我正在使用 jsf、ejbs 和 jpa 构建一个 Web 应用程序。我目前使用基于表单的 j_security_check 来处理身份验证。
我需要实现对 cookie 的支持,即“记住我”选项。我也想防止暴力攻击。即在 5 次登录失败后锁定某个用户。
我知道另一个选择是使用 ServletFilters 等以编程方式进行。
有没有办法使用 j_security_check 来实现所有这些?还是我应该切换回以编程方式进行?
问问题
1842 次
1 回答
0
这必须是围绕 j_security_check 的自定义实现。您可以使用 j_security_check 附加一个 servlet 过滤器
<filter-mapping>
<filter-name>SecurityFilter</filter-name>
<url-pattern>/j_security_check</url-pattern>
</filter-mapping>
在 SecurityFilter 中,安全检查返回 userPrincipal 后,在 session 中设置更多详细信息并继续。但是如果 userPrincipal 为 null,则从数据库中获取失败计数并将失败消息(包括失败计数)放入会话中,可以显示在登录页面中。
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException {
Principal userPrincipal = null;
String username = httpServletRequest.getParameter("j_username");
String rememberme = httpServletRequest.getParameter("rememberme");
chain.doFilter(request, response);
userPrincipal = httpServletRequest.getUserPrincipal();
记住我必须设置在 cookie 中,变量“rememberme”的值将在 j_security_check 完成后可用。根据登录成功或失败,可以设置cookie。
于 2012-07-19T19:07:10.443 回答