MVC: Servletweiterleitung umgeht Login Authentifizierung

console · 3. Dez 2008

Hallo Allerseits, habe folgendes Problem:

Ich habe ein Controller Servlet was meine UserAnfragen auswertet. In der Web.xml habe ich alle Seiten im Unterordner adressadmin verweigert. Rufe ich nun eine JSP per Direktlink in diesem Unterordner auf, erscheint die Login-Form und ich muss mich authentifizieren. So weit so gut. Übergebe ich den Request jedoch an mein Servlet das mich weiterleiten soll, kommt die Login-Form nicht und ich werde direkt durchgeleitet (Cookies vorher gelöscht).

Wie kann ich das Servlet zur Login.jsp zwingen und verhindern dass ich ohne Authentifizierung weitergeleitet werde?

Mein Servlet:

Code:

protected void doGet(HttpServletRequest req, HttpServletResponse res)
				throws ServletException, IOException
	{
		String choice = "";
		//Das Weiterleitungstarget ist default immer index.jsp
		String target = "index.jsp";
		
		//Die Userwahl wird aus dem request geholt
		choice = req.getParameter("choice");
		
if (choice.equals("profil"))
		{
			target = "adressadmin/myprofil.jsp";
		}

RequestDispatcher dispatcher = req.getRequestDispatcher(target);
		dispatcher.forward(req, res);

Meine Web.xml:

Code:

<welcome-file-list>
    <welcome-file>index.jsp</welcome-file>
    <welcome-file>index.htm</welcome-file>
    <welcome-file>index.html</welcome-file>
  </welcome-file-list>
  
  <servlet>
    <description>Der Main Controller der Anwendung der die Anfragen auswertet und entsprechend weiterleitet</description>
    <display-name>Controller</display-name>
    <servlet-name>Controller</servlet-name>
    <servlet-class>adresscontroller.Controller</servlet-class>
    
    
  </servlet>
  
  <servlet-mapping>
    <servlet-name>Controller</servlet-name>
    <url-pattern>/Controller</url-pattern>
  </servlet-mapping>
  
  <security-constraint>
	<web-resource-collection>
	  <web-resource-name>myResourceCollection</web-resource-name>
	  <url-pattern>/adressadmin/*</url-pattern>
	  
	  <http-method>DELETE</http-method>
                        <http-method>GET</http-method>
                        <http-method>HEAD</http-method>
                        <http-method>OPTIONS</http-method>
                        <http-method>POST</http-method>
                        <http-method>PUT</http-method>
                        <http-method>TRACE</http-method> 
	  	  
	</web-resource-collection>
	
	<auth-constraint>
	  <role-name>masteruser</role-name>
	  <role-name>normaluser</role-name>
	</auth-constraint>	
  </security-constraint>
  
  <login-config>
    <auth-method>FORM</auth-method>
    <realm-name>Default</realm-name>
    <form-login-config>
      <form-login-page>/login.jsp</form-login-page>
      <form-error-page>/error.jsp</form-error-page>
    </form-login-config>
  </login-config>

Was ich nicht möchte ist, dass das Servlet per request.isUserInRole("user") irgendwas programmatisch abprüft. Gibts da irgendeine Einstellung in der web.xml, sodass das Servlet nicht einfach ohne Authentifizierung in einen geschützten Bereich weiterleitet?

Danke im Vorraus...

gex · 3. Dez 2008

Hallo

Gibts da irgendeine Einstellung in der web.xml, so dass das Servlet nicht einfach ohne Authentifizierung in einen geschützten Bereich weiterleitet?

Soweit ich weiss nein. Du kannst ja mal das XSD anschauen http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd

Das Problem ist, dass - insofern ich mich jetzt nicht täusche - die security-constraint lediglich bei direkten
requests auf gültige Credentials prüft. Da aber ein forward per RequestDispatcher innerhalb der Applikation
- und nicht via HTTP-Redirect - durchgeführt wird, greift das aneinander vorbei.

Was du aber machen könntest wäre:
Du schreibst einen Security-Filter, in dem du die Rollenprüfung machst, dann hast du die Security von deinem
Controller getrennt und du kannst auch die internen Forwards (=DispatcherType) einbeziehen.

Gruss

Wintersoul · 4. Dez 2008

Hi,

Du könntest eine neue Rolle mit einer Wildcard erstellen (<role-name> * </role-name>). Dann würde jeder User durch den Asterisk erstmal gesondert behandelt werden.
Um den Zugriff zu geschützten Ressourcen zu verweigern, wird ähnlich vorgegangen.

Vielleicht hilft dir die Dokumentation vom Resin Server weiter: ->Link<-

Gruß

	Titel	Forum	Antworten	Datum
	Java Login Überprüfung ohne Srciptlets in der JSP	Web Tier	4	14. Jun 2020
F	Formular nach erfolgreichem Login ausblenden	Web Tier	0	11. Dez 2019
S	JSF Login mit redirect	Web Tier	1	4. Okt 2014
J	JSF Login/Registrieren Feature mit JBoss AS 7.1.0	Web Tier	0	3. Jun 2014
D	Java EE Servlet login Problem	Web Tier	1	25. Feb 2014
Q	JSF bei Session-Timeout Weiterleitung auf spezielle Login-Seite	Web Tier	15	28. Aug 2012
W	JSF Login funktioniert nicht	Web Tier	12	20. Aug 2012
W	JSF Komisches Verhalten nach Login per Realm	Web Tier	4	3. Aug 2012
M	JSF Login realisieren	Web Tier	4	18. Apr 2012
T	JSF Login?	Web Tier	2	7. Nov 2011
E	Login mit JSF 2.0 und Glassfish 3.1.1 (in Netbeans 7.0.1)	Web Tier	2	20. Okt 2011
J	JSF Mit Enter ein Login bestätigen?	Web Tier	3	29. Aug 2011
B	JSF Login authentication schaffe ich nicht	Web Tier	2	12. Jul 2011
P	JSF Login per Ajax validieren. Was ist der Beste Weg?	Web Tier	4	17. Jun 2011
T	JSP Session Login - Sicherheit	Web Tier	4	24. Feb 2011
D	JSF 2.0 Login	Web Tier	4	31. Aug 2010
I	Wie bekomme ich Angaben zum letzten Login	Web Tier	2	10. Jun 2010
K	JSP Login Code	Web Tier	14	16. Mrz 2010
G	Probleme mit Ajax Login (jsp)	Web Tier	5	16. Okt 2009
D	Login wie realisieren?	Web Tier	12	17. Sep 2009
J	Problem mit Login	Web Tier	4	18. Jun 2009
G	JSF h:form Tag Login über j_security_check und weiterleiten	Web Tier	5	3. Dez 2008
D	JSF+Weiterleitung zu einer Login-Page	Web Tier	1	18. Okt 2008
L	JSP Tomcat Login	Web Tier	6	29. Jul 2008
T	html login und apache client	Web Tier	13	15. Jul 2008
G	WebSeite hinter einem Login auslesen	Web Tier	8	10. Jun 2008
D	Login mit Filter (JSP/JSF)	Web Tier	3	27. Mrz 2008

MVC: Servletweiterleitung umgeht Login Authentifizierung

console

Neues Mitglied

gex

Bekanntes Mitglied

Wintersoul

Gast

Ähnliche Java Themen

Aktuelle Jobs

Neue Themen