Glassfish 独自のRealmで認証・認可

2020-11-292020
91.1% (333.6/366)
November
95.5% (28.6/30)
Week 48
95.1% (6.6/7)
Day 29 Sun
66.2% (15.9/24)

訪問者

total: 7895
today: 2
yesterday: 1
now: 5

↑

更新

MenuBar

最終的にやりたいこと
Realm と LoginModule を作る
Glassfish の設定
サンプルアプリ

最終的にやりたいこと †

独自の JDBCRealm を作りたい
- アカウントロックフラグが 0 でないとき、ログイン出来ない
- ５回連続で失敗するとアカウントロック
- アカウントの有効期限が過ぎるとアカウントロック
com.sun.enterprise.security.auth.realm.jdbc.JDBCRealm を適当に流用すれば良くね? と思って作ってみた。実際に glassfish 4 のドメインに配備して動かしてみたら、実行時に、依存する com.sun のクラスのいくつかが、Class Not Found。ドメインの Class Loader から見つけられないようだ
ということで、イチから作ることにした。その下調べとして、一番簡単な Realm を作ってみた

↑

Realm と LoginModule? を作る †

裏紙さんの GlassFish?のカスタムレルムを作る ( http://d.hatena.ne.jp/backpaper0/20121214/1355497214 ) そのまま。pom.xml のみ glassfish 4 ように修正した。

ExampleLoginModule?

package com.example.myrealm;

import com.sun.appserv.security.AppservPasswordLoginModule;
import javax.security.auth.login.LoginException;

public class ExampleLoginModule extends AppservPasswordLoginModule {

    @Override
    protected void authenticateUser() throws LoginException {
        ExampleRealm realm = (ExampleRealm) getCurrentRealm();
        String[] groups = realm.authenticate(_username, _passwd);
        if (groups == null) {
            throw new LoginException("ログイン失敗＞＜");
        }
        commitUserAuthentication(groups);
    }
}

ExampleRealm?

package com.example.myrealm;

import com.sun.appserv.security.AppservRealm;
import com.sun.enterprise.security.auth.realm.BadRealmException;
import com.sun.enterprise.security.auth.realm.InvalidOperationException;
import com.sun.enterprise.security.auth.realm.NoSuchRealmException;
import com.sun.enterprise.security.auth.realm.NoSuchUserException;
import java.util.Arrays;
import java.util.Collections;
import java.util.Enumeration;
import java.util.Properties;

public class ExampleRealm extends AppservRealm {

    @Override
    protected void init(Properties props) throws BadRealmException, NoSuchRealmException {
        String jaasContext = props.getProperty(JAAS_CONTEXT_PARAM);
        setProperty(JAAS_CONTEXT_PARAM, jaasContext);
    }

    @Override
    public String getAuthType() {
        return "example";
    }

    @Override
    public Enumeration getGroupNames(String username) throws InvalidOperationException, NoSuchUserException {
        return Collections.enumeration(Arrays.asList(findGroups(username)));
    }

    String[] authenticate(String username, char[] password) {
        if (validate(username, password) == false) {
            return null;
        }
        return findGroups(username);
    }

    private boolean validate(String username, char[] password) {
        return "hoge".equals(username) && Arrays.equals("fuga".toCharArray(), password);
    }

    private String[] findGroups(String username) {
        return new String[]{"foo", "bar", "baz"};
    }
}

pom.xml

<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
  xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
  <modelVersion>4.0.0</modelVersion>

  <groupId>com.example</groupId>
  <artifactId>MyRealm</artifactId>
  <version>1.0-SNAPSHOT</version>
  <packaging>jar</packaging>

  <name>MyRealm</name>
  <url>http://maven.apache.org</url>

  <properties>
    <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
  </properties>

  <dependencies>
    <dependency>
      <groupId>junit</groupId>
      <artifactId>junit</artifactId>
      <version>4.11</version>
      <scope>test</scope>
    </dependency>
    <dependency>
      <groupId>org.glassfish.main.security</groupId>
      <artifactId>security-ee</artifactId>
      <version>4.0</version>
    </dependency>
  </dependencies>
</project>

