Announcement

**Christian Marquardt** · 19.07.2010, 19:12

ich plane gerade eine JSF Web Applikation, in der es einen usergesperrten Bereich geben soll.

Wer sollte danndarauf zugreifen k�nnen, wenn alle User gesperrt sind?

Die einfachen Login-Beispiele die zu Hauf im Netz rumgeistern machen ja meist nur eine Weiterleitung auf eine dahinter geschaltete Seite.

Was sollte eine Loginseite auch anderes tun? Wenn sich jemand authentifiziert hat, sollte sie schon irgendwohin weiterleiten. Entweder "ok" oder "nicht ok"

Ich m�chte das ganze jedoch auf der Applikationsschine machen.

bsp. per EJB...

Gesch�tzt werden sollen entweder bestimmte URL-Pattern oder bestimmte Seiten oder Funktionen.

Nun doch nicht mehr per Application? -> dann in den Konfigurationsdateien deines Servers ->web.xml

Nur wer sich in seiner entsprechenden Session eingeloggt hat kann entsprechende Bereiche betreten.

Wer sich einloggt, bekommt eine Session und kann weitermachen.

**meinereiner** · 19.07.2010, 19:27

Ok hast recht war ein bisschen ungl�cklich formuliert.

In der Web Appliaktion die entstehen soll, soll es einen �ffentlichen und einen privaten Bereich geben. Im �ffentlcihen soll jeder zugriff haben und im Privaten soll der User entsprechende individuelle Informationen bekommen.
Wie du schon durch deine Fragen gemerkt hast ist mir noch nicht ganz klar, wie ich am besten die Trennlinie ziehe.

Was sollte eine Loginseite auch anderes tun? Wenn sich jemand authentifiziert hat, sollte sie schon irgendwohin weiterleiten. Entweder "ok" oder "nicht ok"

Das ist klar nur was muss danach passieren, dass der User authentifiziert bleibt? �ber eine Session?:

Was sollte eine Loginseite auch anderes tun? Wenn sich jemand authentifiziert hat, sollte sie schon irgendwohin weiterleiten. Entweder "ok" oder "nicht ok"

Kennst du f�r eine solche Anwendung irgendwelche Beispiele die ich mir mal anschauen kann um zu verstehen wie ich das bei mir einbauen m�sste?

Gru�
meinereiner

**Christian Marquardt** · 19.07.2010, 19:31

http://www.cafesoft.com/products/cam...-security.html

-> Form Based Authentication

mal als Beispiel f�r den Tomcat

**meinereiner** · 19.07.2010, 19:52

Danke f�r das Beispiel.
Ich sehe nur bei den Beispielen einen Nachteil: Die Authentifizierung l�uft ja, wenn sie gegen User in einer DB gecheckt werden sollen �ber eine eigene Datenbankverbindung die der Tomcat/Glassfish/... managed (POST request wird von tomcat und nicht von der App ausgewertet). Dadurch kenne ich in meiner Applikation jedoch nicht den Benutzernamen und kann so nicht den Inhalt auf den User anpassen.

Oder verstehe ich da was falsch?

**Christian Marquardt** · 19.07.2010, 19:58

a) hast du

getRemoteUser - Returns the user name the client used for authentication.
isUserInRole - Determines if a remote user is in a specified security role.
getUserPrincipal - Returns a java.security.Principal object, which contains the principals name and roles.

b) �bernimmst du ja bei der Form Based Authentication die Verifizierung. Du kannst die Daten in der Session speichern und von dort abrufen

**meinereiner** · 19.07.2010, 20:06

OK, also du schl�gst vor die Authentifizierung durch den Application server zu machen, beispielsweise durch JDBCRealm und dann mit den erw�hnten Methoden auf die Eigenschaften des Users zuzugreifen.

Ich werde es die Tage mal probieren und mich dann wieder melden. Die Daten in der Session ablegen werde ich dann auch gleich ausprobieren!

THX schonmal!

Announcement

Prinzipielle Frage zu Authentifizierung und JSF

Prinzipielle Frage zu Authentifizierung und JSF

Comment

Comment

Comment

Comment

Comment

Comment