Java / WildFly / MongoDB / JAAS - Аутентификация всегда возвращает 403 - Запрещено
1
Я создал пользовательский LoginModule для аутентификации пользователей, присутствующих в коллекциях mongoDB. В моем случае мне нужна одна роль на странице... Я уже использовал аутентификацию JAAS с JSF, но в этом случае она работает не так, как ожидалось... Она всегда возвращает ошибку 403 (Forbidden). Отображение URL-адресов, по-видимому, в порядке.
Что моя иерархия страниц:
- приложение <-root
- страницы
- мои защищенные страницы (одна роль на странице)
- login.html
- login_error.html
- index.html
- страницы
Следуйте моим настройкам:
JBoss-web.xml
<jboss-web>
<security-domain>nfceSecurityDomain</security-domain>
<disable-audit>true</disable-audit>
</jboss-web>
web.xml
<session-config>
<session-timeout>30</session-timeout>
</session-config>
<login-config>
<auth-method>FORM</auth-method>
<form-login-config>
<form-login-page>/app/login.html</form-login-page>
<form-error-page>/app/login_error.html</form-error-page>
</form-login-config>
</login-config>
<security-role>
<role-name>VISUALIZAR_NOTAS</role-name>
</security-role>
<security-role>
<role-name>GESTAO_CERTIFICADO</role-name>
</security-role>
<security-role>
<role-name>GESTAO_EMPRESA</role-name>
</security-role>
<security-role>
<role-name>DOWNLOAD_XML</role-name>
</security-role>
<security-role>
<role-name>INUTILIZACAO</role-name>
</security-role>
<security-constraint>
<web-resource-collection>
<web-resource-name>index</web-resource-name>
<url-pattern>/app/index.html</url-pattern>
<http-method>POST</http-method>
<http-method>GET</http-method>
<http-method>PUT</http-method>
<http-method>DELETE</http-method>
</web-resource-collection>
<auth-constraint>
<role-name>VISUALIZAR_NOTAS</role-name>
</auth-constraint>
</security-constraint>
<security-constraint>
<web-resource-collection>
<web-resource-name>orderList</web-resource-name>
<url-pattern>/app/pages/orderlist.html</url-pattern>
<http-method>POST</http-method>
<http-method>GET</http-method>
<http-method>PUT</http-method>
<http-method>DELETE</http-method>
</web-resource-collection>
<auth-constraint>
<role-name>VISUALIZAR_NOTAS</role-name>
</auth-constraint>
</security-constraint>
<security-constraint>
<web-resource-collection>
<web-resource-name>certificateConfigurations</web-resource-name>
<url-pattern>/app/pages/certifiedlist.html</url-pattern>
<http-method>POST</http-method>
<http-method>GET</http-method>
<http-method>PUT</http-method>
<http-method>DELETE</http-method>
</web-resource-collection>
<auth-constraint>
<role-name>GESTAO_CERTIFICADO</role-name>
</auth-constraint>
</security-constraint>
<security-constraint>
<web-resource-collection>
<web-resource-name>enterpriseConfigurations</web-resource-name>
<url-pattern>/app/pages/enterpriselist.html</url-pattern>
<http-method>POST</http-method>
<http-method>GET</http-method>
<http-method>PUT</http-method>
<http-method>DELETE</http-method>
</web-resource-collection>
<auth-constraint>
<role-name>GESTAO_EMPRESA</role-name>
</auth-constraint>
</security-constraint>
<security-constraint>
<web-resource-collection>
<web-resource-name>xmlDownload</web-resource-name>
<url-pattern>/app/pages/orderdownload.html</url-pattern>
<http-method>POST</http-method>
<http-method>GET</http-method>
<http-method>PUT</http-method>
<http-method>DELETE</http-method>
</web-resource-collection>
<auth-constraint>
<role-name>DOWNLOAD_XML</role-name>
</auth-constraint>
</security-constraint>
<security-constraint>
<web-resource-collection>
<web-resource-name>invalidate</web-resource-name>
<url-pattern>/app/pages/orderInvalidate.html</url-pattern>
<http-method>POST</http-method>
<http-method>GET</http-method>
<http-method>PUT</http-method>
<http-method>DELETE</http-method>
</web-resource-collection>
<auth-constraint>
<role-name>INUTILIZACAO</role-name>
</auth-constraint>
</security-constraint>
standalone.xml
<subsystem xmlns="urn:jboss:domain:security:1.2">
<security-domains>
<security-domain name="nfceSecurityDomain" cache-type="default">
<authentication>
<login-module code="br.com.ciss.nfce.security.JAASLoginModule" flag="required"/>
</authentication>
