我在Glassfish上配置了一个jdbc-realm,我正在尝试为具有多个角色的用户实现身份验证。我正在使用JPA来管理数据库表,JDK 1.7,Glassfish3+和EclipseLink(JPA 2.0)。
我已经可以使用基于 FORM 的身份验证成功登录,但作为登录用户,我没有分配任何定义的角色。
我在相关类上的实体映射是
个人账户.java:
@Entity
@Table(name="PersonAccount")
public class PersonAccount implements Serializable {
@Id
@NotNull
private String userName;
private String passwordHash;
@ManyToMany(cascade={CascadeType.PERSIST})
private Set<UserRole> userRoles = new HashSet<UserRole>();;
...
用户角色.java:
@Entity
@Table(name="UserRole")
public class UserRole extends NamedEntity implements Serializable {
@Enumerated(EnumType.ORDINAL)
private persons.util.RoleType roleType = RoleType.StudentRole;
@ManyToMany(mappedBy="userRoles", cascade=
{CascadeType.PERSIST, CascadeType.REMOVE})
private Set<PersonAccount> personAccounts = new HashSet<PersonAccount>();
...
其中基类 NamedEntity 定义主键"id"和值"name",并将"PersonAccount"本身分配给"Person"。
创建第一个(主管理员)帐户"管理员管理员"时,我的数据库内容如下所示:
PERSONACCOUNT:
.USERNAME = admin
.PASSWORDHASH = 8c6976e5b5410415bde908bd4dee15dfb167a9c873fc4bb8a81f6f2ab448a918
.PERSON_ID = 220002
PERSONACCOUNT_USERROLE:
.PERSONACCOUNTS_USERNAME admin
.USERROLES_ID = 220001
USERROLE:
.ID = 220001
.NAME = AdminRole
.ROLETYPE = 3
创建帐户后,我可以使用基于表单的身份验证登录。返回的主体名称为"admin",但未分配任何用户角色"管理员角色"、"教师角色"、"教师角色"或"学生角色"。我可以通过尝试访问其中一个受安全保护的页面来验证这一点。
以下是我的应用程序和玻璃鱼的配置:
网站.xml:
<login-config>
<auth-method>FORM</auth-method>
<realm-name>klops</realm-name>
<form-login-config>
<form-login-page>/login.xhtml</form-login-page>
<form-error-page>/login.xhtml?error=true</form-error-page>
</form-login-config>
</login-config>
<security-role>
<description>Administrators</description>
<role-name>AdminRole</role-name>
</security-role>
<security-role>
<description>Faculty</description>
<role-name>FacultyRole</role-name>
</security-role>
<security-role>
<description>Teachers</description>
<role-name>TeacherRole</role-name>
</security-role>
<security-role>
<description>Students</description>
<role-name>StudentRole</role-name>
</security-role>
玻璃鱼网.xml
<security-role-mapping>
<principal-name>admin</principal-name>
<role-name>AdminRole</role-name>
<group-name>AdminRole</group-name>
</security-role-mapping>
<security-role-mapping>
<principal-name>teacher</principal-name>
<role-name>TeacherRole</role-name>
<group-name>TeacherRole</group-name>
</security-role-mapping>
<security-role-mapping>
<role-name>StudentRole</role-name>
<group-name>StudentRole</group-name>
<principal-name>student</principal-name>
</security-role-mapping>
<security-role-mapping>
<principal-name>faculty</principal-name>
<role-name>FacultyRole</role-name>
<group-name>FacultyRole</group-name>
</security-role-mapping>
最后,领域配置:
<auth-realm name="myjdbcrealm" classname="com.sun.enterprise.security.auth.realm.jdbc.JDBCRealm">
<property name="jaas-context" value="jdbcRealm"></property>
<property name="password-column" value="passwordhash"></property>
<property name="assign-groups" value="AdminRole,FacultyRole,TeacherRole,StudentRole"></property>
<property name="datasource-jndi" value="jdbc/__default"></property>
<property name="user-table" value="personaccount"></property>
<property name="group-table" value="userrole"></property>
<property name="user-name-column" value="username"></property>
<property name="group-name-column" value="name"></property>
<property name="digest-algorithm" value="SHA-256"></property>
</auth-realm>
我对找到某些信息的事实感到困惑(我只能使用创建的帐户登录,并且只能使用正确的密码登录),但是当 im 登录时,用户上下文似乎没有任何角色。
我已经到处搜索并尝试了将近一天,但我在这里找不到错误。能够列出连接的用户目前拥有的角色甚至会有所帮助,但似乎检查角色的唯一方法是使用
FacesContext.getCurrentInstance().getExternalContext().
isUserInRole("AdminRole"));
此问题的帮助将不胜感激:)
谢谢
帕特里克
编辑:
我创建了一个视图USER_ACCOUNTS其中包含 UserRole.name 作为用户名和PersonAccount_Userrole.用户名作为用户名,并相应地更改了领域映射,但我仍然得到相同的结果。如果用户名等于安全角色映射中的主体名称,则用户具有所有 4 个角色。如果我从映射中删除主体名称,则用户在登录后根本没有角色。
现在表内容和配置是:
PERSONACCOUNT: (Table)
.USERNAME = admin
.PASSWORDHASH = 8c6976e5b5410415bde908bd4dee15dfb167a9c873fc4bb8a81f6f2ab448a918
.PERSON_ID = 220002
USER_ACCOUNTS: (View)
.USERNAME = admin
.ROLENAME = AdminRole
和
<property name="password-column" value="passwordhash"></property>
<property name="assign-groups" value="AdminRole,FacultyRole,TeacherRole,StudentRole"></property>
<property name="user-table" value="personaccount"></property>
<property name="group-table" value="user_accounts"></property>
<property name="user-name-column" value="username"></property>
<property name="group-name-column" value="rolename"></property>
<property name="digest-algorithm" value="SHA-256"></property>
鉴于您的auth-realm定义(我假设目前有效),我希望看到两个表(具有类似于的最少信息):
CREATE TABLE `personaccount` (
`username` varchar(32) NOT NULL,
`passwordhash` varchar(64) DEFAULT NULL,
PRIMARY KEY (`username`)
);
CREATE TABLE `userrole` (
`username` varchar(32) NOT NULL,
`name` varchar(32) DEFAULT NULL, -- role name
PRIMARY KEY (`username`,`name`) -- allow multiple roles per user
);
请注意,username列在两个表中具有相同的(列)名称。
我看到你有三个表:
PERSONACCOUNT
PERSONACCOUNT_USERROLE
USERROLE
如果要保留该结构,请创建一个view,将PERSONACCOUNT_USERROLE和USERROLE表映射到类似于上面显示的组表的内容,并使该视图成为您的group-table。
我可以确认这种基于视图的策略适用于 Glassfish 3.1.X 和 MySQL;它可能无法移植到其他应用程序服务器。
不确定您要用security-role-mapping(包括主体名称)完成什么,除了可能尝试解决 JDBC Realm 中缺少的角色。
同样,领域属性assign-groups的目的是建立一组始终为所有用户定义的组。 我从你后来的评论中了解到这种行为是出乎意料的;这显然是原因。