Login für User, der im Hintergrund Schedules ausführt

beta20

Top Contributor
Hallo zusammen,

ich verwende Apache Shiro für die Security.
Das funktioniert soweit ganz gut, wenn sich ein User per Web anmeldet. Der User gibt seine Loginname und Passwort ein -> ist eingeloggt.

Nun habe ich aber auch ein User, der im Hintergrund Schedules ausführen soll, der sich allerdings nicht via Web GUI authentifiziert.
Auch dieser soll sich aber einloggen bzw. authentifizieren. Die Idee ist hier statisch oder aus der Datenbank einen User zu definieren, der als dieser User dienen soll.

In der Datenbank speichere ich die Passwörter natürlich verschlüsselt ab (SHA512).

Der Login mittels Shiro funktioniert u.a. so:
Java:
UsernamePasswordToken token = new UsernamePasswordToken( username, password );
Subject currentUser = SecurityUtils.getSubject();
currentUser.login(token);
-> Der Parameter "password" ist bei new UsernamePasswordToken( username, password ) nicht verschlüsselt. Das ist der String, den der User in der GUI zum Einloggen eingibt.

Mein Problem ist nun:
1) Ich hole mir einen User aus der Datenbank
2) Habe das Passwort aber nur verschlüsselt. Aber ich benötige es entschlüsselt, um das auszuführen: new UsernamePasswordToken( username, password ).

Wie könnte ich das am Besten lösen? SHA512 kann ich ja nicht entschlüsseln.
Ich könnte mir vorstellen, dass ich neben den verschlüsselten Passwort noch einen Token in der Datenbank speichere?
Die Frage wäre dann aber wie ich diesen verschlüssele bzw. entschlüssle.

Danke für die Hilfe.
 

Dukel

Top Contributor
Wenn ein Programm Schedules laufen lassen soll dann geht das als Dienst oder im OS Scheduler. Diesen kann man jeweils als dieser Nutzer laufen lassen, der alles machen darf, was er muss.
 

beta20

Top Contributor
Ich meine keine Windows Scheduler o.ä.
Ich meine einen EJB Scheduler...
Ich habe eine Tabelle, in der ich meine Jobs vorhalte, die zu einem bestimmten Datum starten sollen...
Der User startet jede Minute den Scheduler an und prüft, ob in der Datenbank auszuführene Jobs sind. Falls ja, plant er diese eben im EJB Scheduler ein.

sonst gebe ich dir Recht, dass das ein OS Schedule machen kann...
 
K

kneitzel

Gast
Aber wi brauchst du da eine Authentifizierung? Das läuft dann doch in deinem Server, d.h. du hast da vollen Zugriff auf alles. Oder was übersehe ich hier jetzt?

Du hast ja in der Regel die Autorisierung im Frontend Bereich. Im Backend hast du die ja nicht mehr wirklich und macht ja auch keinen Sinn, denn du hast ja auf alles Zugriff ....
 

mrBrown

Super-Moderator
Mitarbeiter
Bei dir läuft doch alles in nem EE-Container? Warum dann nicht einfach auf JEE Security API setzen, was uU @RunAs, was zumindest in die Richtung dessen gehen könnte, was du suchst.

In der Datenbank speichere ich die Passwörter natürlich verschlüsselt ab (SHA512).
BTW: Die Passwörter sind damit nicht verschlüsselt, sondern gehasht, und statt SHA-512 sollte man besser einen extra dafür entwickelten Algorithmus nutzen.
 

beta20

Top Contributor
Aber wi brauchst du da eine Authentifizierung? Das läuft dann doch in deinem Server, d.h. du hast da vollen Zugriff auf alles. Oder was übersehe ich hier jetzt?

Du hast ja in der Regel die Autorisierung im Frontend Bereich. Im Backend hast du die ja nicht mehr wirklich und macht ja auch keinen Sinn, denn du hast ja auf alles Zugriff ....
Ich habe in verschiedenen Methode eine Prüfung, ob ein User die Berechtigung hat.

Bspw. ob ein User Angebote schreiben darf:
Hierzu benötige ich ein Objekt Subject (=currentUser).

Java:
if ( currentUser.isPermitted( "angebote:erstellen" ) ) {

Demnach benötige ich ja auch im Backend einen User, der sich aber eben über oben genannte Methode einloggen muss, damit das Subject - Objekt gefüllt wird.

Oder sehe ich etwas falsch?
 

