问题标签 [j-security-check]

我已经成功运行了一个基于 FORM 的身份验证项目，并尝试对 icefaces 项目做同样的事情。换句话说，我想使用 ice:form 而不是 form，所以我想知道是否可以将登录请求重定向到托管 bean 中的 j_security_check：

在我的登录页面中：

但我真的不知道该怎么做，我也没有找到关于 j_security_check 及其实际工作原理的文档。

我有一个简单的 jsf 应用程序开发并在 tomcat 6.0.13 上工作。通过在 web.xml 中添加常用设置，我为整个应用程序添加了一些安全约束。

当我现在将应用程序部署到 tomcat 并检查时，它在 Firefox 中工作得非常好，我得到了我的 Login.html 渲染（下面的代码），一旦获得授权，我就会进入相关页面。当我在 IE 中导航到同一个应用程序时，我得到如下登录提示，但单击提交按钮没有做任何事情。它只是停留在那里，就像它没有发回服务器一样，因为服务器似乎没有从客户端浏览器获得任何响应（没有错误，没有日志等）。

我究竟做错了什么？

谢谢

我正在运行 Glassfish 3.0，并且正在实现 JDBCRealm 以进行登录身份验证。用户名和角色保存在名为 usertable 的表中。身份验证按预期工作。

但是现在的问题是当用户登录时，如何在应用程序中检索登录用户的用户名？

PS：我正在实现 JSF 页面和托管 Bean

我有一个简单的用户名/密码表单，在提交时会j_security_check针对LDAP用户凭据执行操作。

不正确的凭据在两种浏览器中的行为都符合预期，但是当您为表单提供正确的凭据并点击提交时，FF 的行为符合预期，但 IE 会不断刷新空白页面。
我不知道这是代码还是浏览器问题。

当未经身份验证的用户请求某些资源时，他将被重定向到登录页面，但j_security_check会保留原始请求的资源。如果用户登录成功，它将被重定向到该资源。

问题是有时请求的资源是动态的，所以它可能不存在。我的应用程序中有很多地方都有这种行为，因此我们不是在每个“资源处理程序”（控制器）中验证这一点，而是试图将所有这些逻辑集中在一个过滤器中，该过滤器拦截j_security_check到登录页面的转发。

现在，我们如何才能获得基于表单的身份验证机制保存的原始请求资源？它取决于供应商吗？

另一种选择：

j_security_check如果我可以在我无法修改 URL之前运行过滤器，但我可以使用“有效 URL”向用户发送重定向。但是我怎样才能在之前执行过滤器j_security_check？

我对 JMeter 很陌生，但我对 JMeter 的用途有一些想法。我还有一个启用了表单身份验证的 Tomcat 应用程序。我尝试使用的线程包括：

• HTTP 请求默认值
• HTTP Cookie 管理器
• HTTP 标头管理器

以及以下一组 HTTP 采样器：

• 登出页面 ( /app/logout.jsp)
• 登录页面 ( /app/login.jsp)
• j_security_check (/ app/j_security_check)

其中启用了跟随重定向和使用 KeepAlive。我无法弄清楚为什么 j_security_check 请求响应重定向到logout.jsp. 在 Chrome 中检查 HTTP 响应后，我注意到此类请求重定向到 index.jsp，但如果凭据正常，则永远不会重定向到注销页面。首先，我有一个想法，我没有模仿所有的浏览器HTTP头，但是我将它们都添加到HTTP头管理器后失败了：

但即使在指定所有这些之后，我也无法模拟身份验证......有什么想法吗？提前致谢。

我在 glassfish 3.1 上运行的 j2ee 应用程序中使用基于表单的身份验证和 j_security_check。问题是当登录成功时，我必须更新一些与经过身份验证的用户相关的数据。j_security_check 结束执行后如何进行登录后操作？谢谢。

我一直在寻找这个问题的解决方法相当长的时间但没有结果，所以我在这里提出问题。

简单来说，我User在我的项目中使用了一个 CDI SessionScoped Bean 来管理用户信息并将它们显示在 jsf 页面上。容器管理j_security_check也用于解决身份验证问题。

session.invalidate()如果先用不同的用户注销然后在同一个浏览器选项卡中登录，一切都很好。但是当我尝试login.jsf使用新用户直接登录（通过）而不事先注销时，我发现用户信息保持不变。

我调试并发现Userbean 以及HttpSession实例，如果在同一个浏览器中使用不同的用户登录，只要session.invalidate()不被调用，它总是保持不变。但奇怪的是，会话 ID 确实被修改了，而且我都检查了 Java 代码和 Firebug。

上面的块包含两个连续的登录及其Session信息。我们可以看到实例（第 1 行）相同，而会话 id（第 2 行）不同。似乎会话对象被重用以包含不同的会话ID，并且CDI框架仅根据会话对象管理会话bean生命周期（？）。

我想知道除非无效，否则同一浏览器中是否只有一个服务器端会话对象？

由于我正在采用j_security_check我喜欢拦截它并使旧会话无效并不是那么容易。那么是否有可能在不改变 CDI+JSF+j_security_check 设计的情况下实现这一目标，即可以在同一浏览器中的相同或不同选项卡中使用不同帐户重新登录？

真的很期待您的回复。

更多信息：Glassfish v3.1 是我的应用服务器。

在我们的应用程序中，我们需要让用户在使用基于表单的身份验证登录时选择所需的数据源，我不确定在使用标准的基于表单的身份验证时是否可能。我听说可以使用 TextInputCallback，但不知道如何（以及在​​哪里）实现它。

我正在开发一个 Java 应用程序一段时间。我主要在 .NET 平台上工作。虽然我觉得这两个平台之间有很多概念是共同的，但是我发现一些与配置相关的问题的领域很少。

我正在研究身份验证和授权，并认为我会得到类似于 JAVA 中.NET 的成员资格 API 的东西。我得到的最接近的是使用 j_security_check。我也了解了 JAAS，但我认为这对我来说太深入了。

我已经在数据库中创建了用户和角色表，现在我必须在某处指定 JDBC 领域设置。我正在使用 Tomcat 7.0。在大多数地方，都提到我需要在 server.xml 中指定领域设置。但这不适用于部署在该服务器上的所有 Web 应用程序，因为它将成为服务器级别的配置？

在一个站点上，我什至看到一个开发人员提到了 context.xml，但又看不到一个标准文档提到使用这个 XML 文件来设置 JDBC 领域

在 .NET 中，我们始终将成员资格设置放在 web.config 级别，而不是 Machine.config。

对此完全感到困惑。在这方面寻找一些线索。