jee6 学习笔记 12: Securing Application Component with JAAS api

最新推荐文章于 2024-01-09 11:01:14 发布
最新推荐文章于 2024-01-09 11:01:14 发布
阅读量98 收藏
点赞数
分类专栏: JEE JSF Java Security 文章标签: JAAS api application componet JBoss7.1 JSF2.0
JEE 同时被 3 个专栏收录
40 篇文章 0 订阅
订阅专栏
JSF
11 篇文章 0 订阅
订阅专栏
Java
10 篇文章 0 订阅
订阅专栏

In "jee6 学习笔记 11", we explored the JAAS configuration for a JSF2.0 application with JBoss7.1, so far so good.

 

This article would explore the JAAS APIs that enable further control on application component. We are going to explore two topics: "Hiding the navigation urls from the web app menu" and "Control access to EJB methods".

 

1. Hiding menu items for users that have no access to them

 

Now that we secure the web application based on the security domain configured in JBoss and the roles we defined in our database. We want to hide menu items that user has no access to.

 

For instance, in our example, user "jason" only has role "usr" allocated to him, such that "jason" has no access to resources like "/student/*". Therefore, "jason" should not see menu items "Student" at all after he logged in.

 

To achieve this, we can use JAAS api which is made available by HttpServletRequest (Servlet3.0). We can actually use EL directly in the menu page as "rendered=#{request.isUserInRole('admin')}" :

 

<p:submenu label="#{msgs.student}">
    <p:menuitem value="#{msgs.studentSearch}" url="/student/studentSearch.jsf" 
                          rendered="#{request.isUserInRole('admin')}" />

    <p:menuitem value="#{msgs.studentNew}" url="/student/studentDetails.jsf" 
                          rendered="#{request.isUserInRole('admin')}"/>

    <p:separator/>

    <p:menuitem value="#{msgs.blah}" url="#"/>

</p:submenu>

 

With this in place, "jason" would not see menu items that are not accessible. However, if he is naughty and figured out our url patterns, he still can manually enters the url in his browser. That's no problem, he'll get the no access error page, like this screen shot:

 



 This is the Chinese version of it (-;


 2. Control access to EJB methods

 

Here's the JAAS api to use for different context:

 

EJB javax.ejb.EJBContext.isCallerInRole(role)
Servletjavax.servlet.http.HttpServletRequest.isUserInRole(role)
Web Servicejavax.xml.ws.WebServiceContext.isUserInRole(role)

 

Access control to EJB methods can be achieved by using annotation @javax.annotation.security.RolesAllowed, But it's also necessary to let the EJB know our security domain, which was configured in JBoss. We need to use JBoss specific annotation to do this: @org.jboss.ejb3.annotation.SecurityDomain. This annotation can be found in JBoss ("C:\jboss-as-7.1.1\modules\org\jboss\ejb3\main") and you need to add it to your project class path for compilation.

 

Here's the test ejb "JaasEjbTest.java":

 

package test.jxee.ejb;

import javax.annotation.PostConstruct;
import javax.annotation.Resource;
import javax.annotation.security.RolesAllowed;
import javax.ejb.SessionContext;
import javax.ejb.Stateless;

import org.apache.log4j.Logger;
import org.jboss.ejb3.annotation.SecurityDomain;

@Stateless
@SecurityDomain("jwSecureTest")  // our security domain configured in JBoss
public class JaasEjbTest {
  
  private static final Logger log = Logger.getLogger(JaasEjbTest.class);
  
  @Resource
  private SessionContext sc;  // for testing only
  
  @PostConstruct
  public void init() {
    log.debug(">>> ejb post inited: " + this);
  }

  @RolesAllowed({"admin"})  // this method requires "admin" role to access
  public String getMessage() {
    boolean callerInRole = sc.isCallerInRole("admin");  // test JAAS api
    log.debug(">>> caller in role ? " + callerInRole);
    return "-- hello from JAAS ejb test --"; 
  }
}

 

Here's the backing bean:

 

package test.jxee.action;

import java.io.Serializable;

import javax.ejb.EJB;
import javax.faces.bean.ManagedBean;

import org.apache.log4j.Logger;

import test.jxee.ejb.JaasEjbTest;

@ManagedBean(name="jaasTest")
public class JaasTestBean implements Serializable {
  
  private static final Logger log = Logger.getLogger(JaasTestBean.class);

  @EJB private JaasEjbTest jtest;
  
  public String getMsg() {
    try {
      return jtest.getMessage();
    }
    catch(javax.ejb.EJBAccessException eae) {
      log.warn("### Unauthorized access to ejb: " + JaasEjbTest.class.toString());
    }
    
    return "-- You have no access to the EJB --";
  }
}

 

Here's the jsf page:

 

