问题标签 [picketlink]

我是 Spring 的老用户，现在只需要切换到 Java EE。有很多事情没有按预期工作......

我有一个 CXF / SOAP 服务

一个实现：

还有一个无状态 EJB 的 KlasseService：

DeclaresRole 注释被指定为：

并具有匹配的 DeltaSpike 授权方：

我的 beans.xml 看起来如下：

在处理 SOAP 请求时，永远不会调用CutomAuthorizer 代码（在接口、实现甚至服务 - EJB 上放置注释）。但是，当从ie 调用的方法使用相同的注解时。JSF - 一切都按预期工作。

我发现了一些相关的问题：Deltaspike 和@Stateless Bean 然而阅读这篇文章：Where to use EJB 3.1 and CDI? 让我认为 EJB 容器应该知道 CDI 拦截器等。此外，其他自定义拦截器 (@AroundInvoke) 对我有用，并且 JSF 请求得到保护，正如预期的那样。

我是否遗漏了一些明显的东西，这将使 PicketLink/Deltaspike 在 SOAP 层中可用？ 作为替代方案，我可以使用 Spring Security + AspectJ 切入点，如文档所述：http: //forum.spring.io/forum/spring-projects/security/119811-method-security-java-ee-cdi 但这听起来像很多麻烦....

PS。我正在使用 WildFly 8.2（在 WF9 上 - 结果相同）

我正在尝试从以下位置运行 Picketlink 快速入门：

https://github.com/jboss-developer/jboss-picketlink-quickstarts

进一步来说：

https://github.com/jboss-developer/jboss-picketlink-quickstarts/tree/master/picketlink-federation-saml-idp-basic

但是在每次尝试安装 Maven 依赖项时，我都会收到下一个错误：

这是我之后的整个日志$ mvn clean package jboss-as:deploy

我已经看到您可能需要将 settings.xml 添加到您的 maven 文件夹中，但我不知道如何制作或在该文件中放入什么。

如何配置 PicketLink (LDAP) 以创建一些基本的多对多关系？假设：用户 0<-->* 角色 0<-->* 权限 所以用户可以有多个角色，角色可以有多个权限。

在 PicketLink 中，我可以创建一些角色并添加一些用户（甚至是自定义类）：

但是，我怎样才能将一些权限添加到同一个角色或以其他方式在 LDAP\PicketLink 中创建这种多对多关系？所以我的角色看起来像这样或类似的：

我找到了一些信息： https ://docs.jboss.org/picketlink/2/2.6.0.CR1/reference/html/ch09.html “LDAP 配置支持单个的简单层次结构（父/子）的映射类型。” 是不是 LDAP 不能做到这一点？

我还尝试为一些自定义映射创建一些自定义成员资格类：

但是在运行时我遇到了一些错误，无法将其添加到我的关系管理器中。

有没有人见过在 LDAP/PicketLink 中建立多对多关系的好例子？或者可能对类似问题有一些解决方案？

我在问是否有任何方法可以从他分配的角色和组中继承用户的权限。

当我将权限分配给特定角色并将一个用户分配给该角色时，我无法获得从其角色继承的权限。

这是输出：

有什么 API 可以解决这个问题吗？

目前正在尝试使我的PicketLink配置与Redhat DS(389-ds)一起使用，并且似乎不支持RFC 4530 entryUUID。是这样吗？至少从 389 我找不到这样的属性。是否有一些可用的服务器插件可以解决问题？还是有已知的解决方法？我认为这有一些错误，但不清楚它在哪里？389 服务器上的架构中至少缺少 entryUUID。如何使 Redhat DS (389-server) 与 PicketLink 的 entryUUID 一起工作？#137（不支持 RFC 4530 entryUUID 属性）– 389 项目

我们已将 JBoss PicketLink 标准化为我们的身份验证、授权和身份管理框架，并在整个企业应用程序中使用它。现在，我们想将 JBoss ModeShape 作为内容管理存储库集成到我们的一个应用程序中。有没有办法让 ModeShape在其身份验证和授权决策中利用 PicketLink Identity、Roles、等？Groups我希望由于它们都是 JBoss 项目，因此集成会很容易，但我还没有找到任何关于如何配置它的文档。

我正在自学 SAML。我正在学习使用纠察链接快速入门：https ://github.com/jboss-developer/jboss-picketlink-quickstarts 。

我在运行在端口 9080 的 wildfly 9.0.2 中部署了 picketlink-federation-saml-idp-basic-wildfly.war，在运行在端口 8080 的 wildfly 9.0.2 中部署了 picketlink-federation-saml-sp-post-basic-wildfly.war . 我还更新了standalone.xml 来更新IDP 和SP 的安全域。

我在示例中要做的唯一更改是更新 picketlink-jbas7 的依赖项，因为示例 2.8.0.Beta1-SNAPSHOT 中的版本无法解析。我在 IDP 中使用的 Maven 依赖项是：

我面临的问题是，当我登录 IDP 并单击 SP 链接时，SP 日志中出现以下异常：

请让我知道我做错了什么。

谢谢

我正在尝试使用 JWT 令牌保护 RESTful Web 服务；它基本上是 picketlink-angularjs-rest：PicketLink AngularJS 和 REST 安全快速入门，但带有 L​​DAP (AD) 身份存储。

当客户端尝试获取令牌时，LDAP 授权工作正常，但随后NullPointerException在 JWSTokenProvider尝试使用令牌更新帐户时发生。

（完整的堆栈跟踪在这里）

我怎样才能使这个场景工作？或者如果在 PicketLink 中不可能，还有什么替代方案？”我正在使用 Java EE 7 和 WildFly 应用程序服务器。

我在 web.xml 中添加了一个 primefaces 主题...

...并在头部获取样式表的链接...

...这是正确的，如果我们不使用单点登录，它将所有没有 sessionid 的 URL 重定向到登录屏幕。所以样式表解析为：

来自 primefaces 的其他链接都可以，例如：

作为附加信息，我必须添加：

• web.xml 中的会话模式设置为“URL”（我不想更改）

• 对于单点登录，我们使用 picketlink（我在 WEB-INF 文件夹中有一个 picketlink.xml）
• 网络服务器是 JBoss EAP 6.1

任何想法，我怎么能

• 让primefaces将sessionid添加到样式表href？
• 排除单点登录机制？
• 或者让它以其他方式工作？

直接添加样式表是可能的，但不需要，因为我们为所有应用程序使用 JSF2 模板，但我只想为一个应用程序配置它。先感谢您！

我们目前正在完成的 Java EE 应用程序使用 JBoss PicketLink 和 Apache DeltaSpike 作为其安全框架。所有身份验证和授权决策都是使用这些库完成的。由于我们的安全性要求很高，我们的大多数 EJB 服务方法都有授权检查。在某些情况下，非特权用户需要执行特权操作。例如，仅允许具有 Admin 角色的用户创建用户帐户。但是，在用户自行注册期间，需要创建用户帐户。通常，我们会为这个敏感操作使用类似“Run As”的东西，这样对于单个调用，非特权用户将有权执行特权操作。

但是，我没有在 PicketLink 文档或示例中看到任何表明 PicketLink 支持此功能的内容。我知道其他安全框架可以这样做。Java EE 甚至通过 @RunAs 注释支持这一点。但是，我们不希望使用注释来执行此操作，因为我们希望对可以应用的位置进行非常细粒度的控制。

谁能指出我可以解释如何执行此操作的任何文档或示例？PicketLink 是否支持此功能？还是我们运气不好？您是否有我们可以用来解决此类情况和要求的不同方法？