Splatch’s devblog

Nigdy bym nie pomyślał, że stworzenie nowej aplikacji w oparciu o J2EE będzie tak trudne. A jednak, mimo wszystko, jest!

Zachwycony prostotą rozwiązania wbudowanego w standard, mianowicie roli i mapowania adresów, postanowiłem je wykorzystać. JSF mimo całej swej wspaniałości, mechanizmu autoryzacji nie dostarcza.

Autoryzacja i deskryptor

Może teraz nieco więcej o tym jak wygląda autoryzacja…

<web_app>
	<security_constraint>
		<web_resource_collection>
			<web_resource_name>Admin</web_resource_name>
			<url_pattern>/admin/*</url_pattern>
		</web_resource_collection>
		<auth_constraint>
			<role_name>ADMIN</role_name>
		</auth_constraint>
	</security_constraint>		

	<security_constraint>
		<web_resource_collection>
			<web_resource_name>Student</web_resource_name>
			<url_pattern>/student/*</url_pattern>
		</web_resource_collection>
		<auth_constraint>
			<role_name>STUDENT</role_name>
		</auth_constraint>
	</security_constraint>

	<security_role>
		<role_name>ADMIN</role_name>
	</security_role>
	<security_role>
		<role_name>STUDENT</role_name>
	</security_role>

	<login_config>
		<auth_method>FORM</auth_method>
		<realm_name>swe-realm</realm_name>
		<form_login_config>
			<form_login_page>/login.jsp</form_login_page>
			<form_error_page>/login.jsp</form_error_page>
		</form_login_config>
	</login_config>
</web_app>

Taki fragment w pliku web.xml oraz odpowiedni formularz umożliwiają wykorzystanie autoryzacji, którą obsługuje serwer. Jedyne co trzeba skonfigurować to swe-realm, tak by serwer wiedział skąd pobierać dane o użytkownikach i rolach.

Był sobie realm

Ano był sobie realm. Większość serwerów ma wbudowany zestaw realmów, które wystarczy skonfigurować by ich używać. Bilans kilkudniowych walk w przypadku Glassfisha i Geronimo jest zbieżny – żaden ze standardowych mechanizmów nie potrafi sobie poradzić z PostgreSQL. Zadziwiające nieprawdaż? W tym gąszczu standardów implementacje chyba się rozjechały, albo są po prostu kiepsko napisane, bo kwestia rozbija się o złe quoty w zapytaniach (wszędzie na chama lecą cudzysłowy, a dla PostgreSQL tak są ‘cytowane’ kolumny). Zatem zarówno Geronimo i Glassfish nie obsługuje poprawnie autoryzacji pod wybraną przeze mnie bazą danych. Znalazłem obejście dla Glassfisha – ktoś sam zaimplementował JDBCRealm. Po drobnych poprawkach i przekompilowaniu, tak by był on zgodny z aktualną wersją serwera uruchomiłem serwer.. Właściwie chciałbym go uruchomić, bo cóż się okazało? Ano problemy z classpathem. O zgrozo!

To już jest koniec historii

Żeby było zabawniej, można stworzyć sobie własny moduł logowania w oparciu o JAAS, wystarczy implementacja jednego interfejsu, jakkolwiek Glassfish wymusza rozszerzanie własnych klas. Z Geronimo póki co mam problem, ponieważ te wymaga bym tworzył dodatkowe deskryptory, czego ja oczywiście nie potrafię..

Był sobie standard, były sobie implementacje, pozostał zrozpaczony developer. :|