<ui:composition xmlns="http://www.w3.org/1999/xhtml"
   				xmlns:h="http://java.sun.com/jsf/html"
      			xmlns:f="http://java.sun.com/jsf/core"
      			xmlns:ui="http://java.sun.com/jsf/facelets"
      			xmlns:p="http://primefaces.org/ui"
   				template="/template/template1.xhtml">

	<ui:define name="title">Test JAAS</ui:define>
	
	<ui:define name="content">
	   <h:form>
		<p:panel header="JAAS api test on EJB method" toggleable="true" style="width:60%">
		    	<h:panelGrid columns="1">
		        	<h:outputText id="output" value="#{jaasTest.msg}" escape="false"/>
		        </h:panelGrid>
		</p:panel>
	   </h:form>
	</ui:define>
</ui:composition>

 

Screen shot of the page, when user "j2ee"(roles: admin/usr) logged in and try to access the ejb:


Screen shot of the page, when user "jason"(roles: usr) logged in and try to access the ejb:


iteye_9496
关注
专栏目录
Spring 4 学习笔记6:依赖注入(配置)
acherie的博客
09-28 5453
Spring 4 依赖注入的配置,包括自动注入,显式注入(Java 配置),显式注入(XML 配置)。
Maven学习笔记一:安装和基本配置
红嘴奎利亚雀 的专栏
07-05 4377
本文已迁移到我的新博客地址:blog.favorstack.io 欢迎访问~ 本例使用JDK1.7.0_45 + Maven 3.3.3 + Eclipse jee 4.4(Luna) Apache Maven是一个非常优秀的项目构建管理工具,现在准备在项目中全面使用Maven来管理。 下载: 首先去官网下载一份maven,目前最新版本是3.3.3: http://maven.ap...
【模拟IC学习笔记】 PSS和Pnoise仿真
努力学习的IC小白
01-09 9591
离散时间网络(开关电容电路)的噪声仿真方法。
hybris学习笔记:Trail+~+Preparation
杨江的IT分享专栏
10-05 1万+
安装JDK 1.7 64位安装eclipse, Elipse download site (selecting the Java EE version)    eclipse-jee-luna-SR1-win32-x86_64Increase the memory allocated to the JVM  In your eclipse.ini file (this is beside the
左耳听风——笔记二:程序员练级攻略
页页的博客
10-26 5万+
左耳听风——笔记二:程序员练级攻略
编译maven项目出现Could not find artifact org.restlet.jee:org.restlet.parent:pom:2.2.1问题
CODE CRAFT
08-17 1万+
经过几天的折腾,问题最终解决了。 出现的问题: After correcting the problems, you can resume the build with the command mvn -rf :csmp-agent-plugin-fc 解决方式三种: 第一种:首先查看maven仓库中保存的版本是多少,再修改编译项目csmp-agent-plugin-fc下
超详细的springBoot学习笔记
热门推荐
cnn0314的博客
02-27 37万+
Spring Boot 1.Spring Boot简介 Spring诞生时是Java企业版(Java Enterprise Edition,JEE,也称J2EE)的 轻量级代替品。无需开发重量级的Enterprise JavaBean(EJB),Spring为企业级 Java开发提供了一种相...
尚硅谷韩顺平Linux教程学习笔记
李英俊小朋友
07-12 6214
尚硅谷韩顺平Linux教程学习笔记 文章目录尚硅谷韩顺平Linux教程学习笔记写在前面虚拟机Linux目录结构远程登录Linux系统vi和vim编辑器关机、重启和用户登录注销用户管理实用指令组管理和权限管理定时任务调度Linux磁盘分区、挂载网络配置进程管理RPMYUM搭建JAVAEE环境安装Tomcat安装Eclipse安装mysqlShell编程Shell编程综合案例Python定制篇 开发平...
springboot学习笔记:执行单元测试时,mapper默认扫描路径为启动类的包名
山鬼谣的专栏
02-24 5567
