草庐IT

java - 绑定(bind)用户实体和 GlassFish 主体

coder 2024-03-21 原文

我有一个实体类 User包含用户名、名字、姓氏和密码等信息,并且我设置了 GlassFish 3.1 服务器来执行身份验证。到现在为止还挺好。在容器对用户进行身份验证后,我需要某种方式将主体绑定(bind)到实际的用户实体。毕竟,GlassFish 告诉我的是用户“laurens”已通过身份验证,而不是给我相应的 User实体。

为此,我编写了一个 JSF 托管 bean UserController .我想知道的是,这是否是查看实际实体的正确方法,以及是否有任何我没有看到的明显陷阱。
UserController具有以下字段:

@EJB
private UserFacade userFacade;

private User user;
userFacade是一个无状态 session bean,用于持久化和查找 User实例。 user JSF 页面使用字段来获取和设置用户的属性。

我使用以下方法来执行绑定(bind)以及两个辅助方法:
@PostConstruct
private void init() {
    try {
        user = userFacade.find(getUserPrincipal().getName());
    } catch (NullPointerException ex) {
        // Intentionally left empty -- User is not logged in.
    }
}

private HttpServletRequest getHttpServletRequest() {
    return (HttpServletRequest) FacesContext.getCurrentInstance().getExternalContext().getRequest();
}

private Principal getUserPrincipal() {
    return getHttpServletRequest().getUserPrincipal();
}

JSF 页面使用以下方法来确定要显示哪些组件(如果用户已经通过身份验证,则无需显示登录表单),如果单击“登录”按钮,则对用户进行身份验证,或注册为单击“注册”按钮时的新用户。
public boolean isAuthenticated() {
    return getUserPrincipal() != null;
}

public void authenticate() {
    try {
        getHttpServletRequest().login(user.getEmailAddress(), user.getPassword());
    } catch (Exception ex) {
        // TODO: Handle failed login attempt
    }
}

public void register() {
    userFacade.create(user);
}

这是正确的方法吗?

谢谢!

编辑:

感谢您的输入!我考虑了一下,虽然我认为将密码移动到不同的表对我来说目前处理有点太多,但我确实认为我可以通过分离 UserController 来解决一些问题。在 @RequestScoped AuthenticationController和一个精简的@SessionScoped UserController .
AuthenticationController会有 emailAddresspassword字段,由网页的 emailAddress 和密码字段绑定(bind)。它还包含 public void authenticate()对用户进行身份验证并在之后丢弃凭据。 @SessionScoped UserController然后可以绑定(bind)到适当的 User实体而无需知道密码。事实上,我相信我可以从 User 中删除密码字段。共。

最佳答案

你提出的方法有一些粗糙的边缘,但在大多数情况下它是很好的。

如果您打算存储对 User 的引用实体,那么最好在 SessionScoped 中这样做托管 bean 。这有利有弊。明显的优势在于

  • User实体在整个应用程序流程中,跨所有页面都可用。这意味着您需要绑定(bind) PrincipalUser实体一次 session 。如果需要,您可以在所有页面中重复使用绑定(bind)值。

    • 不那么明显的缺点是
  • password字段将在内存中存储很长时间。充其量,您应该尝试在身份验证尝试后使实体的密码字段无效(无论是否成功,无论该字段包含明文密码还是散列密码)。此外,定义 password 也很有意义。延迟获取的字段( FetchTypeLAZY ),而不是预先获取的默认值( FetchTypeEAGER )。如果你实现了这个(特别是密码字段的无效化),你需要注意涉及在 User 上进行的合并操作的问题。实体;在这种情况下,最好有一个单独的实体来存储用户的密码(非常不幸,但在某些应用程序中,您必须弯腰保护密码及其哈希值)。

    • 话虽如此,还需要确保以下几点:
  • 应谨慎处理匿名用户主体。如果您没有编写强制访问控制机制来保护应用程序的“私有(private)”页面的过滤器,您应该更多地担心页面中授权逻辑的构造方式,而不是您不必担心当你使用过滤器时。匿名委托(delegate)人与任何其他委托(delegate)人一样,不同之处在于它不受领域中的身份支持。如果 Principal 到 User 实体绑定(bind)方案由于某种原因失败,您必须使 session 无效并再次将用户重定向到登录页面,尤其是当您的页面依赖于 User 时。实体而不是 Principal对象以强制执行访问控制检查。
  • 确保您有一个单独的应用程序登录页面。这在大多数以表单形式接受用户凭据的应用程序中更可取,出现在登录页面中;如果表单位于对话框或其他一些装置中,则通常不需要单独的登录页面。这是可取的,原因很简单,您希望登录过程实现 POST-REDIRECT-GET 模式 - 成功登录应用程序的用户必须重定向到应用程序的主页。如果不这样做,将导致浏览器刷新(由有权访问终端的任何人执行)将重新提交凭据的情况;很明显,使用模态对话框或类似内容的应用程序不太容易受到这个问题的影响。

