Glassfish 独自のRealmで認証・認可

目次

FrontPage
・Random
・機械学習
・さくらVPS
・Fedora13
・SuSe10
・Docker
・Ansible
・Java
・Scala
・Python
・Ruby
・Lisp
・Computer
・GIS
・HTML
・Culture
・Link

訪問者

total: 5931
today: 7
yesterday: 2
now: 13

更新

最新の10件

人気の10件

MenuBar

最終的にやりたいこと †

• 独自の JDBCRealm を作りたい
  • アカウントロックフラグが 0 でないとき、ログイン出来ない
  • ５回連続で失敗するとアカウントロック
  • アカウントの有効期限が過ぎるとアカウントロック
• com.sun.enterprise.security.auth.realm.jdbc.JDBCRealm を適当に流用すれば良くね? と思って作ってみた。実際に glassfish 4 のドメインに配備して動かしてみたら、実行時に、依存する com.sun のクラスのいくつかが、Class Not Found。ドメインの Class Loader から見つけられないようだ
• ということで、イチから作ることにした。その下調べとして、一番簡単な Realm を作ってみた

Realm と LoginModule? を作る †

• 裏紙さんの GlassFish?のカスタムレルムを作る ( http://d.hatena.ne.jp/backpaper0/20121214/1355497214 ) そのまま。pom.xml のみ glassfish 4 ように修正した。
• ExampleLoginModule?

  package com.example.myrealm;
  
  import com.sun.appserv.security.AppservPasswordLoginModule;
  import javax.security.auth.login.LoginException;
  
  public class ExampleLoginModule extends AppservPasswordLoginModule {
  
      @Override
      protected void authenticateUser() throws LoginException {
          ExampleRealm realm = (ExampleRealm) getCurrentRealm();
          String[] groups = realm.authenticate(_username, _passwd);
          if (groups == null) {
              throw new LoginException("ログイン失敗＞＜");
          }
          commitUserAuthentication(groups);
      }
  }
  

• ExampleRealm?

  package com.example.myrealm;
  
  import com.sun.appserv.security.AppservRealm;
  import com.sun.enterprise.security.auth.realm.BadRealmException;
  import com.sun.enterprise.security.auth.realm.InvalidOperationException;
  import com.sun.enterprise.security.auth.realm.NoSuchRealmException;
  import com.sun.enterprise.security.auth.realm.NoSuchUserException;
  import java.util.Arrays;
  import java.util.Collections;
  import java.util.Enumeration;
  import java.util.Properties;
  
  public class ExampleRealm extends AppservRealm {
  
      @Override
      protected void init(Properties props) throws BadRealmException, NoSuchRealmException {
          String jaasContext = props.getProperty(JAAS_CONTEXT_PARAM);
          setProperty(JAAS_CONTEXT_PARAM, jaasContext);
      }
  
      @Override
      public String getAuthType() {
          return "example";
      }
  
      @Override
      public Enumeration getGroupNames(String username) throws InvalidOperationException, NoSuchUserException {
          return Collections.enumeration(Arrays.asList(findGroups(username)));
      }
  
      String[] authenticate(String username, char[] password) {
          if (validate(username, password) == false) {
              return null;
          }
          return findGroups(username);
      }
  
      private boolean validate(String username, char[] password) {
          return "hoge".equals(username) && Arrays.equals("fuga".toCharArray(), password);
      }
  
      private String[] findGroups(String username) {
          return new String[]{"foo", "bar", "baz"};
      }
  }
  

• pom.xml

  <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
  
    <groupId>com.example</groupId>
    <artifactId>MyRealm</artifactId>
    <version>1.0-SNAPSHOT</version>
    <packaging>jar</packaging>
  
    <name>MyRealm</name>
    <url>http://maven.apache.org</url>
  
    <properties>
      <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
    </properties>
  
    <dependencies>
      <dependency>
        <groupId>junit</groupId>
        <artifactId>junit</artifactId>
        <version>4.11</version>
        <scope>test</scope>
      </dependency>
      <dependency>
        <groupId>org.glassfish.main.security</groupId>
        <artifactId>security-ee</artifactId>
        <version>4.0</version>
      </dependency>
    </dependencies>
  </project>
  

