La sécurité et les contraintes web.xml pour les utilisateurs authentifiés sans appartenances de rôle

Je suis tout à fait désespérée, parce que je pense qu'il doit y avoir une solution simple à mon problème mais je cherche - en vain.

Je suis en utilisant un Domaine personnalisé dans Glassfish 3.1.1. Ce domaine personnalisé (implémente AppservPasswordLoginModuleInterface) prend un jeton de sécurité de la demande HTTPS, valide le jeton de sécurité et retourne ensuite à l'utilisateur de Glassfish.

Le problème est que le jeton de sécurité ne contiennent pas de groupes, ce qui signifie que la méthode public String[] getGroupsList() ou le domaine personnalisé retourne une liste vide (correctement, car il n'y a pas de rôles dans l'émission de jeton de sécurité).

Cela dit, je voudrais avoir une sécurité de contrainte que n'étant validée que les utilisateurs peuvent se connecter. Je sais que je peux utiliser la contrainte suivantes dans web.xml:

<security-constraint>
  <web-resource-collection>
    <web-resource-name>mywebapp</web-resource-name>
    <url-pattern>/*</url-pattern>
  </web-resource-collection>
  <auth-constraint>
    <role-name>Users</role-name>
  </auth-constraint>
</security-constraint>

Mais parce que je n'ai pas de groupes, je ne peut pas mapper les groupes de rôles, et donc je ne peux pas utiliser la auth-constraint avec le rôle-nom.

Est-il un moyen de web.xml pour définir que seuls les utilisateurs authentifiés sont autorisés, ignorant dans quel rôle ils sont et ignorant si ils sont dans un rôle à tous.

Il ya un couple de solutions que je ne peux pas mettre en œuvre:

  • Je ne peux pas changer les sous-jacents LDAP pour inclure des rôles, parce que le schéma LDAP et la manière dont les utilisateurs LDAP mappés à des jetons de sécurité de nos hors de portée.
  • - Je utiliser le courant de domaine personnalisé gestionnaire, je ne peux pas le remplacer par un de mes propre qui renvoie simplement un groupe par défaut. J'ai essayé une fois, et cela a fonctionné. Mais je ne peux pas remplacer la domaine personnalisé avec mon propre parce que le domaine personnalisé doit être générique.

Mais je pense vraiment qu'il devrait y avoir un moyen de web.xml juste pour dire: Ignorer tous les groupes et les rôles, je veux juste un utilisateur authentifié?

Toute aide serait appréciée.

InformationsquelleAutor msaladin | 2012-01-11
  1. 19

    Assez vieux, mais pour ceux qui recherchent une réponse, vous pouvez utiliser un * nom de rôle:

    <auth-constraint>
    <role-name>*</role-name>
</auth-constraint>

    Ce mec réussi à le résoudre.

    • Ne fonctionne pas sur Weblogic 10.3.4.
    • Fonctionne sur WF10.1.0. N'oubliez pas de mettre également en <sécurité-rôle/> un <role-name>*</role-name> (dans le cas contraire, si l' * est seulement en <auth-constraint/>, cela ne fonctionne pas).
    InformationsquelleAutor Will