Используйте Arquillian для проверки защищенного EJB - PullRequest
Новая
       68

Используйте Arquillian для проверки защищенного EJB

11 голосов
/ 10 ноября 2011

Я использую JBoss 6.1 и получил защищенный EJB с методами, помеченными @RolesAllowed("Admin"). Я пытаюсь проверить этот метод с Arquillian.

Я успешно выполнил вход в EJB в @Before теста, однако он не смог вызвать метод. Из журнала TRACE я вижу, что принципал и роли верны (в данном случае 'myuser' и 'Admin'), но информация о безопасном методе EJB неверна (requiredRoles пусто). 

TRACE [org.jboss.security.plugins.authorization.JBossAuthorizationContext] Control flag for entry:org.jboss.security.authorization.config.AuthorizationModuleEntry{org.jboss.security.authorization.modules.DelegatingAuthorizationModule:{}REQUIRED}is:[REQUIRED]
TRACE [org.jboss.security.authorization.modules.ejb.EJBPolicyModuleDelegate] method=public au.com.domain.DTOObject au.com.ejb.SecureServiceBean.save(au.com.domain.DTOObject), interface=Local, requiredRoles=Roles()
TRACE [org.jboss.security.authorization.modules.ejb.EJBPolicyModuleDelegate] Exception:Insufficient method permissions, principal=myuser, ejbName=SecureServiceBean, method=save, interface=Local, requiredRoles=Roles(), principalRoles=Roles(Admin,)

Мне удалось успешно вызвать метод в том же EJB с @PermitAll.

Я искал документацию Arquillian относительно безопасного EJB, но не смог найти ничего.

Большое спасибо за вашу помощь.

- Лин

Ответы [ 2 ]

2 голосов
/ 25 января 2012

В JBoss система безопасности не включена на EJB3-бинах, если вы не установили значение <security-domain> в jboss.xml. Вот напоминание для JBoss7 , и оно также относится к JBoss 6.1.

Альтернативным вариантом является использование проприетарной аннотации @org.jboss.ejb3.annotation.SecurityDomain с правильным значением домена для ваших EJB3-бинов.

Согласно этой ветке форума , при развертывании EJB-файлов в файле WAR требуется дескриптор развертывания WEB-INF/jboss-ejb3.xml, и вот пример для него: 

<?xml version="1.0"?>  
<jboss:ejb-jar
  xmlns:jboss="http://www.jboss.com/xml/ns/javaee"
  xmlns="http://java.sun.com/xml/ns/javaee"
  xmlns:s="urn:security"
  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
  xsi:schemaLocation="http://www.jboss.com/xml/ns/javaee http://www.jboss.org/j2ee/schema/jboss-ejb3-2_0.xsd http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/ejb-jar_3_1.xsd"
  version="3.1"
  impl-version="2.0">
  <assembly-descriptor>
    <s:security>
      <ejb-name>*</ejb-name>
      <s:security-domain>yourSecurityDomain</s:security-domain>
    </s:security>
  </assembly-descriptor>
</jboss:ejb-jar>
1 голос
/ 08 февраля 2012

Спасибо Ив Мартин за предложение. Я попытался добавить jboss.xml и ejb-jar.xml, как вы предложили, к сожалению, это не сработало.

Я снова и снова проверял код и, наконец, нашел решение этой проблемы. Мой оригинальный код установлен следующим образом:

Интерфейс ObjectRepository: 

public interface ObjectRepository<T extends DomainObject>
{
    public T save(T object);
    ...
}

TaskServiceBeanLocal интерфейс: 

@Local
public interface TaskServiceBeanLocal extends ObjectRepository<Task>
{
}

Задание EJB: 

@Stateless
@LocalBinding(jndiBinding = TaskServiceBean.LOOKUP_STRING)
@SecurityDomain(value = Security.DOMAIN)
@DeclareRoles({ Roles.ADMIN, Roles.CLERK, Roles.READ_ONLY })

//By default, allow no one access, we'll enable access at the method level
@RolesAllowed({})
public class TaskServiceBean implements TaskServiceBeanLocal
{
    public static final String LOOKUP_STRING = "TaskServiceBean/local";

    @RolesAllowed({ Roles.ADMIN, Roles.CLERK })
    @TransactionAttribute(TransactionAttributeType.REQUIRED)
    @Override
    public Task save(Task task)
    {
        ...
    }
}

Arquillian не удалось получить доступ к методу TaskServiceBean.save () с ошибкой, как в вопросе: 

TRACE [org.jboss.security.authorization.modules.ejb.EJBPolicyModuleDelegate] Exception:Insufficient method permissions, principal=myuser, ejbName=SecureServiceBean, method=save, interface=Local, requiredRoles=Roles(), principalRoles=Roles(Admin,)

В журнале TRACE требуемая роль () пуста по неизвестной причине. Я протестировал, реализовав другой метод для TaskServiceBeanLocal и TaskServiceBean с тем же разрешением: 

@Local
public interface TaskServiceBeanLocal extends ObjectRepository<Task>
{
    public void test();
}

//and implement the test() method, having the same permission as the save() method.
public class TaskServiceBean implements TaskServiceBeanLocal
{
    @RolesAllowed({ Roles.ADMIN, Roles.CLERK })
    @TransactionAttribute(TransactionAttributeType.REQUIRED)
    @Override
    public Task save(Task task)
    {
        ...
    }

    @RolesAllowed({ Roles.ADMIN, Roles.CLERK })
    @TransactionAttribute(TransactionAttributeType.REQUIRED)
    @Override
    public void test()
    {
        System.out.println("hello");
    }
}

К моему удивлению, тестирование метода test () прошло успешно. Поэтому я переименую метод save () в интерфейсе: 

@Local
public interface TaskServiceBeanLocal extends ObjectRepository<Task>
{
    public Task save(Task object);
    public void test();
}

Теперь тестирование метода save () прошло успешно. В операторе ведения журнала TRACE я вижу, что мои требуемые роли полностью заполнены в сигнатуре метода. 

13:44:35,399 TRACE [org.jboss.security.authorization.modules.ejb.EJBPolicyModuleDelegate] method=public au.com.infomedix.harvey.humantask.domain.Task au.com.infomedix.harvey.ejb.TaskServiceBean.save(au.com.infomedix.harvey.humantask.domain.Task), interface=Local, requiredRoles=Roles(Clerk,Admin,)

Я предполагаю, что Аркиллиан не вводил информацию о безопасности для сигнатуры универсального метода, но, честно говоря, я не до конца понимаю это.

В любом случае, повторное объявление метода в интерфейсе устраняет проблему. Arquillian теперь может получить доступ к моему защищенному EJB. Спасибо всем за ваш ценный вклад.

- Лин

...