使用Java EE安全性和JBoss AS 7.x保护JSF应用程序的安全

最新推荐文章于 2024-07-29 14:22:26 发布
最新推荐文章于 2024-07-29 14:22:26 发布
阅读量151 收藏
点赞数
文章标签: java python web linux spring

企业应用程序的常见要求是在登录页面后面保护所有JSF页面。 有时,您甚至希望在应用程序内部具有保护区,只有拥有特定角色的用户才能访问这些保护区。 Java EE标准附带实现受某些安全性约束保护的Web应用程序所需的所有方法。 在此博客文章中,我们希望开发一个简单的应用程序,以演示这些方法的用法,并展示如何为两个不同的角色构建完整的JSF应用程序。 由于该解决方案乍看之下可能会直截了当,因此有一些陷阱需要注意。

我们要关心的第一点是应用程序的文件夹布局。 我们有三种不同的页面:

  • 所有用户都应该可以访问登录页面和错误页面。
  • 我们有一个主页,只有经过身份验证的用户才能访问。
  • 我们有一个受保护的页面,该页面仅对角色roleed-role的用户可见。

因此,将这三种类型的页面放在三个不同的文件夹中:根文件夹src / main / webapp,文件夹src / main / webapp / pages和受保护的页面位于src / main / webapp / pages / protected:

安全网页

web.xml文件是定义我们要使用的角色以及如何将某些URL模式的可访问性映射到这些角色的位置: 

<security-constraint>
    <web-resource-collection>
        <web-resource-name>pages</web-resource-name>
        <url-pattern>/pages/*</url-pattern>
        <http-method>PUT</http-method>
        <http-method>DELETE</http-method>
        <http-method>GET</http-method>
        <http-method>POST</http-method>
    </web-resource-collection>
    <auth-constraint>
        <role-name>security-role</role-name>
        <role-name>protected-role</role-name>
    </auth-constraint>
</security-constraint>
<security-constraint>
    <web-resource-collection>
        <web-resource-name>protected</web-resource-name>
        <url-pattern>/pages/protected/*</url-pattern>
        <http-method>PUT</http-method>
        <http-method>DELETE</http-method>
        <http-method>GET</http-method>
        <http-method>POST</http-method>
    </web-resource-collection>
    <auth-constraint>
        <role-name>protected-role</role-name>
    </auth-constraint>
</security-constraint>

<security-role>
    <role-name>security-role</role-name>
</security-role>
<security-role>
    <role-name>protected-role</role-name>
</security-role>

如您所见,我们定义了两个角色:security-role和protected-role。 只有拥有security-role和protected-role角色的用户才能访问与模式/ pages / *匹配的URL,而/ pages / protected / *下的页面仅限于具有protected-role角色的用户。

您可能会偶然发现的另一点是欢迎页面。 乍一看,您希望将登录页面指定为欢迎页面。 但这是行不通的,因为Servlet容器的登录模块会自动将所有未经授权的访问重定向到登录页面。 因此,我们将应用程序的主页指定为欢迎页面。 这已经是一个受保护的页面,但是当用户直接调用其URL时,它将自动重定向到登录页面。 

<welcome-file-list>
    <welcome-file>pages/home.xhtml</welcome-file>
</welcome-file-list>

现在我们几乎完成了web.xml页面。 我们要做的就是定义身份验证方法以及登录页面和错误页面,以防用户输入无效凭据时显示。 必须引起注意的是,这两个页面均不包含受保护的URL(例如CSS或JavaScript文件),否则,甚至禁止访问这两个页面,并且用户会看到Application Server特定的错误页面。 

<login-config>
    <auth-method>FORM</auth-method>
    <form-login-config>
        <form-login-page>/login.xhtml</form-login-page>
        <form-error-page>/error.xhtml</form-error-page>
    </form-login-config>
</login-config>

在将应用程序部署到JBoss Application Server时,我们提供了一个名为jboss-web.xml的文件,该文件将我们的应用程序连接到安全域: 

<?xml version="1.0" encoding="UTF-8"?>
<jboss-web>
    <security-domain>java:/jaas/other</security-domain>
</jboss-web>

在standalone.xml中配置了“其他”安全域。 默认配置要求用户传递“ RealmUsersRoles”登录模块,该模块从配置文件夹中的两个文件application-users.properties和application-roles.properties获取其用户和角色定义。 您可以使用提供的添加用户脚本将新用户添加到该领域: 

What type of user do you wish to add?
 a) Management User (mgmt-users.properties)
 b) Application User (application-users.properties)
(a): b

Enter the details of the new user to add.
Realm (ApplicationRealm) :
Username : bart
Password :
Re-enter Password :
What roles do you want this user to belong to? (Please enter a comma separated list, or leave blank for none) : security-role,protected-role
About to add user 'bart' for realm 'ApplicationRealm'
Is this correct yes/no? yes

