jakarta-ee - Java Web 应用程序：使用自定义领域

Question

我正在编写一个需要通过 web 服务执行登录的 java web 应用程序。当然，我正在使用的应用程序服务器（glassfish v2）提供的任何领域都不能解决问题。因此我不得不自己写。然而，我编写的领域实现似乎完全与 glassfish 相关联，不能在任何其他应用程序服务器中使用。

是否有任何标准或广泛支持的方式来实现自定义领域？是否可以以任何方式从 .war 部署该领域，或者它是否总是需要从服务器自己的类路径中加载？

Answer 1

注意：下面的答案仅对 Java EE 5 有效。正如在其他答案之一中引起我注意的那样，Java EE 6 确实支持这一点。因此，如果您使用的是 Java EE 6，请不要阅读此答案，而应阅读其他相关答案。

根据我自己的研究和对这个问题的回答，我找到了以下答案：虽然 JAAS 是一个标准接口，但在各种应用服务器中编写、部署和集成 JAAS Realm + LoginModule 并没有统一的方法。

Glassfish v2 要求您扩展它自己的一些实现 LoginModule 或 Realm 的内部类。但是，您不能自定义整个登录过程，因为 LoginModule 接口的许多方法在 Glassfish 的超类中都标记为 final。自定义 LoginModule 和 Realm 类必须放在 AS 类路径中（不是应用程序的），并且必须手动注册领域（不能从 .war 部署）。

Tomcat 的情况似乎要好一些，它可以让您完全编写自己的 Realm 和 LoginModule，然后使用自己的 JAASRealm 将它们配置到应用程序服务器中（这会将实际工作委托给您的 Realm 和 LoginModule 的实现） . 但是，即使是 tomcat 也不允许从您的 .war 部署您的自定义领域。

请注意，显示我的结果的应用程序服务器似乎都不能充分利用所有 JAAS 回调。它们似乎都只支持基本的用户名+密码方案。如果您需要比这更复杂的东西，那么您将需要找到一个不受 Java EE 容器管理的解决方案。

作为参考，并且因为在我的问题的评论中被要求，这是我为 GlassfishV2 编写的代码。

首先，这是 Realm 的实现：

public class WebserviceRealm extends AppservRealm {

private static final Logger log = Logger.getLogger(WebserviceRealm.class.getName());

private String jaasCtxName;
private String hostName;
private int port;
private String uri;

@Override
protected void init(Properties props) throws BadRealmException, NoSuchRealmException {
    _logger.info("My Webservice Realm : init()");

    // read the configuration properties from the user-supplied properties,
    // use reasonable default values if not present
    this.jaasCtxName = props.getProperty("jaas-context", "myWebserviceRealm");
    this.hostName = props.getProperty("hostName", "localhost");
    this.uri = props.getProperty("uri", "/myws/EPS");

    this.port = 8181;
    String configPort = props.getProperty("port");
    if(configPort != null){
        try{
            this.port = Integer.parseInt(configPort);
        }catch(NumberFormatException nfe){
            log.warning("Illegal port number: " + configPort + ", using default port (8181) instead");
        }
    }
}

@Override
public String getJAASContext() {
    return jaasCtxName;
}

public Enumeration getGroupNames(String string) throws InvalidOperationException, NoSuchUserException {
    List groupNames = new LinkedList();
    return (Enumeration) groupNames;
}

public String getAuthType() {
    return "My Webservice Realm";
}

public String getHostName() {
    return hostName;
}

public int getPort() {
    return port;
}

public String getUri() {
    return uri;
}
}

然后是 LoginModule 实现：

public class WebserviceLoginModule extends AppservPasswordLoginModule {

// all variables starting with _ are supplied by the superclass, and must be filled
// in appropriately

@Override
protected void authenticateUser() throws LoginException {
    if (_username == null || _password == null) {
        throw new LoginException("username and password cannot be null");
    }

    String[] groups = this.getWebserviceClient().login(_username, _password);

    // must be called as last operation of the login method
    this.commitUserAuthentication(groups);
}