LimDul

Top Contributor
Ein technischer Job, der im Backend direkt vom Scheduler gestartet wird erzeugt ein User-Objekt, was alle Rechte hat. - oder arbeitet auf einer Ebene wo keine Rechteprüfung mehr läuft, weil die vorgelagerten Schichten stattfindet.
 
K

kneitzel

Gast
@LimDul hat das ja schon recht schön geklärt. Aber ich melde mich auch noch einmal zu Wort, da ich da versehentlich auch ein falsches Wording benutzt hatte.

Wichtige Unterscheidung:
Authentifizierung: Ein User meldet sich an. Dazu nutzt er irgend eine Methode, über die er bestätigen kann, dass er dieser user ist.
==> Diese Authentifizierung muss nicht statt finden, wenn Du das System kontrollierst. Du hast ja Zugriff auf das Backend direkt und kannst, so du es brauchst, dir einen entsprechenden User erzeugen. Eine Authentifizierung findet nicht statt, denn jetzt bist Du zwei in eins: Einmal derjenige der etwas behauptet und gleichzeitig derjenige, der es glaubt. Du wirst Dir selbst ja vertrauen. (Anders als daher gelaufenen Usern - den glaubst Du erst, wenn sie es bewiesen haben...)
==> Autorisierung: Was darf ein User / Gruppe / Mandant? Oft braucht man das nicht, weil Du schreibst ja den Code und der soll ablaufen. Da braucht man dann keine Autorisierung, denn du bist autorisiert, alles zu machen.
ABER: Das ist ein Sicherheitsproblem. Und das kann kritisch gesehen werden. Mir fällt da direkt ein Mandantenfähiges System ein und das soll immer getrennt sein. Du wirst auch im Backend sehr genau Mandanten prüfen. Ohne "user" keine Daten! Und ein Job muss unter einem Mandanten laufen.

Das einfach nur als wichtige Trennung. Und ich habe beim Schreiben nicht zu genau draufgeachtet und zu schnell geschrieben. Freudscher Verschreiber - da ich auch an Autorisierung mit gedacht habe, hat sich das da eingeschlichen. Daher das noch einmal ausführlicher.

Ansonsten gilt wie schon oben geschrieben: @LimDul hat das ja soweit geklärt meine ich, oder?
 

beta20

Top Contributor

Da steht:

Doku lesen hilft bei sowas ungemein :)

Danke euch!

Mhm, also ich habe das mal versucht:

Java:
Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro-web.ini");
SecurityManager securityManager = factory.getInstance();
SecurityUtils.setSecurityManager(securityManager);
           
Subject subject = new Subject.Builder().buildSubject();

Wenn ich mir im Debug Mode das nun anschaue, dann hat Subject - Object keine Berechtigungen... Also "authenticated" = false
Wenn ich also mit dem Subject Funktionen aufrufe, bei denen die Berechtigung geprüft wird, dann schlägt das fehl (da eben nicht berechtigt)

Vielleicht habe ich aber auch einfach ein Logikfehler bei mir...:
Ich habe die Prüfung der Berechtigungen innerhalb meiner Service Klasse implementiert.
Zudem habe ich in den Controller Klassen für das Webfrontend die Berechtigungsprüfung implementiert. Eigentlich ist das ja doppelt gemoppelt.

Ich hatte die Prüfung in der Service Klasse mehr oder weniger eher nur dadurch eingebaut, falls ich später mal Webservices habe, die diese Funktionen konsumieren. Aber die Prüfung der Berechtigung könnte ich dann ebenfalls in den Webservices machen.

Dann könnte ich die Berechtigung komplett aus den Service Klassen nehmen?
 

mrBrown

Super-Moderator
Mitarbeiter
Wenn ich mir im Debug Mode das nun anschaue, dann hat Subject - Object keine Berechtigungen... Also "authenticated" = false
Wenn ich also mit dem Subject Funktionen aufrufe, bei denen die Berechtigung geprüft wird, dann schlägt das fehl (da eben nicht berechtigt)
Du erstellst doch ein "leeres" Subject, da würde ich eigentlich erwarten, dass es keinerlei Berechtigungen hat.


Ich habe die Prüfung der Berechtigungen innerhalb meiner Service Klasse implementiert.
Zudem habe ich in den Controller Klassen für das Webfrontend die Berechtigungsprüfung implementiert. Eigentlich ist das ja doppelt gemoppelt.

