Wildfly кэширует роли после выхода из веб-приложения
от JBoss-веб.в XML
<?xml version="1.0" encoding="UTF-8"?>
<jboss-web>
<security-domain flushOnSessionInvalidation="true">my-aktion
</security-domain>
<valve>
<class-name>utils.MyAuthenticator</class-name>
</valve>
</jboss-web>
автономное.в XML
<security-domain name="my-aktion" cache-type="default">
<authentication>
<login-module code="utils.MyAuthenticator" flag="required">
<module-option name="dsJndiName" value="java:jboss/datasources/MySQLDS"/>
<module-option name="principalsQuery" value="SELECT password FROM user WHERE username=?"/>
<module-option name="rolesQuery" value="SELECT r.role, 'Roles' FROM Role r INNER JOIN user u ON u.role_id = r.id WHERE u.username=?"/>
<module-option name="hashAlgorithm" value="SHA-256"/>
<module-option name="hashEncoding" value="base64"/>
</login-module>
</authentication>
</security-domain>
web.xml (extract)
<security-constraint>
<web-resource-collection>
<web-resource-name></web-resource-name>
<url-pattern>/Profile/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>User</role-name>
<role-name>Manager</role-name>
</auth-constraint>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
<login-config>
<auth-method>FORM</auth-method>
<realm-name>my-aktion</realm-name>
<form-login-config>
<form-login-page>/Login/login.xhtml</form-login-page>
<form-error-page>/Login/error.xhtml</form-error-page>
</form-login-config>
</login-config>
<security-role>
<role-name>User</role-name>
</security-role>
<security-role>
<role-name>Manager</role-name>
</security-role>
LogoutServlet.java (то же самое для doPost(...))
@WebServlet("/Login/logout.xhtml")
public final class LogoutServlet extends HttpServlet {
private static final long serialVersionUID = 1L;
public LogoutServlet() {
super();
}
protected void doGet(HttpServletRequest request,
HttpServletResponse response) throws ServletException, IOException {
response.setHeader("Cache-Control", "no-cache, no-store");
response.setHeader("Pragma", "no-cache");
response.setHeader("Expires", new java.util.Date().toString());
if (request.getSession(false) != null) {
request.getSession(false).invalidate();// remove session.
}
// if (request.getSession() != null) {
//
// request.getSession().invalidate();// remove session.
//
// }
request.logout();
response.sendRedirect(request.getContextPath());
}
у меня есть пользовательский Аутентификатор, который расширяет DatabaseServerLoginModule и перезаписывает метод createPasswordHash для собственной безопасности.
моя проблема в том, что когда я вхожу в систему с ролью менеджера и изменяю роль зарегистрированного пользователя с другим браузером, он кэширует роль для этого пользователя. Только когда я выхожу из системы и снова в нее, у него нет доступа к содержимому менеджера. Я использую LogoutServlet для выхода из системы.
Я пробовал различные изменения в сервлет, но это не помогает. Когда я удаляю "cache-type=default"из автономного.xml в wildfly это работает, но для каждого действия, сделанного на стороне, вызывается метод входа в модуль аутентификации, который очень плох.
в jboss-web.параметра XML в flushOnSessionInvalidation= "true" кажется правильным ответом на эту проблему, но это не имеет никакого эффекта. Спасибо за любую помощь!
1 ответов
это ошибка в wildfly 8.0.0 планируется исправить в 8.1. см.https://issues.jboss.org/browse/WFLY-3221
тем временем вы можете попробовать этот обходной путь, чтобы очистить кэш для конкретного пользователя, когда сеанс истекает или он недействителен.
создайте прослушиватель сеанса и вызовите метод из sessionDestroyed.
public void clearCache(String username){
try {
ObjectName jaasMgr = new ObjectName("jboss.as:subsystem=security,security-domain=<YOUR SECURITY DOMAIN>" );
Object[] params = {username};
String[] signature = {"java.lang.String"};
MBeanServer server = (MBeanServer) MBeanServerFactory.findMBeanServer(null).get(0);
server.invoke(jaasMgr, "flushCache", params, signature);
} catch (Exception ex) {
logger.warn(ex.getMessage());
}}