</security-domain>
</security-domains>
</subsystem>
И вот моя реализация LoginModule, чтобы получить пользователя и роли от MongoDB:
public class JAASLoginModule implements LoginModule {
private static final Logger LOG = Logger.getLogger(JAASLoginModule.class);
private Subject subject;
private CallbackHandler callbackHandler;
private Map sharedState;
private Map options;
private boolean succeeded = false;
private boolean commitSucceeded = false;
private String username = null;
private String _idUser = "";
private char[] password = null;
private Principal userPrincipal = null;
private Principal passwordPrincipal = null;
private ConnectionMongoUtil connectionMongoUtil;
public JAASLoginModule() {
super();
}
@Override
public void initialize(Subject subject, CallbackHandler callbackHandler,
Map<String, ?> sharedState, Map<String, ?> options) {
this.subject = subject;
this.callbackHandler = callbackHandler;
this.sharedState = sharedState;
this.options = options;
}
@Override
public boolean login() throws LoginException {
if (callbackHandler == null) {
throw new LoginException("Error: no CallbackHandler available "
+ "to garner authentication information from the user");
}
Callback[] callbacks = new Callback[2];
callbacks[0] = new NameCallback("username");
callbacks[1] = new PasswordCallback("password: ", false);
try {
callbackHandler.handle(callbacks);
username = ((NameCallback) callbacks[0]).getName();
password = ((PasswordCallback) callbacks[1]).getPassword();
if (username == null || password == null) {
LOG.error("Callback handler does not return login data properly");
throw new LoginException(
"Callback handler does not return login data properly");
}
if (isValidUser()) { // validate user.
succeeded = true;
return true;
}
} catch (IOException e) {
e.printStackTrace();
} catch (UnsupportedCallbackException e) {
e.printStackTrace();
}
return false;
}
@Override
public boolean commit() throws LoginException {
if (succeeded == false) {
return false;
} else {
userPrincipal = new JAASUserPrincipal(username);
if (!subject.getPrincipals().contains(userPrincipal)) {
subject.getPrincipals().add(userPrincipal);
LOG.debug("User principal added:" + userPrincipal);
}
passwordPrincipal = new JAASPasswordPrincipal(new String(password));
if (!subject.getPrincipals().contains(passwordPrincipal)) {
subject.getPrincipals().add(passwordPrincipal);
LOG.debug("Password principal added: " + passwordPrincipal);
}
List<String> roles = getRoles();
for (String role : roles) {
Principal rolePrincipal = new JAASRolePrincipal(role);
if (!subject.getPrincipals().contains(rolePrincipal)) {
subject.getPrincipals().add(rolePrincipal);
LOG.debug("Role principal added: " + rolePrincipal);
}
}
commitSucceeded = true;
LOG.info("Login subject were successfully populated with principals and roles");
return true;
}
}
@Override
public boolean abort() throws LoginException {
if (succeeded == false) {
return false;
} else if (succeeded == true && commitSucceeded == false) {
succeeded = false;
username = null;
if (password != null) {
password = null;
}
userPrincipal = null;
} else {
logout();
}
return true;
}
@Override
public boolean logout() throws LoginException {
subject.getPrincipals().remove(userPrincipal);
succeeded = false;
succeeded = commitSucceeded;
username = null;
if (password != null) {
for (int i = 0; i < password.length; i++) {
password[i] = ' ';
password = null;
}
}
userPrincipal = null;
return true;
}
private boolean isValidUser() throws LoginException {
try {
BasicDBObject search = new BasicDBObject();
search.put("email", username);
connectionMongoUtil = new ConnectionMongoUtil();
DBObject user = connectionMongoUtil.getCollection("User").findOne(search);
if (user == null){
LOG.debug("USUÁRIO NÃO LOCALIZADO!");
return false;
}else{
if ( new String(password).equals(user.get("password"))){
_idUser = user.get("_id").toString();
return true;
}else{
LOG.debug("SENHA INVÁLIDA PARA O USUÁRIO " + username);
}
}
return false;
} catch (Exception e) {
LOG.error("Error when loading user " + username + " from the database \n", e);
}
return false;
}
/**
* Returns list of roles assigned to authenticated user.