Ich hatte die Prüfung in der Service Klasse mehr oder weniger eher nur dadurch eingebaut, falls ich später mal Webservices habe, die diese Funktionen konsumieren. Aber die Prüfung der Berechtigung könnte ich dann ebenfalls in den Webservices machen.

Dann könnte ich die Berechtigung komplett aus den Service Klassen nehmen?
Mit Prüfung in den Services fährt man bei komplexen Dingen meist besser, man hat die Autorisierung nicht von den eigentlichen Aktionen getrennt, sondern beides zusammen, und hat mehr Möglichkeiten, wenn nicht alles direkt über die Web-Schnittstelle kommt.

Die Doppelung der Autorisierung macht aber schnell Probleme, daher würde ich eher die im Controller entfernen.
 

beta20

Top Contributor
Du erstellst doch ein "leeres" Subject, da würde ich eigentlich erwarten, dass es keinerlei Berechtigungen hat.
Ja, so sieht es auch aus....
Die Frage ist nun aber wie ich mich dann doch "einlogge" bzw. dem Subject die entsprechenden Berechtigungen gebe. Finde dazu leider keine setPermission Methode o.ä..

Ich kann jetzt natürlich ein bestehender User verwenden und "hart" in den Code reinschreiben.Wenn sich das PW ändert, muss ich natürlich den Code anpassen, neu deployen etc. - ist natürlich alles andere als toll.

Java:
Subject subject = new Subject.Builder().buildSubject();
UsernamePasswordToken token = new UsernamePasswordToken("test@domain.de", "mypassword");
currentUserShiro.login(token);

Das Problem ist zudem, dass ich dann hier das Passwort in Klartext reinschreibe (also nicht gehasht) bzw. wenn ich einen User aus der Datenbank lade, habe ich nur das gehashte Passwort, womit new UsernamePasswordToken("test@domain.de", "mypassword"); nicht umgehen kann, weil es das PW in Klartext benötigt (also "mypassword", welches sonst eben im Webfrontend eingegeben wird).

Mit Prüfung in den Services fährt man bei komplexen Dingen meist besser, man hat die Autorisierung nicht von den eigentlichen Aktionen getrennt, sondern beides zusammen, und hat mehr Möglichkeiten, wenn nicht alles direkt über die Web-Schnittstelle kommt.

Die Doppelung der Autorisierung macht aber schnell Probleme, daher würde ich eher die im Controller entfernen.
ok, danke - werde ich dann so umsetzen...
 
K

kneitzel

Gast
Wenn Du einmal das Subject hast, dann setzt Du da keine rechte mehr.

Aber Du hast doch den Link bekommen wo es erläutert wurde incl. dem Beispiel:
Java:
Object userIdentity = //a long ID or String username, or whatever the "myRealm" requires
String realmName = "myRealm";
PrincipalCollection principals = new SimplePrincipalCollection(userIdentity, realmName);
Subject subject = new Subject.Builder().principals(principals).buildSubject();

Hier erstellst Du also ein Subject für einen User. Und wie du siehst: keinerlei Passwort wird benötigt. Alles, was Du brauchst, ist hier ein principal object mit dem User, den du verwenden möchtest.

Oder habe ich Deine Problematik falsch verstanden? Aber was auf jeden fall wichtig ist: So ein Builder wie Subject.Builder() bietet die Methoden, die Du brauchst um die Eigenschaft des Zielobjekts (hier vom Typ Subject) zu erstellen. Erst wenn Du alles gesetzt hast, dann rufst Du build auf (bzw. buildSubject hier).
 

beta20

Top Contributor
Habe nochmal eine Frage dazu...:
Sollte ich nachdem der Scheduler gelaufen ist die Session des Users (Subject) wieder killen?

