1

我正在尝试使用 EJB 运行一个简单的 RBAC 示例,但是当客户端从具有 SecurityDomain 的类中调用方法时,我得到: javax.ejb.EJBAccessException: JBAS013323: Invalid User.

这是我的设置:

  • 服务器项目
    • EJB 3.1
    • JBoss AS 7.1
    • Picketbox(下载附带的 3 个 jar 文件)

客户端是一个简单的java项目

我以后要保护的服务器项目中的类如下所示:

@Stateless
public class SomeBean implements SomeRemote, SomeLocal {
  @Override 
  public void unsecuredMethod(Object obj) {     
    //do something
  }
}

在 META-INF 的 jboss-ejb3.xml 中,我有:

<?xml version="1.0"?>  
<jboss:ejb-jar xmlns:jboss="http://www.jboss.com/xml/ns/javaee"
              xmlns="http://java.sun.com/xml/ns/javaee"
              xmlns:s="urn:security"
              xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
              xsi:schemaLocation="http://www.jboss.com/xml/ns/javaee http://www.jboss.org/j2ee/schema/jboss-ejb3-2_0.xsd
                 http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/ejb-jar_3_1.xsd"
              version="3.1"
              impl-version="2.0">
<assembly-descriptor>
  <s:security>
    <ejb-name>SomeBean</ejb-name>
    <s:security-domain>SomeDomain</s:security-domain>
  </s:security>
</assembly-descriptor>
</jboss:ejb-jar>

我使用这个文件是因为我无法导入 org.jboss.ejb3.annotation.SecurityDomain 注释。(也许我有错误的依赖关系?)

在 jboss-as-7.1.0.Final\standalone\configuration 的standalone-full.xml 中,我有:

...
<subsystem xmlns="urn:jboss:domain:security:1.1">
  <security-domains>
  ...
    <security-domain name="SomeDomain" cache-type="default">
      <authentication>
        <login-module code="Database" flag="required">
          <module-option name="dsJndiName" value="java:/DefaultDS"/>
          <module-option name="principalsQuery" value="SELECT password FROM Customer WHERE username=?"/>
          <module-option name="rolesQuery" value="SELECT rolename, 'Roles' FROM Role WHERE username=?"/>
          <module-option name="unauthenticatedIdentity" value="guest"/>
        </login-module>
      </authentication>
    </security-domain>
  </security-domains>
</subsystem>
...

无论我是否尝试在客户端内进行身份验证,都会发生异常

SecurityClient secClient =     
SecurityClientFactory.getSecurityClient();          
secClient.setSimple("username1", "password1");
secClient.login();

或者,如果我不对他进行身份验证(因为:name="unauthenticatedIdentity" value="guest"),那么就使用客户应该收到的来宾角色。另一件事是,即使我提供了错误的凭据,似乎也不会抛出来自 SecurityClient 的 LoginException。在此之后,我对 SomeBean 类进行正常查找并将其转换为 SomeRemote。调用 unsecuredMethod(..) 时会发生异常。我对两者都进行了尝试,给来宾用户一个角色表中的角色,而没有。

在客户端项目中,除了使用 SecurityClient 和查找之外,我没有做任何与 rbac 或 ejb 相关的事情,我希望这是正确的。

也许有一些很好的教程可以解释一切。我可能会遇到问题,因为我的解决方案基于 Jboss AS 6 教程。

Edit: After searching the internet for this exception for hours I found a hint in a book that says that if jboss cannot find the database tables used for authentication you will always get the message: "Invalid User". So probably i have a problem with my data source configuration.

4

1 回答 1

2

If this is an EJB being accessed remotely you will also need to update the security realm (ApplicationRealm) associated with the Remoting connector to use a jaas reference to your security domain so that the user can be authenticated on the inbound connection.

于 2012-05-29T10:39:31.107 回答