Простая базовая аутентификация j2ee

Question

Я в WebSphere 8/RAD 9 и пытаюсь написать простейшую, самую автономную базовую аутентификацию для своего приложения. У нас много сложных приложений с использованием единого входа и LDAP и т. Д. Но мы также пишем небольшой диагностический инструмент для нашего внутреннего использования, который мы хотим разместить в тех же коробках. Мы будем отказывать в доступе извне, но мы также будем защищать паролем его с помощью единого общего uid/pwd, совместно используемого командой ... просто чтобы быть уверенным, что мы держим rif-raff.

Но как это ни странно, эта простая вещь кажется сложнее сложных приложений. Как я могу заставить свой webapp иметь автономный базовый auth с простой одной или двумя паролями пользователей, жестко закодированными в приложении? Я сделал следующее в web.xml, но я не уверен, где находится сам список пользователей, или как привязать этих пользователей к этой роли зрителя.

<security-constraint> 
    <web-resource-collection> 
     <web-resource-name>secure</web-resource-name> 
     <url-pattern>/MyServlet</url-pattern> 
    </web-resource-collection> 
    <auth-constraint> 
     <role-name>viewer</role-name> 
    </auth-constraint> 
</security-constraint> 

<login-config> 
    <auth-method>BASIC</auth-method> 
    <realm-name>file</realm-name> 
</login-config> 

<security-role> 
    <role-name>viewer</role-name> 
</security-role>  

Я просто хочу, чтобы это было самодостаточным в этом ухе, поэтому оно идет туда, куда идет ухо.

Answer 1

Список пользователей берется из репозитория, настроенного в WAS. Таким образом, ваше приложение защищено независимо от того, настроен ли сервер LDAP, реестром на основе файлов или обычным.

Это намного лучше и гибче, чем пытаться установить жесткий диск в вашем приложении, поэтому я предлагаю вам идти именно так. Более того, вы сможете создавать пользователей и группы через веб-консоль WebSphere и сопоставлять этих пользователей с ролями безопасности в своем приложении.

Взгляните на пример в WebSphere Security redbook.

Answer 2

После развертывания этого приложения перейдите в административную консоль, выберите приложение, выберите «роль безопасности для сопоставления пользователей/групп», затем выберите, какие пользователи/группы должны быть связаны с ролью «зрителя». Эти пользователи должны быть определены в WebSphere (это отдельно, в разделе «Пользователи и группы» в консоли.) Возможно, вам придется изменить имя области на «default».

Если вы по какой-то причине не хотите использовать безопасность WebSphere, удалите ограничение безопасности и выполните собственную защиту (может быть так же просто, как вызов пароля) в вашем приложении. Тем не менее вы откажетесь от аудита и регистрации, которую вы получите с помощью безопасности WebSphere.