Пользовательский модуль входа JBoss JAAS

Question

Я пытаюсь использовать пользовательский JAAS модуль аутентификации для веб-приложения, размещенного на JBoss 5.1.0.GA.Таким образом, кажется, что все работает нормально, пока не увеличится количество пользователей и не начнут смешиваться сессии (если так можно подумать).

Причина, по которой я использую пользовательский JAAS, заключается в пользовательском бэкенде аутентификации и необходимостивернуть пароль для дальнейшего использования в приложении.

Когда я вызываю request.getUserPrincipal в сервлетах, я получаю объект типа SimplePrincipal вместо этого на моем пользовательском субъекте.Чтобы получить пользователя, я использую SecurityAssociation.getSubject().getPrincipals() и подозреваю, что в этот момент я получаю неправильный принципал.

Как правильно реализовать настраиваемый модуль входа в систему и получить зарегистрированного принципала на веб-уровне(Serlets) на JBoss?

РЕДАКТИРОВАТЬ: Проблема существует на уровне EJB, https://issues.jboss.org/browse/EJBTHREE-1756

Ссылка:

1. http://stuffthathappens.com/blog/2008/05/16/writing-a-custom-jaas-loginmodule/
2. http://community.jboss.org/wiki/SecurityJAASLoginModule
3. http://community.jboss.org/message/531986#531986
4. http://download.oracle.com/javase/1.4.2/docs/guide/security/jaas/JAASLMDevGuide.html
5. http://community.jboss.org/thread/44388
6. http://docs.redhat.com/docs/en-US/JBoss_Enterprise_Application_Platform/5/pdf/Security_Guide/JBoss_Enterprise_Application_Platform-5-Security_Guide-en-US.pdf

Answer 1

Я не смог получить LoginModule с моим пользовательским принципалом. Я создал Tomcat valve, который шифрует и отправляет пароль к HttpSession. Другие сервлеты будут извлекать и дешифровать пароль.