    • 更新

    这是基于编辑过的问题。如果您实现 authenticate按照建议的方法,您可以实现您的 User 绑定(bind)方案。实体到 Principal只有在认证成功后。

    以下是我的应用程序中类似实现的复制:
    public String authenticate()
{
    String result = null;
    ExternalContext externalContext = FacesContext.getCurrentInstance().getExternalContext();
    HttpServletRequest request = (HttpServletRequest) externalContext.getRequest();
    try
    {
        request.login(userId, password);
        result = "/private/MainPage.xhtml?faces-redirect=true";
    }
    catch (ServletException ex)
    {
        logger.error("Failed to authenticate user.", ex);
        FacesMessage facesMessage = new FacesMessage(FacesMessage.SEVERITY_ERROR, Messages.getString("Login.InvalidIdOrPasswordMessage"), null);
        FacesContext.getCurrentInstance().addMessage(null, facesMessage);
    }
    return result;
}

    这是从facelet调用的:
    <h:form id="LoginForm" acceptcharset="UTF-8">
    <p>
        <h:outputLabel for="userid" value="#{msg['Login.userid.label']}" />
        <h:inputText id="userid" value="#{loginBean.userId}" />
    </p>
    <p>
        <h:outputLabel for="password" value="#{msg['Login.password.label']}" />
        <h:inputSecret id="password" value="#{loginBean.password}" />
    </p>
        <h:commandButton id="submit" value="#{msg['Login.submit.label']}"
            action="#{loginBean.authenticate}" />
</h:form>

    请注意在身份验证成功的情况下使用 POST-REDIRECT-GET 模式。我留下了一些与重定向前当前 session 失效相关的代码,以防止 session 固定攻击。 User的绑定(bind)实体到 Principal将在新 session 中完成,只要它是在 session 范围的 bean 中完成的。

    关于java - 绑定(bind)用户实体和 GlassFish 主体,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/6819793/

    GlassFishjavacodebr34jsfjakarta-ee

    有关java - 绑定(bind)用户实体和 GlassFish 主体的更多相关文章

    1. ruby - ruby 中的 TOPLEVEL_BINDING 是什么? - 2

      它不等于主线程的binding,这个toplevel作用域是什么?此作用域与主线程中的binding有何不同?>ruby-e'putsTOPLEVEL_BINDING===binding'false 最佳答案 事实是,TOPLEVEL_BINDING始终引用Binding的预定义全局实例,而Kernel#binding创建的新实例>Binding每次封装当前执行上下文。在顶层,它们都包含相同的绑定(bind),但它们不是同一个对象,您无法使用==或===测试它们的绑定(bind)相等性。putsTOPLEVEL_BINDINGput

    2. ruby-on-rails - 使用 rails 4 设计而不更新用户 - 2

      我将应用程序升级到Rails4,一切正常。我可以登录并转到我的编辑页面。也更新了观点。使用标准View时,用户会更新。但是当我添加例如字段:name时,它​​不会在表单中更新。使用devise3.1.1和gem'protected_attributes'我需要在设备或数据库上运行某种更新命令吗?我也搜索过这个地方,找到了许多不同的解决方案,但没有一个会更新我的用户字段。我没有添加任何自定义字段。 最佳答案 如果您想允许额外的参数,您可以在ApplicationController中使用beforefilter,因为Rails4将参数

    3. java - 等价于 Java 中的 Ruby Hash - 2

      我真的很习惯使用Ruby编写以下代码:my_hash={}my_hash['test']=1Java中对应的数据结构是什么? 最佳答案 HashMapmap=newHashMap();map.put("test",1);我假设? 关于java-等价于Java中的RubyHash,我们在StackOverflow上找到一个类似的问题: https://stackoverflow.com/questions/22737685/