Glassfish の設定 †

• Glassfish を停止して、ドメインの資産を変更
  • ドメインの lib に、LoginModule? と Realm を配置

    $ cp ~/NetBeansProjects/MyRealm/target/MyRealm-1.0-SNAPSHOT.jar \
    /Applications/NetBeans/glassfish-4.0/glassfish/domains/domain1/lib/

  • LoginModule? の JAAS 参照名をドメインの設定ファイルに追記
    /Applications/NetBeans?/glassfish-4.0/glassfish/domains/domain1/config/login.conf

    myRealm {
            com.example.myrealm.ExampleLoginModule required;
    };
    

• 管理コンソールの server-config を変更
  
  • myRealm を作る
  • jaas-context として設定した myRealm は、login.conf に定義した名称
  • 本番環境では、管理ノードでアプリは動かさない。(アプリが死んだら、管理コンソールから再起動なり、障害解析ができなくなるよ)
  • 本番環境では、アプリは管理ノード配下のクラスタで動かすので app-cluter-config とかを変更することになろう

サンプルアプリ †

• index.html (だれでも閲覧可)

  <!DOCTYPE html>
  <html>
      <head>
          <title>Start Page</title>
          <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
      </head>
      <body>
          <h1>Hello World!</h1>
          <a href='member/member.html'>Member's page</a>
      </body>
  </html>
  

• member/member.html (memberロールが必要)

  <!--
  To change this template, choose Tools | Templates
  and open the template in the editor.
  -->
  <!DOCTYPE html>
  <html>
      <head>
          <title></title>
          <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
      </head>
      <body>
          <div>This is Member's page</div>
      </body>
  </html>
  

• WEB-INF/web.xml

  <?xml version="1.0" encoding="UTF-8"?>
  
  <web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee"
  	 xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
  	 xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee http://xmlns.jcp.org/xml/ns/javaee/web-app_3_1.xsd"
  	 version="3.1">
      <session-config>
          <session-timeout>30</session-timeout>
      </session-config>
   
      <welcome-file-list>
          <welcome-file>/index.html</welcome-file>
      </welcome-file-list>
   
      <security-constraint>
          <web-resource-collection>
              <web-resource-name>Member Only</web-resource-name>
              <url-pattern>/member/*</url-pattern>
          </web-resource-collection>
          <auth-constraint>
              <role-name>memberRole</role-name>
              <role-name>adminRole</role-name>
          </auth-constraint>
      </security-constraint>
   
      <security-constraint>
          <web-resource-collection>
              <web-resource-name>Admin Only</web-resource-name>
              <url-pattern>/secure/*</url-pattern>
          </web-resource-collection>
          <auth-constraint>
              <role-name>adminRole</role-name>
          </auth-constraint>
      </security-constraint>
   
      <login-config>
          <auth-method>BASIC</auth-method>
          <realm-name>myRealm</realm-name>
      </login-config>
   
      <security-role>
          <role-name>memberRole</role-name>
      </security-role>
   
      <security-role>
          <role-name>adminRole</role-name>
      </security-role>
  </web-app>
  

  • member/* の閲覧には memberRole か adminRole が必要
  • 末尾で <security-role> を列挙するのを忘れずに。Java EE では Optional だが、Glassfish ではこれがないと動かない
• WEB-INF/glassfish-web.xml

  <?xml version="1.0" encoding="UTF-8"?>
  <!DOCTYPE glassfish-web-app PUBLIC
  "-//GlassFish.org//DTD GlassFish Application Server 3.1 Servlet 3.0//EN"
  "http://glassfish.org/dtds/glassfish-web-app_3_0-1.dtd">
  <glassfish-web-app error-url="">
   
    <security-role-mapping>
      <role-name>adminRole</role-name>
      <group-name>foo</group-name>
    </security-role-mapping>
   
    <security-role-mapping>
      <role-name>memberRole</role-name>
      <group-name>bar</group-name>
    </security-role-mapping>
   
    <session-config>
      <cookie-properties>
        <property name="cookieMaxAgeSeconds" value="-1">
        </property>
      </cookie-properties>
    </session-config>
   
    <class-loader delegate="true"/>
   
    <jsp-config>
      <property name="keepgenerated" value="true">
        <description>Keep a copy of the generated servlet class' java code.</description>
      </property>
    </jsp-config>
  </glassfish-web-app>
  

  • fooグループを adminRole に読み替えている
  • barグループを memberRole に読み替えている
• 実行結果
  
   
  

Java#Glassfish