*
* @return
*/
private List<String> getRoles() {
BasicDBObject search = new BasicDBObject();
search.put("_idUser", _idUser);
DBObject userModules = connectionMongoUtil.getCollection("UserModules").findOne(search);
String jsonArrayModules = userModules.get("_idModules").toString();
String[] modules = null;
try {
modules = new ObjectMapper().readValue(jsonArrayModules, String[].class);
} catch (IOException e) {
e.printStackTrace();
}
List<String> modulesList = new ArrayList<String>();
for (String _idModule : modules) {
DBObject module = connectionMongoUtil.getCollection("Module").findOne(new BasicDBObject("_id", new ObjectId(_idModule)));
if (module != null){
modulesList.add(module.get("name").toString());
}
}
return modulesList;
}
}
Я добавил следующее свойство в standalone.xml, чтобы увидеть журналы, созданные JAAS, и не имеет журнала ошибок...
<logger category="org.jboss.security">
<level name="ALL"/>
</logger>
В моих коллекциях MongoDB я добавил все роли своему пользователю, и когда я пытаюсь войти в систему, я могу войти в систему, но все страницы заблокированы, возвращая ошибку 403.
Кто-нибудь может мне помочь? Может быть, это всего лишь небольшая деталь, вызывающая ошибку 403...
Спасибо за внимание!
-
0Вы пробовали регистрировать фактический используемый запрос MongoDB и возвращаемое значение? Если вы не уверены, куда добавить отладочную информацию в JAAS, вы можете попробовать использовать профилировщик базы данных MongoDB на уровне 2 (все запросы, а не только медленные запросы).Stennie
-
0Привет, парень, спасибо за ваш ответ ... Я думаю, что проблема не в запросах mongoDB, потому что я установил пользователя и роли в JAASLoginModule, и произошла та же ошибка. Я думаю, что ошибка в конфигурации JBoss ...siega
Показать ещё 1 комментарий
3 ответа
0
Лучший ответ
Единственный способ разрешить эту ситуацию - это изменение JAAS по Spring Security :)
siega
Поделиться
0
Я знаю, что это старая нить, но все же без хорошего решения.
У меня была такая же проблема...
В некотором контексте: у меня было "здоровое" Java-приложение, использующее JAAS (прямое выполнение javax.security.auth.spi.LoginModule), плавно выполняющееся на Tomcat7. Затем на сцену пришли требования заказчика: "Он должен работать на JBoss 7.1.1" WTF? Даже небольшая версия и патч!?!
Hands On: я сделал всю конфигурацию, имел некоторые недостатки с кодом Java 8 и JAX-RS, но это еще одна история, в конце концов мое приложение было успешно развернуто в JBoss 7.1.1.
Проблема: я мог видеть на консоли, что логин был успешным, но все запросы возвращали HTTP 403.
При отладке всех Принципов (CallerPrincipal и UserRoles) были в порядке.
Кроме того, у меня есть один абстрактный BaseServlet для оркестровки и который все запросы должны проходить, но HTTP 403 возникла до его достижения...
Решение. Поэтому я заметил, что вся документация JBoss, касающаяся JAAS, советует разработчикам расширять свои настраиваемые LoginModules, поэтому я начал копать.
Org.jboss.security.auth.spi.AbstractServerLoginModule использует то, что они называют "стандартным шаблоном использования JBossSX для хранения идентификаторов и ролей".
Я не стал так подробно объяснять шаблон, но я реализовал "JBossWebRealm", который завершает процесс аутентификации в стороне контейнера, ожидает реализации java.security.acl.Group с именем "Роли", содержащим всех Принципов (CallerPrincipal и UserRoles) в качестве членов (членство в JAASRealm).
Этот объект используется для проверки безопасности.
Конец истории, я добавил этот метод к моей реализации LoginModule:
public boolean commit() throws LoginException {
// some validation code here
Set<Principal> principals = subject.getPrincipals();
// ensure principals contains (CallerPrincipal and UserRoles)
createRolesGroup(principals);
return true;
}
private void createRolesGroup(Set<Principal> principals) {
// Thee java.security.acl.Group implementation
SecurityGroup rolesGroup = new SecurityGroup("Roles");
Iterator<Principal> iter = principals.iterator();
while(iter.hasNext()) {
Object principal = iter.next();
if(!(principal instanceof Group)){
rolesGroup.addMember((Principal)principal);
}
principals.add(rolesGroup);
}
И работает как шарм.
