1

我已经使用 Glassfish 3.1 + JDBCRealm + MySQL (MD5) 实现了基于 FORM 的身份验证。我只有两个角色,用户和管理员。一切都很顺利,我可以从日志中看到身份验证在两种情况下都可以作为用户和管理员工作(下面的观看日志)

Q1:是否可以制作两个不同的索引文件,以便当用户是管理员时,他/她去/admin/index.xhtml,而当用户是角色用户时,他直接去faces/user/index.xhtml?

Q2:现在当我以用户身份登录时,我仍然可以进入“管理端”,只需将整个链接直接写入浏览器中的地址字段,为什么要避免这种情况?

Q3:当我以用户身份登录并且欢迎文件列表中只有 faces/admin/index.xhtml 时,即使 xml 文件告诉其他内容,它也会将我重定向到该文件,为什么?

<welcome-file-list>
        <welcome-file>faces/admin/index.xhtml</welcome-file> *?? ----> it goes always here, cause it is the first one I think?*
       <welcome-file>faces/user/index.xhtml</welcome-file>
    </welcome-file-list>

    <security-constraint>
        <display-name>Admin Pages</display-name>
        <web-resource-collection>
            <web-resource-name>Protected Admin Area</web-resource-name>
            <description/>
            <url-pattern>/faces/admin/*</url-pattern>
            <http-method>GET</http-method>
            <http-method>POST</http-method>
            <http-method>HEAD</http-method>
            <http-method>PUT</http-method>
            <http-method>OPTIONS</http-method>
            <http-method>TRACE</http-method>
            <http-method>DELETE</http-method>
        </web-resource-collection>
        <auth-constraint>
            <description/>
            <role-name>admin</role-name>
        </auth-constraint>
    </security-constraint>
    <security-constraint>
        <display-name>User Pages</display-name>
        <web-resource-collection>
            <web-resource-name>Protected Users Area</web-resource-name>
            <description/>
            <url-pattern>/faces/users/*</url-pattern>
            <!--url-pattern>/faces/users/index.xhtml</url-pattern-->
            <http-method>GET</http-method>
            <http-method>POST</http-method>
            <http-method>HEAD</http-method>
            <http-method>PUT</http-method>
            <http-method>OPTIONS</http-method>
            <http-method>TRACE</http-method>
            <http-method>DELETE</http-method>
        </web-resource-collection>
        <auth-constraint>
            <description/>
            <role-name>user</role-name>
        </auth-constraint>
    </security-constraint>

    <login-config>
        <auth-method>FORM</auth-method>
        <realm-name>JDBCRealm</realm-name>
        <form-login-config>
            <form-login-page>/faces/loginForm.xhtml</form-login-page>
            <form-error-page>/faces/loginError.xhtml</form-error-page>
        </form-login-config>

    </login-config>
</web-app>

日志:

FINE: Login module initialized: class com.sun.enterprise.security.auth.login.JDBCLoginModule
FINEST: JDBC login succeeded for: admin groups:[admin, user]
FINE: JAAS login complete.
FINE: JAAS authentication committed.
FINE: Password login succeeded for : admin
FINE: Set security context as user: admin
FINE: [Web-Security] Setting Policy Context ID: old = null ctxID = jdbcrealm/jdbcrealm
FINE: [Web-Security] hasUserDataPermission perm: (javax.security.jacc.WebUserDataPermission  GET)
FINE: [Web-Security] hasUserDataPermission isGranted: true
FINE: [Web-Security] Policy Context ID was: jdbcrealm/jdbcrealm
FINE: [Web-Security] Codesource with Web URL: file:/jdbcrealm/jdbcrealm
FINE: [Web-Security] Checking Web Permission with Principals : null

(在 myfear 的回答后编辑) -----在 glassfish-web.xml我有这样的角色。如果我理解正确,这意味着管理员属于组:管理员、客户和用户。客户属于组:客户和用户,用户属于组用户。我理解正确吗?

    <security-role-mapping>
    <role-name>admin</role-name>
    <group-name>admin</group-name>
    <group-name>customer</group-name>
    <group-name>user</group-name>
  </security-role-mapping>
  <security-role-mapping>
    <role-name>customer</role-name>
    <group-name>customer</group-name>
    <group-name>user</group-name>
  </security-role-mapping>
  <security-role-mapping>
    <role-name>user</role-name>
    <group-name>user</group-name>
  </security-role-mapping>

</glassfish-web-app>

谢谢!萨米人

4

3 回答 3

1

我刚刚尝试将其作为大学课程的一部分,这就是我如何获得我认为您所追求的功能。我正在使用带有 Glassfish 4.1.1 服务器的 Netbeans,并且已经在服务器文件领域配置了用户角色。

我的项目有3个文件:

index.xhtml users/mainmenu.xhtml admin/mainmenu.xhtml

欢迎页面设置为index.xhtml具有以下超链接:

 <h4>
     <a href="/ED-Secure-war/faces/admin/mainmenu.xhtml">
         Admin Login
     </a>
 </h4>
 <h4>
     <a href="/ED-Secure-war/faces/user/mainmenu.xhtml">
           User Login
        </a>
 </h4>

在我的 web.xml 安全部分中,我配置了以下角色

现在,因为通过用户组限制对其中每一个的访问,所以当您单击索引上的超链接时,系统会提示您登录。如果您为管理员链接输入有效的管理员登录名,您将被重定向到admin/mainmenu.xhtml,反之亦然。

于 2020-04-29T12:20:01.473 回答
0

A1) 欢迎文件与角色无关。如果您需要为调度用户执行任何类型的逻辑,则需要考虑使用 boolean HttpServletRequest.isUserInRole(String role) 或类似的东西来找出用户所在的角色。

A2) 那不应该发生。您需要检查您在 JDBCRealm 中的角色。就我在这里看到的而言,一切都以正确的方式配置。

A3) 我不确定我是否正确理解了您的备注“XML”文件。但是欢迎文件不绑定到角色和.. 见 A1)

谢谢,米

于 2012-02-29T12:10:11.070 回答
0

对于您的问题 1:使用过滤器,您可以将用户重定向到特定页面 userlogin.xhtml 或 adminlogin.xhtml

public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
    String userName = SecurityAssociation.getPrincipal().getName();
    String userNameSubject = SecurityAssociation.getSubject().toString();

    System.out.println("Yeeey! Get me here and find me in the database: " + userName+ " Subject : "+userNameSubject);

    filterChain.doFilter(servletRequest, servletResponse);
}
于 2012-03-07T11:54:35.547 回答