Ich hatte jetzt den Fall, dass ich nach längerer Inaktivität diese Meldung bekomme:
org.apache.shiro.session.UnknownSessionException: There is no session with id [d32af383-5f26-463f-a2f0-58a0e82c7890]
 
Ähnliche Java Themen
  Titel Forum Antworten Datum
N Java login für HTML Seite Allgemeine Java-Themen 6
torresbig Url nach Webseiten-Login auslesen & Daten an Webseite senden Allgemeine Java-Themen 9
torresbig Website login Problem - Jsoup, wie bisher, klappt nicht! Allgemeine Java-Themen 31
OnDemand Login 2 Faktor Allgemeine Java-Themen 7
E Java Website Login Allgemeine Java-Themen 2
H HTTP Website-Login Allgemeine Java-Themen 5
T Login lässt App crashen! Allgemeine Java-Themen 14
L Nach dem Login // Java Desktop Software Allgemeine Java-Themen 7
M Login in eine Webseite mit Java Allgemeine Java-Themen 3
F Login einfach "ausbauen" Allgemeine Java-Themen 10
C Login System Allgemeine Java-Themen 19
L Methoden Automatischer login auf einer seite Allgemeine Java-Themen 3
L Login auf website per Java Allgemeine Java-Themen 13
T Login-Abfrage Allgemeine Java-Themen 3
T Login mit LDAP-Abfrage Allgemeine Java-Themen 3
D Best Practice Login-Daten: Wie am besten abrufen? Allgemeine Java-Themen 6
D Login Allgemeine Java-Themen 10
R Login auf einer SSL-Webseite Allgemeine Java-Themen 7
D Problem mit Login in einem Dynamischen Webprojekt Allgemeine Java-Themen 1
A Java | Login-System Allgemeine Java-Themen 3
A Login ausfüllen und abschicken... Allgemeine Java-Themen 19
D Suche Librarys ähnlich datatables.net + Login Allgemeine Java-Themen 3
C .jar bei Login starten Allgemeine Java-Themen 7
A Login-Daten Formular automatisch ausfüllen Allgemeine Java-Themen 10
C Login auf Website mit Cookies Allgemeine Java-Themen 3
T Website-Login via Java Allgemeine Java-Themen 22
D Login schützen... Allgemeine Java-Themen 13
R Login Allgemeine Java-Themen 5
M TomCat Login Allgemeine Java-Themen 19
P Login- Fenster Allgemeine Java-Themen 11
B User Login: JPasswordField + JPasswordField_wdh vergleichen Allgemeine Java-Themen 2
G Servlet Register/Login-Prozedur Allgemeine Java-Themen 9
M Login script mit java Allgemeine Java-Themen 3
S SMTP-AUTH-Login Allgemeine Java-Themen 2
W Internet Seite mit login 1x od. 2x Allgemeine Java-Themen 5
R Problem mit Login in einen Chat Allgemeine Java-Themen 5
Karl_Der_Nette_Anfänger Hat wer ne Lösung für verknüpfte Postleitzahlen? (Baum/Wurzel Struktur) Allgemeine Java-Themen 11
R 11 GB File lesen ohne zu extrahieren Filedaten Bereich für Bereich adressieren dann mit Multi-Thread id die DB importieren Allgemeine Java-Themen 3
G KeyListener für JTextField Allgemeine Java-Themen 5
webracer999 Library für Textsuche (z. B. include/exclude, and/or)? Allgemeine Java-Themen 5
I Module-Info für Jar erzeugen Allgemeine Java-Themen 7
krgewb Java-Bibliothek für ONVIF Allgemeine Java-Themen 1
B Simpler Eventlistener für Tastaturtaste bauen? Allgemeine Java-Themen 13
_user_q Eingegebenen Text Zeile für Zeile ausgeben lassen Allgemeine Java-Themen 11
E Key für TOTP Algorythmus(Google Authentificator) Allgemeine Java-Themen 0
S Formel für Sonnenwinkel in ein Programm überführen Allgemeine Java-Themen 11
M pfx-Zertifikat in Tomcat für SSL-Verschlüsselung nutzen Allgemeine Java-Themen 14
R Best Practice Erfahrungswerte für eine Migration von JSF nach Angular (oder anderes JS-Framework) Allgemeine Java-Themen 1
B HeapSort für Array of Strings funktioniert nur teilweise Allgemeine Java-Themen 3
jhCDtGVjcZGcfzug Klassen Was genau passiert hier? Kann mir das jemand bitte Zeile für Zeile erklären? Allgemeine Java-Themen 1
rosima26 Bester Sortieralgorithmus für kurze Arrays Allgemeine Java-Themen 40
S Mit Methoden kann man definieren für was <T> steht. Geht das auch irgendwie für Variablen? Allgemeine Java-Themen 12