在这里选择正确的领域(ApplicationRealm)很重要,因为默认情况下,在standalone.xml中为“其他”登录模块配置了该领域。 在这里,您还可以用逗号分隔列表的形式提供用户所拥有的角色。 

<form method="POST" action="j_security_check" id="">
	<h:panelGrid id="panel" columns="2" border="1" cellpadding="4" cellspacing="4">
		<h:outputLabel for="j_username" value="Username:" />
		<input type="text" name="j_username"/>
		<h:outputLabel for="j_password" value="Password:" />
		<input type="password" name="j_password"/>
		<h:panelGroup>
			<input type="submit" value="Login"/>
		</h:panelGroup>
	</h:panelGrid>
</form>

下一步是实现一个简单的登录表单,该表单将其数据提交到登录模块。 请注意输入字段的ID以及表单的操作。 通过这种方式,表单被发布到登录模块,该模块从请求中提取输入的用户名和密码。 JSF开发人员可能想知道为什么我们使用标准HTML表单而不是元素。 原因是JSF表单元素跨越了自己的名称空间,因此输入字段的ID带有表单ID的前缀(并且此ID不能为空)。

如果用户已通过登录表单,我们将向他显示一个主页。 但是,只有拥有protected-role角色的用户才能访问到受保护页面的链接。 这可以通过以下呈现条件来完成: 

<h:link value="Protected page" outcome="protected/protected" rendered="#{facesContext.externalContext.isUserInRole('protected-role')}"/>

最后但并非最不重要的一点是,我们需要注销功能。 对于这种情况,我们实现了一个简单的后备bean,类似于以下实例,它使用户的会话无效并将其重定向回登录页面: 

@Named(value = "login")
public class Login {

    public String logout() {
        FacesContext.getCurrentInstance().getExternalContext().invalidateSession();
        return "/login";
    }
}
  • 像往常一样,完整的源代码可以在github上找到。


翻译自: https://www.javacodegeeks.com/2014/01/securing-a-jsf-application-with-java-ee-security-and-jboss-as-7-x.html