@Override
public boolean commit() throws LoginException {
    if (!_succeeded) {
        return false;
    }

    // fetch some more information through the webservice...

    return super.commit();
}

private WebserviceClient getWebserviceClient(){
    return theWebserviceClient;
}
}

最后，在 Realm 中必须绑定到 LoginModule。这是在 JAAS 配置文件级别完成的，在 glassfish v2 中位于 yourDomain/config/login.conf 中。在该文件的末尾添加以下行：

myWebserviceRealm { // use whatever String is returned from you realm's getJAASContext() method
    my.auth.login.WebserviceLoginModule required;
};

这就是让我在 glassfish 上工作的原因。同样，该解决方案不能跨应用服务器移植，但据我所知，没有现成的可移植解决方案。

Answer 2

是否有任何标准或广泛支持的方式来实现自定义领域？是否可以以任何方式从 .war 部署该领域，或者它是否总是需要从服务器自己的类路径中加载？

绝对有一种标准的方式来实现自定义领域，或者更一般地说，自定义身份验证模块。这可以通过JASPIC/JASPI/JSR 196 SPI/API来完成。JASPIC 是任何完整 Java EE 6 实现的标准部分，但遗憾的是它不是 Java EE 6 Web Profile 的一部分。

然而，尽管 JASPIC 是 Java EE 6 的一部分，但它并没有得到供应商的最佳支持。GlassFish 和 WebLogic 似乎有很好的实现，JBoss AS 和 Geronimo 的问题有点多。JBoss 关于这个主题的首席工程师 (Anil Saldhana) 甚至表示他暂时拒绝默认激活JASPIC 。Jboss AS 7.1 中的一些最严重的错误最近已被修复，但由于不再计划发布 JBoss 7.1.x 的公开版本，而且 JBoss AS 7.2 还需要一段时间，这意味着至少在 JBoss JASPIC 上是麻烦。

另一个不幸的问题是实际的身份验证模块可能是标准化的，但是没有声明性的方式（读取 XML 文件）来配置它是标准化的。

Is it in any way possible to deploy that realm from a .war, or does it always need to be loaded from the server's own classpath?

With JASPIC, the authentication module ('realm') can indeed be loaded from a .war. I'm not 100% sure whether this is guaranteed by the spec, but of the 4 servers I tested (GlassFish, WebLogic, Geronimo and JBoss AS), they all supported this. Geronimo unfortunately has some kind of race condition in its programmatic registration, so you need an ugly workaround by doing a hot deploy twice, but it in the end if does load the module from the .war.

As of the proprietary mechanisms, at least JBoss AS has always supported loading the module (e.g. a subclass of org.jboss.security.auth.spi.AbstractServerLoginModule) from the .war or .ear.

我最近写了一篇关于这个主题的博客文章，其中包含更多细节。

Answer 3

您永远不能从 WAR 部署领域，因为领域不是应用程序工件，它是容器工件（因此称为“基于容器的安全性”）。您可以将您的应用程序配置为使用容器提供的特定领域，但应用程序本身无法提供。

也就是说，虽然所有容器都是不同的，并且这些领域是不可移植的，但如果您正在寻找可移植性，简单的常识将减少与容器集成所需的一点点胶水代码的差异。

Answer 4

快速查看 Suns 文档后，您似乎必须编写一个自定义 LoginModule 来扩展他们的应用程序服务器特定类。这对我来说似乎有点倒退，并且是 Glassfish 的限制。

如果您想让它更便携，我建议将大部分实现放在针对标准 JavaEE 接口开发的自定义 LoginModule 中，然后有一个特定于 Glassfish 的薄实现层，它委托给标准的可移植实现.

Answer 5

查看Sun 关于此主题的文章。

我自己从来没有真正这样做过，但我非常有信心每个 AS 都为您提供了在其上注册新领域（安全域）的选项。

它可能不会 100% 可移植，并且对于每个 AS，您可能需要不同的配置 XML，但基本上，代码没有任何不同的理由。