1

我在我的 Web 应用程序上安装并运行了 PicketLink,但似乎我无法按组或角色保护文件夹等资源。PicketLink AuthenticationFilter (org.picketlink.authentication.web.AuthenticationFilter) 不提供任何方式来说明哪个 url 模式属于哪个组或角色。我将如何保护 admin 目录,以便只有 admin 组中的用户可以访问它?现在,如果您已登录,则可以访问所有内容。

web.xml 文件:

        <filter>
            <filter-name>PicketLinkAuthenticationFilter</filter-name>
            <filter-class>org.picketlink.authentication.web.AuthenticationFilter</filter-class>

            <init-param>
                <param-name>authType</param-name>
                <param-value>FORM</param-value>
            </init-param>
        </filter>

        <filter-mapping>
            <filter-name>PicketLinkAuthenticationFilter</filter-name>
            <url-pattern>/admin/*</url-pattern>
            <url-pattern>/standarduser/*</url-pattern>
        </filter-mapping>

我试图创建自己的自定义 AuthenticationFilter,但我做不到。我真的希望我能在春天做一些类似的事情。像这样或使用像 hasRole 或 isMember 这样的 IDM 函数:

    <intercept-url pattern="/admin/*" access="ADMIN" />
    <intercept-url pattern="/member/*" access="ADMIN,STANDARDUSER" />
4

2 回答 2

2

如前所述,AuthenticationFilter 仅与身份验证有关。

PicketLink 团队正在提供完整的 Servlet 安全支持,其中包括为您的应用程序的 URI 提供基于角色和组的授权。

现在,我建议您创建自己的过滤器。

于 2014-07-31T23:23:24.163 回答
2

除非我完全误解了您要做什么,否则我认为您可以通过编程配置界面做您想做的事情。请参阅文档第 12.2 节

public class HttpSecurityConfiguration {

public void configureHttpSecurity(@Observes SecurityConfigurationEvent event) {
    SecurityConfigurationBuilder builder = event.getBuilder();

    builder
        .http()
            .forPath("/*.jsf")
                .authenticateWith()
                    .form()
                        .loginPage("/login.jsf")
                        .errorPage("/loginFailed.jsf")
            .forPath("/admin/*")
                .authorizeWith()
                    .role("Administrator");
    }
}
于 2014-11-23T23:05:20.140 回答