MangoTango Operatoren while-Schleife für Potenz Allgemeine Java-Themen 3
B Lottospiel, genug Reihen tippen für 3 Richtige (Spaß mit Arrays)? Allgemeine Java-Themen 46
B Mit welchen Datentypen und Strukturierung am Besten dutzende Baccaratspiele Shcritt für Schritt durchsimulieren? Allgemeine Java-Themen 26
D Klassendesign für einen Pascal Interpreter Allgemeine Java-Themen 6
I OCR Library für Belegerkennung Allgemeine Java-Themen 7
farah GetterMathod für Farbkanäle Allgemeine Java-Themen 6
B Welcher Datentyp für sehr große Zahlenbereiche? Allgemeine Java-Themen 1
S Webservices für binäre Daten? Allgemeine Java-Themen 5
G Licence-Header für InHouse entwickelten Source Allgemeine Java-Themen 8
M Schleife für einen TicTacToe Computer Allgemeine Java-Themen 5
O git ignore für Intellji braucht es die .idea Dateien? Allgemeine Java-Themen 8
F Java Script für das Vorhaben das richtige? Allgemeine Java-Themen 9
M wiviel Java muss ich für die Berufswelt können ? Allgemeine Java-Themen 5
Robertop Datumsformat für GB ab Java 16 Allgemeine Java-Themen 1
Thallius Verschiedene entities für gleichen Code…. Allgemeine Java-Themen 8
OnDemand Zentrale "Drehscheibe" für verschiedene APIs Allgemeine Java-Themen 14
S Übergabe eines Sortierkriteriums für ein Artikel Array mittels BiPredicate<Artikel, Artikel> Allgemeine Java-Themen 13
F Streams als Alternative für dieses Problem ? Allgemeine Java-Themen 15
D SHA-3 für Java-version 1.8 Allgemeine Java-Themen 1
N Validator für einen SQL-Befehl Allgemeine Java-Themen 22
Muatasem Hammud Erstellung von Testdaten für Arrays Allgemeine Java-Themen 6
B Logikfehlersuche, das perfekte Lottosystem für 3 Richtige mit Arraylists? Allgemeine Java-Themen 61
G Methoden für die Zukunft sinnvoll? Allgemeine Java-Themen 4
M API für PLZ Umkreissuche Allgemeine Java-Themen 3
1Spinne JDK 8 für Eclipse installieren Allgemeine Java-Themen 5
Tobero Meine Funktion für das beinhalten eines Punktes in einem Kreis funktioniert nicht Allgemeine Java-Themen 5
L Methoden Parser für gängige Datumsformate? Allgemeine Java-Themen 1
H Interface PluginSystem ClassNotFound exception für library Klassen Allgemeine Java-Themen 10
N relativier Pfad für sqlite-Datenbank in Gradle/IntelliJ Allgemeine Java-Themen 2
buchfrau Anagram für beliebiges Wort Allgemeine Java-Themen 2
TonioTec Api für Datenaustausch zwischen Client und Server Allgemeine Java-Themen 0
W Suche Ursache für NPE - woher kommt sie? (Hilfe beim Debugging) Allgemeine Java-Themen 19
Kirby.exe Distanz Map für die Distanztransformation erstellen Allgemeine Java-Themen 1
F PI Regler für Heizung Allgemeine Java-Themen 7
8u3631984 Generelle Log4j.xml für alle Module Allgemeine Java-Themen 5
M Wie übergebe ich den Zähler für die Anzahl Rekursionsschritte korrekt? Allgemeine Java-Themen 2
L RegEx für Teile einer Berechnung Allgemeine Java-Themen 14
S Java-Task-Management-Tool für Windows und Mac selber programmieren Allgemeine Java-Themen 4
M Java 2D Array für ein Grid erstellen ? Allgemeine Java-Themen 2
Z Welches GUI Framework für Java ist aktuell? Allgemeine Java-Themen 16
N Convert.FromBase64 von C# für Java Allgemeine Java-Themen 11
N fixed-keyword von C# für Java Allgemeine Java-Themen 6
O Suche Scripter für alt:V Project! Allgemeine Java-Themen 0
S Interface Design von HookUp oder Callback Methoden für eigenes Framework Allgemeine Java-Themen 9
O Suche Unterstützung für ein OpenSource-Projekt (grafischer Editor) Allgemeine Java-Themen 13
Kirby.exe Software für Graphische Visualisierung Allgemeine Java-Themen 20
B OOP Auslöser für NullPointerException Allgemeine Java-Themen 3
L Generator für einen Parser implementieren Allgemeine Java-Themen 13

Ähnliche Java Themen

Neue Themen


Oben