Java EE身份验证：如何捕获登录事件？

Java EE中没有这样的事件.然而.作为 JSR375的一部分,容器管理的安全性将完全重做,因为它在不同的容器实现中目前是 scattered,并且不是跨容器兼容的.这在 Java EE 8 Security API演示文稿中有所概述.

已经有一个正在进行的安全API的参考实现,Soteria,由我的同伴Arjan Tijms开发.使用新的Security API,CDI将用于触发您只能@Observes的身份验证事件.关于规范的讨论发生在this mailing list thread.它尚未在Soteria中具体实施.

在此之前,假设基于FORM的身份验证(其中用户主体在内部存储在会话中),最好的办法是手动检查servlet过滤器,如果请求中存在用户主体,而您的登录用户的表示不存在HTTP会话.

@Override
public void doFilter(ServletRequest req,ServletResponse res,FilterChain chain) {
    HttpServletRequest request = (HttpServletRequest) req;
    String username = request.getRemoteUser();

    if (username != null && request.getSession().getAttribute("user") == null) {
        // First-time login. You can do your thing here.
        User user =  yourUserService.find(username);
        request.getSession().setAttribute("user",user);
    }

    chain.doFilter(req,res);
}

请注意,在/ j_security_check上注册过滤器不能保证工作,因为一个像样的容器会在第一个过滤器被命中之前在内部处理它,出于明显的安全原因(用户提供的过滤器可能会以错误的方式操纵请求,无论是意外还是awarely).

如果您碰巧使用Java EE服务器使用Undertow servletcontainer,例如WildFly,那么有一种更干净的方式来挂钩其内部通知事件,然后触发自定义CDI事件.这是在Arjan Tijms的this blog充实.如博客所示,你最终可以得到一个像这样的CDI bean：

@SessionScoped
public class SessionAuthListener implements Serializable {

    private static final long serialVersionUID = 1L;

    public void onAuthenticated(@Observes AuthenticatedEvent event) {
        String username = event.getUserPrincipal().getName();
        // Do something with name,e.g. audit,// load User instance into session,etc
    }

    public void onLoggedOut(@Observes LoggedOutEvent event) {
        // take some action,null out User,etc
    }
}