
<datasource jta="true" jndi-name="java:/postgres" pool-name="PostgresDS" enabled="true" use-ccm="true">
以及里面相应的节点。
LDAP 连接似乎工作正常,但无论如何客户端都会收到一个空页面。
网络交易如下:
(1)
Request URL:http://localhost:8080/protected/j_security_check
Request Method:POST
Status Code:302 Found
Remote Address:127.0.0.1:8080
(2)
Request URL:http://localhost:8080/protected/res/img/favicon.png
Request Method:GET
Status Code:403 Forbidden
Remote Address:127.0.0.1:8080
相反,前端的目录布局是
[webapp]
[protected]
[res]
[WEB-INF]
Login.xhtml
Noauth.xhtml
我不明白引擎盖下发生了什么。此外,我需要在 LDAP 身份验证 之后进行授权。授权必须由另一个数据库提供,该数据库仅包含用户名和角色,没有密码。这是强制性的。根据(JBoss 文档)[ https://docs.jboss.org/jbossas/docs/Server_Configuration_Guide/4/html/Using_JBoss_Login_Modules-Password_Stacking.html]密码堆叠是可行的方法,但我无法在授权数据库上提供任何密码。
这是如何实现的,更重要的是,为什么授权会以这种方式运行?
最佳答案
没有任何角色的来源。因此,服务器不会对 protected 资源设置任何权限。
为了使整个工作正常进行,您需要同时设置身份验证和授权。
我总结一下设置的过程:
<强>1。步骤
通过 WildFly 的管理界面或直接在 standalone.xml 中设置安全域,其中登录模块节点包含 module-option 类型的子节点。您的已正确设置。
有关模块属性的完整引用,请检查 https://developer.jboss.org/wiki/LdapExtLoginModule?_sscc=t
如果您从 LDAP 服务器获取角色,则至少需要 rolesCtxDN、roleFilter 和roleAttributeID。如果您从其他来源检索它们,例如一个数据库,你需要密码堆叠:
<强>2。步骤
为您的 Web 应用程序设置配置:
通过 POST 提交到 URL 路径 j_security_check 的数据在服务器端进行检查,并使用 Java 身份验证和授权服务通过 cookie 将 session ID 返回给客户端。
您的 jboss-web.xml 和 web.xml 已正确设置。
注意以下行为:
如果节点
<auth-constraint>
...
</auth-constraint>
内部没有role-name节点,没有用户可以访问。如果你把 <role-name>*</role-name>进入 auth-contraint,任何经过身份验证的用户都被授权。
<强>3。步骤
设置角色来源。在您的情况下,您需要向身份验证节点添加另一个登录模块:
<login-module code="org.jboss.security.auth.spi.DatabaseServerLoginModule" flag="required">
<module-option name="dsJndiName" value="java:/postgres"/>
<module-option name="principalsQuery" value="NULL"/>
<module-option name="rolesQuery" value="SELECT roleColumn, 'Roles' FROM rolesTable WHERE name=?"/>
<module-option name="password-stacking" value="useFirstPass"/>
</login-module>
关于网站图标的注意事项
您的页面很可能正在尝试访问 protected 资源。该行为在以下帖子中进行了解释:
https://www.gilluminate.com/2004/11/16/redirect-to-favicon-after-login-with-mozilla-problem/
关于security - 来自不同提供商的 Wildfly 身份验证和授权,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/40157005/