Надеюсь, поможет.
Reginaldo Santos
Поделиться
0
Вы пробовали развернуть свой модуль в wildfly http://www.mastertheboss.com/jboss-server/jboss-security/configuring-a-mongodb-login-module
David Chaava
Поделиться
-
0К сожалению, у меня нет времени, чтобы сделать это в моей работе. Когда у меня будет время, я проведу этот тест, а затем сообщу вам о результате. Спасибо!
Ещё вопросы
- 0Как исчезнуть элемент при переходе?
- 0Почему у меня возникают проблемы с изменением курсоров мыши в моей реализации интерактивного QGraphicsView в Qt?
- 1текст Jlabel становится обрезанным при печати
- 0навигатор настроен на полный диапазон
- 0ASP.NET API Controller возвращает XMLHttpRequest не может загрузить URL Неверный код состояния HTTP 404
- 0JQuery AJAX кнопку возврата, чтобы вернуться на страницу поиска с результатами поиска
- 0как вызвать на jquery.smart мастере кнопку Готово?
- 0Используя библиотеку PHP Podio, не могу получить данные рейтинга через PodioItem :: get ($ id)
- 1Несоответствие типов шаблонов при обновлении данных плитки
- 1Knockout: нажмите кнопку, созданную на стороне сервера
- 1Сбой при вводе QR-кода в режим «Владелец устройства»
- 0Использование InstallShield Limited Edition с VS2010
- 1Как получить обрезанное изображение и отобразить его в ImageView?
- 1React-Native добавляет var в тег просмотра
- 0DatePicker отображать текущую дату по умолчанию и только для GET?
- 0Сокращенный способ проверки следующего элемента массива со строковыми индексами
- 0Как вывести блок div при наведении курсора на тег span в разделе?
- 0Использование CONCAT с оператором CASE работает некорректно
- 0C ++ store количество раз, когда main называется [closed]
- 1удалить список элементов из ObservableCollection <List>, определенный DateTime
- 0SVG путь не соблюдает соотношение сторон
- 1Использование VisualState для установки ширины RichEditBox на Авто (XAML, C #, приложение для Windows 8)
- 0Как объединить несколько индексов в Sphinx
- 0У меня есть большой список ограничивающих рамок, как я могу рассчитать дубликаты?
- 0Создание угловой директивы для повторного использования кода - ошибка синтаксического анализа при создании HTML
- 1Как получить пользовательский ввод в двух отдельных массивах?
- 0Доступ к размеру элемента в векторе C ++
- 0ошибка: нет соответствующей функции для вызова const
- 1Пользовательские элементы управления ASP.Net совместно используются несколькими проектами
- 1Клиент зависает при чтении объекта из сокета
- 1Условное добавление еще одного условия в оператор LINQ
- 0В PHP Crawler отсутствуют хиты и пустые хиты
- 1Добавить новый столбец по нескольким условиям
- 0Как использовать Backbone на нескольких страницах?
- 1Записать строку с символами новой строки в файл
- 0Как проверить данные эластичного поиска с данными sql после перехода с sql на эластичный поиск
- 1Страница входа с использованием Mvvmcross
- 0Ошибка: Ionic Framework платформы Android
- 1Начните N Количество асинхронных методов
- 1каковы различия между различными способами создания экземпляра JAVA_HOME в Ubuntu
- 1Фильтрация слов в элементах списка по текстовому полю
- 1DLL должна завершить свою работу, хотя ссылочное приложение закрывается
- 0Доступ к функции-члену из вектора указателей? C ++
- 1Как это сделать в C (из Java)
- 0Как передать вектор объектов в другой класс, а затем вызвать функцию внутри члена объекта в этом векторе?
- 1TCP File Transfer - ошибка в нескольких байтах
- 1AppCenter Xamarin. Android успешно собирается и устанавливается на устройствах, но не запускается
- 0Определите, является ли изображение векторным или растровым с помощью PHP
- 0угловой контроллер несколько раз
- 0Как найти количество элементов в динамическом массиве