    4. java - 从 JRuby 调用 Java 类的问题 - 2

      我正在尝试使用boilerpipe来自JRuby。我看过guide从JRuby调用Java,并成功地将它与另一个Java包一起使用,但无法弄清楚为什么同样的东西不能用于boilerpipe。我正在尝试基本上从JRuby中执行与此Java等效的操作:URLurl=newURL("http://www.example.com/some-location/index.html");Stringtext=ArticleExtractor.INSTANCE.getText(url);在JRuby中试过这个:require'java'url=java.net.URL.new("http://www

    5. ruby-on-rails - 简单的 Ruby on Rails 问题——如何将评论附加到用户和文章? - 2

      我意识到这可能是一个非常基本的问题,但我现在已经花了几天时间回过头来解决这个问题,但出于某种原因,Google就是没有帮助我。(我认为部分问题在于我是一个初学者,我不知道该问什么......)我也看过O'Reilly的RubyCookbook和RailsAPI,但我仍然停留在这个问题上.我找到了一些关于多态关系的信息,但它似乎不是我需要的(尽管如果我错了请告诉我)。我正在尝试调整MichaelHartl'stutorial创建一个包含用户、文章和评论的博客应用程序(不使用脚手架)。我希望评论既属于用户又属于文章。我的主要问题是:我不知道如何将当前文章的ID放入评论Controller。

    6. ruby - RVM "ERROR: Unable to checkout branch ."单用户 - 2

      我在新的Debian6VirtualBoxVM上安装RVM时遇到问题。我已经安装了所有需要的包并使用下载了安装脚本(curl-shttps://rvm.beginrescueend.com/install/rvm)>rvm,但以单个用户身份运行时bashrvm我收到以下错误消息:ERROR:Unabletocheckoutbranch.安装在这里停止,并且(据我所知)没有安装RVM的任何文件。如果我以root身份运行脚本(对于多用户安装),我会收到另一条消息:Successfullycheckedoutbranch''安装程序继续并指示成功,但未添加.rvm目录,甚至在修改我的.bas

    7. java - 我的模型类或其他类中应该有逻辑吗 - 2

      我只想对我一直在思考的这个问题有其他意见,例如我有classuser_controller和classuserclassUserattr_accessor:name,:usernameendclassUserController//dosomethingaboutanythingaboutusersend问题是我的User类中是否应该有逻辑user=User.newuser.do_something(user1)oritshouldbeuser_controller=UserController.newuser_controller.do_something(user1,user2)我

    8. java - 什么相当于 ruby​​ 的 rack 或 python 的 Java wsgi? - 2

      什么是ruby​​的rack或python的Java的wsgi?还有一个路由库。 最佳答案 来自Python标准PEP333:Bycontrast,althoughJavahasjustasmanywebapplicationframeworksavailable,Java's"servlet"APImakesitpossibleforapplicationswrittenwithanyJavawebapplicationframeworktoruninanywebserverthatsupportstheservletAPI.ht

    9. Observability:从零开始创建 Java 微服务并监控它 (二) - 2

      这篇文章是继上一篇文章“Observability:从零开始创建Java微服务并监控它(一)”的续篇。在上一篇文章中,我们讲述了如何创建一个Javaweb应用,并使用Filebeat来收集应用所生成的日志。在今天的文章中,我来详述如何收集应用的指标,使用APM来监控应用并监督web服务的在线情况。源码可以在地址 https://github.com/liu-xiao-guo/java_observability 进行下载。摄入指标指标被视为可以随时更改的时间点值。当前请求的数量可以改变任何毫秒。你可能有1000个请求的峰值,然后一切都回到一个请求。这也意味着这些指标可能不准确,你还想提取最小/

    10. 【Java 面试合集】HashMap中为什么引入红黑树,而不是AVL树呢 - 2

      HashMap中为什么引入红黑树,而不是AVL树呢1.概述开始学习这个知识点之前我们需要知道,在JDK1.8以及之前,针对HashMap有什么不同。JDK1.7的时候,HashMap的底层实现是数组+链表JDK1.8的时候,HashMap的底层实现是数组+链表+红黑树我们要思考一个问题,为什么要从链表转为红黑树呢。首先先让我们了解下链表有什么不好???2.链表上述的截图其实就是链表的结构,我们来看下链表的增删改查的时间复杂度增:因为链表不是线性结构,所以每次添加的时候,只需要移动一个节点,所以可以理解为复杂度是N(1)删:算法时间复杂度跟增保持一致查:既然是非线性结构,所以查询某一个节点的时候

    随机推荐