JSP entrada con seguridad declarativa - ¿Cómo ocurre la autenticación real?
https://stackoverflow.com/questions/4024192
-
26-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
he sido un poco desconcertado con esto, ya que no he visto muchos ejemplos que me dio la imagen completa. La mejor explicación que encontré hasta ahora es este .
Mediante la definición de una función de seguridad en web.xml como "admin", por ejemplo, y tener mi forma de la conexión con todos los campos necesarios (es decir j_security_check como acción, y los campos j_username, j_password), cómo / dónde lo hace la autenticación real ocurrir?
Voy a utilizar una autenticación personalizada utilizando contraseñas de nombre de usuario / (hashes) almacenados en la base de datos. Cuando el usuario somete la forma, ¿cómo puedo hacer el contenedor web de Java EE invocación de mi método sevlet / frijol do realizar la autenticación real? No me di cuenta cualquier lugar para añadir un gancho para mi código en web.xml que hacer la autenticación real.
Solución
Mediante la definición de una función de seguridad en web.xml como "admin", por ejemplo, y tener mi forma de la conexión con todos los campos necesarios (es decir j_security_check como acción, y los campos j_username, j_password), cómo / dónde lo hace la autenticación real ocurrir?
En la implementación servlet, el servletcontainer. En Tomcat, por ejemplo, está hecho por el AuthenticatorBase código de clase (fuente aquí ).
Voy a utilizar una autenticación personalizada utilizando contraseñas de nombre de usuario / (hashes) almacenados en la base de datos. Cuando el usuario somete la forma, ¿cómo puedo hacer el contenedor web de Java EE invocación de mi método sevlet / frijol do realizar la autenticación real? No me di cuenta cualquier lugar para añadir un gancho para mi código en web.xml que hacer la autenticación real.
Si desea seguir usando la autenticación gestionada por contenedor, sino que desea comprobar el inicio de sesión contra una base de datos, entonces usted necesita para configurar el llamado "reino" en consecuencia. No está claro lo que servletcontainer que está utilizando, pero en Tomcat por ejemplo, la documentación está disponible aquí: Tomcat 6.0 Realm HOW-TO .
Si realmente quiere tener su propio sistema de autenticación de cosecha propia invoca en su lugar, entonces usted necesita para dejar caer el recipiente de seguridad gestionada y homegrow aún más. que no se recomienda .
Otros consejos
El real autenticación está haciendo a través de cualquiera de dos maneras:
- A través de un camino de servidor patentado, por ejemplo, los * LoginModules en JBoss, Tomcat o el uno BalusC mencionado. Estos son diferentes para cada servidor.
- Vía JASPIC, que se introdujo en Java EE 6.
JASPIC prácticamente ha estandarizado los métodos propietarios, pero es una API bastante bajo nivel y por desgracia sólo está disponible para el perfil completo de Java EE 6 y 7 implementaciones.
implementar la autenticación de contenedores en Java EE con JASPIC para más detalles.