dnc8371
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JBoss 系列三十:JBoss Data Grid(Infinispan)服务器
Kylin Soong Blog -> ksoong.org
10-25 3421
内容概述 如前面Infinispan安装部分所介绍,安装完Infinispan服务器会产生infinispan-server-6.0.0.Final目录,为了方便描述我们将此目录简称为JDG_HOME,这里我们简单介绍一下Infinispan服务器。 创建用户 JDG_HOME/bin下存在创建用户的启动脚本,Infinispan服务器提供了REST接口、Memcached接口以及Hot
jboss配置使用JMS消息队列
不忘初心 ,方得始终
06-30 5534
 在JBoss服务器上创建消息队列 我们可以使用如下4种方式创建消息队列: Management ConsoleManagement CLI部署*-jms.xml 文件到 deployments目录编辑JBoss配置文件 使用Management Console创建消息队列 1. 启动具有消息功能的JBoss,即启动JBoss使用-c 或 --server-config= 指向
【中间件安全Jboss安全加固规范
12-24 3195
【中间件安全Jboss安全加固规范 1. 适用情况 适用于使用Jboss进行部署的Web网站。 适用版本:5.x版本的Jboss服务器 2. 技能要求 熟悉Jboss安装配置,能够Jboss进行部署,并能针对站点使用Jboss进行安全加固。 3. 前置条件 根据站点开放端口,进程ID,确认站点采用Nginx进行部署; 找到Jboss安装目录,针对具体站点对配置文件进行修改; 在...
Jboss安全加固
gohai的专栏
12-30 1411
Jboss安全加固 本人声明如需转载请保留如下信息:  作者:SOLARIS小兵 MAIL:solarisxb@hotmail.com BLOG:http://solarisxb.cublog.cn/ 一、 前言: Jboss默认安装以后,会默认打开http://127.0.0.1,显示如下: JBoss Online Resources • JBoss 4.0 docume
jboss安全配置参考
煜铭2011
11-07 3557
0x01 账号口令 1   jmx-console      默认情况访问 http://ip:port/jmx-console 需要输入用户名和密码。设置用户名密码限制账号,并进行加密存储。jboss 6.0 之前的版本 JMX 控制台的配置文件位置为:server/$config/deploy/jmx-console.war/WEB-INF/,jboss 6.0 及以上、7.0 以前的版本
Web应用的创建笔记(4)_增加用户认证与授权功能
05-24 3247
Web应用的一个通用的需求是能提供用户的认证与授权服务。目前很流行的一个认证授权协议是OAUTH2.0,像我们经常使用的微信,QQ,微博等都是遵循了OAUTH2.0的协议标准,第三方应用可以获得微信,微博的用户授权,读取用户的相关资料。Keycloak是一个遵循了OAUTH2.0协议的一个开源的应用,在本文中,我将采用Keycloak来保护我之前创建的WEB前端与后端的应用。首先我们要新建一个Ke...
LinuxJboss安装
yk10010的博客
07-31 586
1. 准备工作 1.1 去掉baseurl的注释,注释掉mirrorlist [root@Hm311~]# vi /etc/yum.repos.d/epel.repo # 去掉baseurl的注释,注释掉mirrorlist baseurl=http://download.fedoraproject.org/pub/epel/6/$basearch #mirrorlist=https:...
jboss-as-7.1.1.Final
10-26
JBoss AS 7.1.1.Final 是一个企业级的应用服务器,它是Red Hat JBoss 产品线的一部分,主要用于部署和管理Java EEJava Platform, Enterprise Edition)应用程序。这个版本在2012年发布,是JBoss AS 7系列的一个...
jboss-5.1.0.GA 下载地址
06-07
9. **安全性**:JBoss AS 5.1.0.GA内置了安全框架,支持角色基础的访问控制(RBAC)、JAAS(Java Authentication and Authorization Service),以及SSL/TLS加密,确保应用程序安全性。 10. **性能优化**:通过...
jboss-5.1.0.GA-src.tar.gz
12-05
JBoss AS 5.1.0 GA 是一个历史悠久但至关重要的中间件产品,它属于Java企业版(Java EE)的应用服务器,由Red Hat公司开发。这个版本的源代码压缩包"jboss-5.1.0.GA-src.tar.gz"为开发者提供了深入理解其工作原理的...
Realm在Application中使用的坑
Raleigh
04-22 362
目的:在用户使用前,就能快速看到最新数据,并且还不影响UI线程,采用异步事务操作。 在应用启动时,初始化化Realm后,获取数据库数据,异步线程中进行事务操作, 如下几个坑点(只有刚初始化才会出现,后面就正常了) 1.deleteAllFromRealm 原代码: realm.executeTransactionAsync(new Realm.Transaction() { ...
wildfly安装及基本使用
AutoCar_player的博客
01-20 4615
一.wildfly在linux下的安装 1.下载地址 官网下载地址:https://www.wildfly.org/downloads/ 2.目录介绍 下载好后我们解压出来看一下目录结构: *appclient 里面是一些默认的配置、服务器日志配置等 *bin 里面就是一些可执行的脚本文件,有添加用户的、启动的脚本等 *docs 就是服务器的基础文件 *domain 服务器的启动方式有两种,一种是standalone,另一种就是domain的分布式启动,里面放了domain启动的相关配置 *standa
JBoss安全设置
JZik的博客
01-24 287
JBoss安全设置 实验步骤: 1,安装JDK 1.7.x 将tar包拖入虚拟机home中,ls查看 [root@localhost ~]# ls 解包 [root@localhost ~]# tar zxvf jdk-7u80-linux-x64.tar.gz 3,[root@localhost ~]# mv jdk1.7.0_80 /usr/local/jdk1.7.0 4,编辑 [root@localhost ~]# vim /etc/profile 5,另开一个终端要先输入以下命令 [roo
Jboss7.1遇到的坑相关总结
花&败
12-01 1918
Jboss的包是jboss-as-7.1.1.Final.zip Jboss7.1与JDK1.8是不兼容的,如果服务器安装的是JDK1.8,那么你需要将JDK换成1.8以下的,可以是1.7的。 当然如果你不想将安装好的JDK卸载掉,也可以使用记事本进入到Jboss的安装目录下,找到bin目录下的文件 standalone.bat或者standalone.sh(这个取决于你是linux还是wi...
使用hutool工具判断字符串是否全部是字母(包括大小写),java判断字符串是否全部是字母(包括大小写)
最新发布
qq_43700885的博客
07-29 148
1.导入hutool的maven依赖。2.复制一下代码执行。
golang 接口
m0_70982551的博客
07-24 968
接口定义了一组方法,这些方法没有具体的实现。接口类型的变量可以存储任何实现了这些方法的类型的值。// 更多方法...在Go语言中,接口值是指存储了实现某个接口的具体类型值的变量。接口值由两部分组成:1.动态类型:这是接口值当前存储的实际类型。2.动态值:这是实际存储的值,该值必须实现了接口中定义的所有方法。
java判断邮箱地址是否正确,使用hutool工具判断邮箱地址是否正确
qq_43700885的博客
07-29 89
1.导入hutool的maven依赖。2.直接复制一下代码运行。
Swagger使用Map接受参数时,页面如何显示具体参数及说
a1058926697的博客
07-26 521
后端使用Map接受参数,要求在swagger页面上显示具体的参数名称、类型及说明。当Map接受参数数量少时,可以使用Swagger自带的注解。自定义注解 @ApiGlobalModel。编写处理注解对应的插件。
JBoss 4.x企业级Java应用开发教程:从安装到实战
第三部分深入到基于JBoss 4.x的JSFJavaServer Faces)应用开发,解释了JSF的基本概念,并以JbossPetStore为例,演示了安装和使用的过程。这部分内容对理解和实践面向用户界面的开发至关重要。 第四部分转向JMS...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值