使用JAAS进行身份验证

Question

我有一个用户连接到他们的个人资料的网络应用程序。

当我请求受保护的资源（在本例中为profile.xhtml页面）时，我能够使用JAAS再次对数据库进行身份验证。

验证后，我可以访问配置文件页面，这显然是空的（没有数据从数据库传输）。

所以，我的问题是：在验证后我无法弄清楚如何为他提供适当的配置文件（充满此用户信息）。换句话说：

1）如何从登录模块到我的个人资料页面获取用户名（表User的id）？

2）如何将用户元组的信息放在服务的JSF页面中，以便将其呈现给用户？

这是我的登录模块（有点长，所以我只剪切了登录方法）：

@Override
public boolean login() throws LoginException {

    if (callbackHandler == null) {
        throw new LoginException("Error: no CallbackHandler available "
                + "to garner authentication information from the user");
    }
    Callback[] callbacks = new Callback[2];
    callbacks[0] = new NameCallback("username");
    callbacks[1] = new PasswordCallback("password: ", false);

    try {

        callbackHandler.handle(callbacks);
        username = ((NameCallback) callbacks[0]).getName();
        password = ((PasswordCallback) callbacks[1]).getPassword();

        if (debug) {
            System.out.println("Username :" + username);
            System.out.println("Password : " + password);
        }

        if (username == null || password == null) {
            System.out.println("Callback handler does not return login data properly");
            throw new LoginException(
                    "Callback handler does not return login data properly");
        }

        if (isValidUser()) { // validate user.
            Profile profile = new Profile();
            profile.setUsername(username);
            succeeded = true;

            return true;
        }

    } catch (IOException e) {
        e.printStackTrace();
    } catch (UnsupportedCallbackException e) {
        e.printStackTrace();
    }

    return false;
}

这是我的表单身份验证，在请求profile.xhtml页面后弹出（我在web.xml中配置了此规则）：

<form method=post action="j_security_check">
    <p>
        <span>Username:</span> <br /> <input type="text" name="j_username">
    </p>
    <p>
        <span>Password:</span> <br /> <input type="password"
            name="j_password">
    </p>
    <p>
        <input type="submit" value="Login">
    </p>
</form>

这是我的个人资料的jsf页面的一部分，与“profile.java”相关联，这是此页面的managedBean。我不知道如何在身份验证后获取信息并将其放在managedBean中并将其提供给他的jsf页面：

<h:form>
<h:outputText value="#{profile.username}"/><br/>
<h:outputText value="#{profile.password}"/><br/>
</h:form>

如果您需要其他代码，请告诉我们。 谢谢

---

好的，现在我可以使用@PostConstruct注释在我的profile.xhtml页面中显示一些垃圾信息，如下所示：

@PostConstruct
private void prepareProfile(){
    Subject subject = new Subject();
    username = String.valueOf(subject.getPrincipals().size());
    System.out.println(username);
}

但是，我忽略了如何从刚认证的用户那里获取信息。 你有什么主意吗？ 谢谢

Answer 1

这可能为时已晚，但当我在搜索中遇到此页面时，这可能会让其他人感觉良好。

我们通过在会话中存储经过身份验证的用户来解决此问题。 您可以使用CustomLoginModule

从((HttpRequest)PolicyContext.getContext("javax.servlet.http.HttpServletRequest")).getSession()检索会话

然后，您可以在任何需要的地方从会话中检索它。

在您的情况下，使用JSF，您可以将其存储在会话bean中。 由于我不会进入此处的原因，您的CustomLoginModule中不会自动执行注射，您需要请求注射，例如初始化方法。

此处请求为您的班级注入的示例方法：

public static <T> void programmaticInjection(Class clazz, T injectionObject) throws NamingException {
    log.trace("trying programmatic injection for "+clazz.getSimpleName());
    InitialContext initialContext = new InitialContext();
    Object lookup = initialContext.lookup("java:comp/BeanManager");
    BeanManager beanManager = (BeanManager) lookup;
    AnnotatedType annotatedType = beanManager.createAnnotatedType(clazz);
    InjectionTarget injectionTarget = beanManager.createInjectionTarget(annotatedType);
    CreationalContext creationalContext = beanManager.createCreationalContext(null);
    injectionTarget.inject(injectionObject, creationalContext);
    creationalContext.release();
}

这样称呼：programmaticInjection(CustomLoginModule.class, this);

然后，注入会话bean，插入用户信息，并根据需要在配置文件支持bean中使用它。