Аутентификация CAS для веб-приложения Glassfish 3.1. Как насчет авторизации?

Question

Я пытаюсь настроить веб-приложение на основе glassfish 3.1 + JSF2. Авторизация выполняется с использованием сервера CAS, устанавливающего клиент jasig cas в веб-приложении, как указано здесь:

Настройка клиента JA-SIG CAS для Java в web.xml

и я могу поймать основной объект внутри EJB, когда пользователь аутентифицирован. Основные атрибуты CAS поступают из LDAP в Active Directory. Теперь, как я могу добавить авторизацию? Как я могу разрешить доступ к определенным веб-страницам только для определенных групп пользователей, определенных в AD?

Цель - просто предоставить пользователям доступ к различным веб-страницам в соответствии с их ролями LDAP. Я пытался следовать рекомендациям по защите веб-приложений из руководства по Java EE, и мой файл web.xml

<filter>
    <filter-name>CAS Authentication Filter</filter-name>
    <filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>
    <init-param>
        <param-name>casServerLoginUrl</param-name>
        <param-value>https://casserver:8443/cas/login</param-value>
    </init-param>
    <init-param>
        <param-name>serverName</param-name>
        <param-value>http://localhost:8080</param-value>
    </init-param>
</filter>
<filter>
    <filter-name>CAS Validation Filter</filter-name>
    <filter-class>org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class>
    <init-param>
        <param-name>casServerUrlPrefix</param-name>
        <param-value>https://casserver:8443/cas</param-value>
    </init-param>
    <init-param>
        <param-name>serverName</param-name>
        <param-value>http://localhost:8080</param-value>
    </init-param>
</filter>
<filter>
    <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
    <filter-class>org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class>
</filter>
<!-- 
<filter>
    <filter-name>CAS Assertion Thread Local Filter</filter-name>
    <filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>
</filter>
 -->
<filter-mapping>
    <filter-name>CAS Authentication Filter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>
<filter-mapping>
    <filter-name>CAS Validation Filter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>
<filter-mapping>
    <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>
<context-param>
    <param-name>javax.faces.PROJECT_STAGE</param-name>
    <param-value>Production</param-value>
</context-param>
<servlet>
    <servlet-name>Faces Servlet</servlet-name>
    <servlet-class>javax.faces.webapp.FacesServlet</servlet-class>
    <load-on-startup>1</load-on-startup>
</servlet>
<servlet-mapping>
    <servlet-name>Faces Servlet</servlet-name>
    <url-pattern>/faces/*</url-pattern>
</servlet-mapping>
<session-config>
    <session-timeout>
        30
    </session-timeout>
</session-config>
<welcome-file-list>
    <welcome-file>faces/index.xhtml</welcome-file>
</welcome-file-list>
<security-constraint>
    <display-name>Pagina di user</display-name>
    <web-resource-collection>
        <web-resource-name>index1</web-resource-name>
        <description>ristretto a user</description>
        <url-pattern>/faces/index.xhtml</url-pattern>
    </web-resource-collection>
    <auth-constraint>
        <description>user only</description>
        <role-name>AMP-User</role-name>
    </auth-constraint>
</security-constraint>
<security-constraint>
    <display-name>Pagina di profile</display-name>
    <web-resource-collection>
        <web-resource-name>index2</web-resource-name>
        <description>risretto a profile</description>
        <url-pattern>/faces/index_2.xhtml</url-pattern>
    </web-resource-collection>
    <auth-constraint>
        <description>profile only</description>
        <role-name>AMP-Profile</role-name>
    </auth-constraint>
</security-constraint>
<security-role>
    <description>utente generico</description>
    <role-name>AMP-User</role-name>
</security-role>
<security-role>
    <description>Utente di alto profilo</description>
    <role-name>AMP-Profile</role-name>
</security-role> 

Затем я назначил роли моим группам LDAP в glassifh-web.xml

    <glassfish-web-app error-url="">
  <security-role-mapping>
    <role-name>AMP-Profile</role-name>
    <group-name>AMP-Profile</group-name>
  </security-role-mapping>
  <security-role-mapping>
    <role-name>AMP-User</role-name>
    <group-name>AMP-User</group-name>
  </security-role-mapping>
  <class-loader delegate="true"/>
  <jsp-config>
    <property name="keepgenerated" value="true">
      <description>Keep a copy of the generated servlet class' java code.</description>
    </property>
  </jsp-config>
</glassfish-web-app>

Проблема в том, что при доступе к странице index.xhtml форма запрашивает у меня аутентификацию, но аутентификация должна выполняться сервером CAS. Во всяком случае, я не могу подтвердить подлинность. Как я могу использовать аутентификацию CAS и сопоставить группы LDAP с ролями?

Answer 1

Вы можете использовать аннотации безопасности (JSR 250, javax.security.annotations) для определения управления доступом на основе ролей:

@Stateless
@DeclareRoles({"admin", "users"})
public class HelloEJB implements Hello {
    @PermitAll
    public String hello(String msg) {
        return "Hello, " + msg;
    }

    @RolesAllowed("admin")
    public String bye(String msg) {
         return "Bye, " + msg;
    }
}

Слегка адаптированный пример из первой ссылки ниже

Здесь я сначала объявил роли, используя @DeclareRoles.@PermitAll предоставляет доступ всем аутентифицированным пользователям, в то время как @RolesAllowed предоставляет доступ только к указанным ролям.

Вам необходимо будет установить роли в дескрипторах развертывания, а также в Glassfish.Я нашел эту статью очень полезной. Руководство по безопасности сервера Glassfish содержит подробности.Вы также можете проверить этот вопрос .Если вы столкнетесь с какими-то проблемами, обратитесь к SO.