Wie logge ich mich aus Java-EE-container managed security?

Arbeite ich in websphere 7.0. Ich verwende die security auf dem Anwendungsserver auf. Ich möchte zum entfernen der Verbindung mit dem Benutzer, also Benutzer umgeleitet wird, um die login-Seite vor dem Zugriff auf eine sichere Ressource (und Anfrage.getUserPrincipal() gibt null zurück).

Ich versuche :

Anfrage.getSession().invalidate();

aber der user principal ist immer noch verbunden.

Wie konnte ich entfernen Sie diese Zuordnung?

  • Ist es eine option zum senden eines client-Seite HTTP-redirect 302 auf der logout-url? Dies getan werden könnte, mithilfe von Javascript oder Manipulation der HTTP-Antwort-header.
  • Wie werden Sie leitet den Kunden auf die login-Seite, bevor Sie sich authentifizieren? Gibt es einen filter, der prüft, ob die Anforderung hat eine UserPrincipal?
  • Ich bin mit java-Sicherheit konfigurieren Sie in der web.xml der servlet-container umleiten Zugriff auf geschützte Ressourcen auf die login-Seite.
InformationsquelleAutor Guillaume Coté | 2010-09-02
  1. 4

    Websphere, ein spezielles abmeldeformular calles verwendet werden muss :

    http://publib.boulder.ibm.com/infocenter/wasinfo/v7r0/index.jsp?topic=/com.ibm.websphere.base.doc/info/aes/ae/tsec_pofolo.html

    Hier, was ich verwende : 

    <body onload="javascript:document.logout.submit()">
    <h2>Sample Form Logout</h2>
    <form METHOD=POST ACTION="ibm_security_logout" NAME="logout">
    Click this button to log out:
    <input type="submit" name="logout" value="Logout">
    <INPUT TYPE="HIDDEN" name="logoutExitPage" VALUE="/some url">
    </form>
</body>
    • Nein, Sie muss nicht. Gemäß der Dokumentation ist es nur eine bequeme Art die Abmeldung ohne die Notwendigkeit, die Unwirksamkeit der "ganze" session.
    • Invalidieren der session nicht funktioniert, die user-principal war noch vorhanden. Wenn Sie einen besseren Weg, es zu tun, würde ich gerne wissen.
    • ibm_security_logout ist nicht nur eine Abkürzung für das invalidieren der session geht es folgendermaßen: 1. Löscht den Lightweight Third Party Authentication (LTPA) / single-sign-on (SSO) cookies 2. Ungültig wird die HTTP-Sitzung 3. Entfernt den Benutzer aus der Authentifizierungs-cache. Auch wenn Ihre Sitzung ist ungültig, wenn die Berufung HttpSession#invalidate() ist es nicht ausreichend. Ihre LTPA-cookie bleibt gültig und ermöglicht Ihnen den Zugriff auf Anwendungen mit SSO-ohne login-in, und das ist, warum Sie anrufen müssen, ibm_security_logout.
    • Beachten Sie, dass die "löscht die SSO-LTPA-cookies" operation sendet nur die SSO-cookies als abgelaufen markiert zurück an den client-browser, so ist es die Verantwortlichkeit der browser den cookie entfernen. IBM hat nicht die Unwirksamkeit des SSO-cookies, weil Sie in anderen Anwendungen verwendet werden.
    InformationsquelleAutor Guillaume Coté
Schreibe einen Kommentar