具有FORM身份验证的Elytron编程登录

我们目前正在从遗留的安全子系统迁移到Elytron，并在JBoss EAP 7.3.6中部署了一个基于Struts2的Web应用程序，该应用程序应该支持多种"风格"的身份验证。

登录的标准方式应该是用户在登录表单(j_security_check)中手动提供凭据，然后单击相应的按钮。这在我们的设置中与 Elytron 配合得很好。

第二种可能性是，对 Web 应用程序的受保护内容的 GET 请求可以包含包含 JWT 令牌的自定义 cookie。此 Cookie 由io.undertow.server.HttpHandler拦截，该以其io.undertow.server.HttpHandler#handleRequest方法处理传入的请求。此处理程序由io.undertow.servlet.api.DeploymentInfo#addSecurityWrapper注册，DeploymentInfo由io.undertow.servlet.ServletExtension的实现提供。ServletExtension在META-INF/services/io.undertow.servlet.ServletExtension注册为服务提供商。

我们实现io.undertow.server.HttpHandler#handleRequest中的请求处理从 cookie 中提取 JWT 令牌，对其进行预验证并确定包含的用户名。此用户名和作为密码的令牌用作调用javax.servlet.http.HttpServletRequest#login的输入。

对于旧版安全子系统，服务器的行为是，此登录调用触发了针对配置的旧版安全域的身份验证，并在 Undertow 中创建了一个会话，以便上一个 GET 请求的 HTTP 200 响应包含带有新JSESSIONIDcookie 的Set-Cookie标头。

使用 Elytron，javax.servlet.http.HttpServletRequest#login

不会执行任何操作，既不会触发针对 Elytron 安全域和安全域的身份验证，也不会触发会话的创建。浏览器仅显示登录表单，该表单应被描述的拦截过程跳过。

我调试了 JBoss 附带的javax.servlet.http.HttpServletRequest#login的实现。我们从io.undertow.servlet.spec.HttpServletRequestImpl#login开始，它调用login = sc.login(username, password).这个SecurityContext，当使用Elytron时，是org.wildfly.elytron.web.undertow.server.SecurityContextImpl。org.wildfly.elytron.web.undertow.server.SecurityContextImpl#login首先检查if (httpAuthenticator == null)。httpAuthenticator仅设置在org.wildfly.elytron.web.undertow.server.SecurityContextImpl#authenticate中，该由调用javax.servlet.http.HttpServletRequest#authenticate调用。

这就解释了，为什么对io.undertow.servlet.spec.HttpServletRequestImpl#login的简单呼唤什么也没做。我尝试先调用javax.servlet.http.HttpServletRequest#authenticate，在内部实例化该httpAuthenticator，然后javax.servlet.http.HttpServletRequest#login。这至少最终触发了针对配置的 Elytron 安全域和安全域的身份验证和授权。身份验证/授权成功，但 Undertow 仍然没有发出新的JSESSIONIDcookie，浏览器再次显示登录表单，而不是继续访问受保护的资源。

我目前没有想法，如何继续解决这个问题以及如何实现与传统安全子系统相同的行为。为什么 Elytron 的io.undertow.security.api.SecurityContext实施与传统安全 (io.undertow.security.impl.SecurityContextImpl) 相比行为如此不同？我应该如何使用Elytron以编程方式登录基于FORM的Web应用程序，并javax.servlet.http.HttpServletRequest#login和/或javax.servlet.http.HttpServletRequest#authenticate？

所有这些的相关 JBoss 配置如下所示：

退波：

<application-security-domains>
<application-security-domain name="my_app_security_domain" http-authentication-factory="MyHttpAuthFactory"/>
</application-security-domains>

翅鞘：

<security-domains>
<security-domain name="MySecurityDomain" default-realm="MyCachingRealm" permission-mapper="default-permission-mapper">
<realm name="MyCachingRealm" role-decoder="FromRolesAttributeDecoder"/>
</security-domain>
</security-domains>
<security-realms>
<custom-realm name="MyCustomRealm" module="module name redacted" class-name="class name redacted"/>
<caching-realm name="MyCachingRealm" realm="MyCustomRealm" maximum-age="300000"/>
<identity-realm name="local" identity="$local"/>
</security-realms>
<mappers>
<simple-permission-mapper name="default-permission-mapper" mapping-mode="first">
<permission-mapping>
<principal name="anonymous"/>
<permission-set name="default-permissions"/>
</permission-mapping>
<permission-mapping match-all="true">
<permission-set name="login-permission"/>
<permission-set name="default-permissions"/>
</permission-mapping>
</simple-permission-mapper>
<constant-realm-mapper name="local" realm-name="local"/>
<constant-realm-mapper name="MyRealmMapper" realm-name="MyCachingRealm"/>
<simple-role-decoder name="FromRolesAttributeDecoder" attribute="Roles"/>
</mappers>
<http>
<http-authentication-factory name="MyHttpAuthFactory" security-domain="MySecurityDomain" http-server-mechanism-factory="global">
<mechanism-configuration>
<mechanism mechanism-name="FORM" realm-mapper="MyRealmMapper">
<mechanism-realm realm-name="MyRealm"/>
</mechanism>
</mechanism-configuration>
</http-authentication-factory>
<provider-http-server-mechanism-factory name="global"/>
</http>