JavaServerFaces mit JAAS absichern (Java Authentication and Authorization Service)

In diesem Tutorial möchte ich erläutern wie man eine Java Server Faces 2.2 Webanwendung mit JAAS absichert.

JSF Logindialog mit JAAS
JSF Logindialog mit JAAS

Was ist JAAS?

Der Java Authentication and Authorization Service (kurz JAAS) gibt dem Java Entwickler die Möglichkeit über eine API Benutzeranmeldungen vornehmen zu lassen.
Ein großer Vorteil bei der Implementierung von JAAS ist dass, das Authentifizierungsverfahren extern konfiguriert wird und dadurch einfach ausgetauscht werden kann ohne das Änderungen an der eigentlichen Anwendung entfallen.

Im nachfolgenden werde ich nun erläutern wie ich eine einfache JSF 2.2 Webanwendung mit JAAS für den Apache Tomcat 8.5.38 eingerichtet habe.

Wie in meinen JSF Tutorials bisher bekannt benötig man zusätzlich die Entwicklungsumgebung Eclipse. Als ersten Schritt richten wir also nun ein einfaches JSF Projekt in Eclipse ein. Wer diesen Schritt überspringen möchte kann sich unter nachfolgendem Link ein leeres Eclipseprojekt für dieses Tutorial herunterladen.

 

Principals

Zu jedem Benutzer (welcher sich anmelden möchte) muss es neben einem Benutzernamen und Passwort auch eine Rolle gegeben.
Dieses Rechte & Rollenkonzept ist vom Betriebssystem Unix / Linux bekannt und wird in eine Webanwendung welche mit
JAAS abgesichert werden soll mit java.security.Principal erledigt.

Zunächst benötigen wir ein Principal für einen Benutzer und eine Rolle. Da beide Klassen den gleichen Code beinhalten werden erzeugen wir uns
eine gemeinsame Basisklasse „PrincipalImpl.java“

Nun noch die beiden Klassen „UserPrincipla.java“ und „RolePrincipal.java“.

LoginModule

Für den Authentifizierungsprozess benötigen wir nun noch eine Klasse welche diesen für uns Regelt.
Diese Klasse muss das Interface javax.security.auth.spi.LoginModule implementieren.

Das Interface LoginModule enthält 5 abstrakte Methoden

Wir müssen also zunächst die oben genannten Methoden implementieren. Zusätzlich benötigen wir noch einige Felder welche wir in diesen Methoden befüllen bzw. abfragen.

Die initialize Methode wird im ersten Schritt aufgerufen wenn die Adresse geladen wird.

In der JAAS Konfiguration wird eine Datei mit einer Liste von Benutzer/Passwort Kombinationen hinterlegt (dazu aber später mehr), diese Datei wird in dem Schlüssel Wertepaar „userfile“ hinterlegt.

Diese Datei lesen wir ein und hinterlegen die Daten in einer HashTable.

Hier wird eine Hashtable verwendet da diese synchronized ist.

Da das Passwort als MD5 Hash Wert hinterlegt wurde, muss das eingegebene Passwort zunächst einmal in ein MD5 Hash Wert umgewandelt werden. Hierzu kann man eine Bibliothek wie Apache Commons Codec verwenden oder aber die Java Boardmittel welche für diese kleine Aufgabe völlig ausreichen.

Wenn bei der Authentifizierung ein Fehler auftritt oder aber der Benutzer nicht berechtigt wurde so muss in jedemfall eine Exception vom Typ javax.security.auth.login.LoginException geworfen werden.

JAAS Konfiguration

Im letzten Schritt werden wir nun den Ordner bestimmen welcher durch die oben durchgeführte Konfiguration geschützt werden soll.

Projektstruktur - JSF JAAS Authentifizierung
Projektstruktur – JSF JAAS Authentifizierung

Wir legen also nun einen Ordner „admin“ unter „webapps\“ an und fügen eine Datei namens „index.xhtml“ in diese ein.

Des Weiteren muss der Ordner „META-INF“ unter „webapps\“ hinzugefügt werden und dort wird die Konfiguration in der Datei „context.xml“ eingefügt.

Zusätzlich wird die Datei „jaas.config“ im Apache Tomcat „conf“ Ordner abgelegt.

Nun muss diese Datei noch als Parameter beim starten des Tomcats übergeben werden.

redirect auf den Adminbereich

Wenn die Webanwendung über http://localhost:8080/JSF-JAAS-Auth/ geöffnet wird soll ein redirect auf den Adminbereich erfolgen, dieses kann man im Headbereich der XHTML Datei wie folgt erledigen:

Download

Hier nun das fertige Eclipse Projekt zum download.

 

In der Zip Datei ist die Datei „jaas.config“ enthalten. Diese Datei muss in das Verzeichnis „conf“ des Apache Tomcat kopiert werden.

Quellenangabe

Als Grundlage für dieses Tutorial habe ich folgende Quellen genutzt

 

 

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.