环境 springboot:2 前言 情况是这样的: 对新建的项目,进行模块调整:按照DDD的架构,设计各个module。 当把启动类Application.java调整包路径后,发现单元测试执行失败; 调整的具体操作是,将原有的包com.alibaba.模糊.模糊改为com.alibaba.模糊.模糊.start。也就是加了一个start路径。 然后又将启动类的包路径还原回去后,单元测试执行成功。 纠结了一下午,加一晚上终于找到原因了。特此记录下。 当执行单元测试时,会报错,我们看到下图红线处的提示
JBoss 系列七十二:jBPM 6 新功能/特性介绍(API 层面)
Kylin Soong Blog -> ksoong.org
12-23 1万+
概述 jBPM 6.0 最终版已与上月底发布,与jBPM 5相比有很大变化,本文从API编程的角度去简单说说jBPM 6,本文设计到内容包括: 2个重要的接口运行状态管理jBPM 服务注入 (CDI) 2个重要的接口 jBPM 6最主要的两个接口指的是KieSession (ProcessRuntime)和TaskService。 KieSession 是最常用与引擎交互
jee6 学习笔记 5 - Struggling with JSF2 binding GET params
04-08
这篇"jee6 学习笔记 5 - Struggling with JSF2 binding GET params"主要探讨了开发者在使用JSF2绑定GET参数时可能遇到的挑战和解决方案。 JSF2是一个基于MVC(模型-视图-控制器)设计模式的Java框架,用于创建交互...
jee6 学习笔记 6.3 - @Asynchronous
04-08
在Java企业版(Java EE)6中,`@Asynchronous`注解是一个非常重要的特性,它使得开发者可以方便地在应用程序中实现异步处理。这个注解是Java EE并发编程的一部分,主要应用于EJB(Enterprise JavaBeans)环境,用于...
jee6 学习笔记 1 - 开发环境的配置
04-07
NULL 博文链接:https://jxee.iteye.com/blog/1575432
jee6-petclinic2:Spring Pet Clinic 到 JEE 的另一个迁移示例
07-13
jee6-petclinic2 要使用 mysql jndi 资源: 要将 mysql 数据源安装到 Wildfly 8.1 上,请运行“mvn verify -Pds” 在 conf/persistence.xml jta-data-source 和 comment 属性中取消注释。
jee-mvc-app:一个示例 JavaEE 应用程序,展示了 MVC 1.0 API 的用法
06-04
这是一个非常基本的应用程序,它利用了 JavaEE 8 平台的 MVC 1.0 API。 要查看运行中的应用程序,请运行: mvn package embedded-glassfish:run 并将浏览器指向localhost:8888 有关更多信息,请访问 。
考研复习-英语二真题考试题集-带答案
09-14
英语二考研真题复习资料,带答案版
2024中美独角兽公司发展分析报告.pdf
09-14
全球各大洲独角兽企业分布、中美独角兽企业对比(数量、估值、新增及退榜情况、行业分布、所在城市)、
C++ 中的异步编程模型是什么
09-14
在C++中,异步编程模型是处理并发任务、提高程序性能和响应性的关键技术。以下是C++中实现异步编程的几种主要方式: 每种异步编程模型都有其适用场景和优缺点。选择合适的模型可以提高代码的可读性、可维护性和性能。随着C++标准的不断发展,异步编程模型也在不断进化,为开发者提供了更多的工具和选择。 在实际开发中,应根据具体需求选择合适的异步编程模型。例如,对于简单的异步任务,回调函数可能是最直接的选择;而对于需要结构化错误处理和结果获取的复杂异步任务,std::async和std::future可能更合适;在需要高效资源管理的场景下,线程池是一个不错的选择;而对于需要编写大量异步代码的现代应用程序,协程提供了一种更简洁、更直观的解决方案。 总之,C++中的异步编程模型是多核和高并发环境下提高程序性能的重要工具。通过合理使用这些模型,开发者可以构建出更高效、更可靠的软件系统。
正则表达式Regex是一种文本模式.docx
最新发布
09-14
正则表达式(Regular Expression,简称Regex或Regexp)是一种文本模式,包括普通字符(例如,a 到 z 之间的字母)和特殊字符(称为"元字符")。正则表达式使用单个字符串来描述、匹配一系列符合某个句法规则的字符串。正则表达式是强大的文本处理工具,广泛用于搜索、编辑或操作文本和数据。 基本组成 普通字符:大多数字符,包括所有大写和小写字母、所有数字、所有标点符号和一些其他符号,都是普通字符。正则表达式中的普通字符表示它们自身。例如,正则表达式test会匹配字符串"test"。 特殊字符(元字符):一些字符在正则表达式中具有特殊的意义,如^、$、.、*、+、?、{、}、[、]、|、\等。这些特殊字符用于表示在搜索文本时要匹配的一个或多个字符。例如,.匹配除换行符之外的任何单个字符。 字符类:字符类允许你指定一组字符中的任何一个字符。例如,[abc]匹配"a"、"b"或"c"中的任意一个字符。你也可以使用范围,如[a-z]匹配任何小写字母。 预定义字符类:正则表达式提供了一些预定义字符类,用于匹配常见的字符集合。例如,\d匹配任何数字(等价于[0-9]),\s匹配任
Java学习笔记整理:入门必备知识,深入浅出,适合初学者。
Java学习笔记整理:这份学习笔记是从互联网收集而来,适合那些刚入门Java编程的童鞋们。首先从第一章开始,我们了解到Java是一种计算机编程语言,也是一种软件开发平台和运行平台。Java有三个主要版本:Java标准版...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值