↑

Glassfish の設定 †

Glassfish を停止して、ドメインの資産を変更
- ドメインの lib に、LoginModule? と Realm を配置
```
$ cp ~/NetBeansProjects/MyRealm/target/MyRealm-1.0-SNAPSHOT.jar \
/Applications/NetBeans/glassfish-4.0/glassfish/domains/domain1/lib/
```
- LoginModule? の JAAS 参照名をドメインの設定ファイルに追記
  /Applications/NetBeans?/glassfish-4.0/glassfish/domains/domain1/config/login.conf
```
myRealm {
        com.example.myrealm.ExampleLoginModule required;
};
```
管理コンソールの server-config を変更
- myRealm を作る
- jaas-context として設定した myRealm は、login.conf に定義した名称
- 本番環境では、管理ノードでアプリは動かさない。(アプリが死んだら、管理コンソールから再起動なり、障害解析ができなくなるよ)
- 本番環境では、アプリは管理ノード配下のクラスタで動かすので app-cluter-config とかを変更することになろう

↑

サンプルアプリ †

index.html (だれでも閲覧可)

<!DOCTYPE html>
<html>
    <head>
        <title>Start Page</title>
        <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
    </head>
    <body>
        <h1>Hello World!</h1>
        <a href='member/member.html'>Member's page</a>
    </body>
</html>

member/member.html (memberロールが必要)

<!--
To change this template, choose Tools | Templates
and open the template in the editor.
-->
<!DOCTYPE html>
<html>
    <head>
        <title></title>
        <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
    </head>
    <body>
        <div>This is Member's page</div>
    </body>
</html>

WEB-INF/web.xml

<?xml version="1.0" encoding="UTF-8"?>

<web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee"
	 xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	 xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee http://xmlns.jcp.org/xml/ns/javaee/web-app_3_1.xsd"
	 version="3.1">
    <session-config>
        <session-timeout>30</session-timeout>
    </session-config>
 
    <welcome-file-list>
        <welcome-file>/index.html</welcome-file>
    </welcome-file-list>
 
    <security-constraint>
        <web-resource-collection>
            <web-resource-name>Member Only</web-resource-name>
            <url-pattern>/member/*</url-pattern>
        </web-resource-collection>
        <auth-constraint>
            <role-name>memberRole</role-name>
            <role-name>adminRole</role-name>
        </auth-constraint>
    </security-constraint>
 
    <security-constraint>
        <web-resource-collection>
            <web-resource-name>Admin Only</web-resource-name>
            <url-pattern>/secure/*</url-pattern>
        </web-resource-collection>
        <auth-constraint>
            <role-name>adminRole</role-name>
        </auth-constraint>
    </security-constraint>
 
    <login-config>
        <auth-method>BASIC</auth-method>
        <realm-name>myRealm</realm-name>
    </login-config>
 
    <security-role>
        <role-name>memberRole</role-name>
    </security-role>
 
    <security-role>
        <role-name>adminRole</role-name>
    </security-role>
</web-app>

member/* の閲覧には memberRole か adminRole が必要
末尾で <security-role> を列挙するのを忘れずに。Java EE では Optional だが、Glassfish ではこれがないと動かない

WEB-INF/glassfish-web.xml

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE glassfish-web-app PUBLIC
"-//GlassFish.org//DTD GlassFish Application Server 3.1 Servlet 3.0//EN"
"http://glassfish.org/dtds/glassfish-web-app_3_0-1.dtd">
<glassfish-web-app error-url="">
 
  <security-role-mapping>
    <role-name>adminRole</role-name>
    <group-name>foo</group-name>
  </security-role-mapping>
 
  <security-role-mapping>
    <role-name>memberRole</role-name>
    <group-name>bar</group-name>
  </security-role-mapping>
 
  <session-config>
    <cookie-properties>
      <property name="cookieMaxAgeSeconds" value="-1">
      </property>
    </cookie-properties>
  </session-config>
 
  <class-loader delegate="true"/>
 
  <jsp-config>
    <property name="keepgenerated" value="true">
      <description>Keep a copy of the generated servlet class' java code.</description>
    </property>
  </jsp-config>
</glassfish-web-app>

fooグループを adminRole に読み替えている
barグループを memberRole に読み替えている

実行結果

Java#Glassfish