基于JDBCRealm的程序登录

Question

我试图在一个简单的OpenID应用程序中实现身份验证。

FORM-based身份验证确实让我抓狂，因为无法侦听预验证事件和身份验证后事件。

当我从OpenID收到用户信息时，我想建议他们填写简单的注册表格(即编辑从身份提供者收到的详细信息，并可选择添加一些附加信息)。但是如果我使用标准的"j_security_check“动作，这些细节就会丢失。如果我尝试以编程方式登录用户(即使用HttpServletRequest#login(用户，密码))，我无法将用户重定向到最初请求的URL (因为只有FormAuthenticator保存了这些信息)。

是否有一种使用预先配置的JDBC领域手动控制身份验证机制的方法？也就是说，我不想在我的<login-config />中指定web.xml，但是当调用HttpServletRequest#login时，我想通过JDBC领域进行身份验证。这个是可能的吗？

Answer 1

不，GlassFish提供的ootb基本上是不可能的。你需要挖得更深一点。您将最终使用自定义JAAS LoginModule和JSR-196登录桥。还有更多的提示：

• http://www.java.net/forum/topic/glassfish/glassfish/gf-and-generic-jaas-loginmodule?force=316
• https://blogs.oracle.com/nasradu8/entry/loginmodule_bridge_profile_jaspic_in