Я имею защищенный стандартным ролевым механизмом бин. И имею сервлет, который должен вызывать метод этого бина. Сервлет не защищен. Я явно указываю логин и пароль, как это советуют люди в мэйлистах и форумах:



Почему то у меня это не работает. Может потому, что сам сервлет не защищен. возникает исключение



Когда я защищаю сам сервлет, все, естественно, работает нормально. Проблема в том, что я не могу использовать защиту сервлета, потому что он должен будет вызываться автоматически из отдельностоящего http-клиента, логин и пароль к которому будут передаваться в виде джава аргументов.
Буду рад любым предложениям насчет того, как программно указать в сервлете параметры аутентификации.

Чисто теоретически - можно сделать закрытый сервлет, в котором вызывать бин. И сделать открытый, который может форвардиться на закрытый сервлет. И в открытом сделать какую-то проверку введенных данных.

Полагаю, что вместо этого

надо задействовать JAAS.
Если web контейнер воспринимает аутентификацию и авторизацию правильно,
то она передается и в EJB контейнер.

Не подскажете ли каким образом следует использовать  JAAS, пример кода или ссылку куда-нить. Буду очень признателен.
А насчет аутентификации в web-контейнере, все правильно, как и описано в сановском туториале про безопасность.
А есть ли возможность программно передать параметры аутентификации при вызове сервлета или jsp-странички логина?
При настройке безопасности для веб-контейнера в случае модели FORM, в web.xml указывается страничка логина и страничка с выводом сообщения об ошибке аутентификации. Вот код странички логина:



Есть ли какой-то способ программно указать значения параметров j_username и j_password? Непонятно ведь, куда следует отправлять пост-запрос от http-клиента с этими параметрами? Идея собственно и заключается в том, чтобы вызвать защищенный сервлет полностью автоматически.

К сожалению под рукой у меня сейчас нет материалов, но достаточно
подробное описание (в части безопасности и JAAS) видел в книге: 

Хорстманн,  Корнелл "Java 2. Библиотека профессионала. Том 2. Тонкости программирования"

а также пример использования в книге:
Перри Брюс У. "Java сервлеты и JSP: сборник рецептов."

В одной из этих книг, в части использования JAAS, мне кажется, видел подход для решения вашей задачи.

И еще одно замечание. Вот текст получения полномочий из HTTP запроса 
  
То есть в вашем клиенте "не браузере" вы можете в заголовок HTTP запроса "Authorization" запихнуть (обратным образом) нужные полномочия программно.

Это сообщение отредактировал(а) mbasil - 5.3.2009, 14:29

Кстати

1. Чтобы использовать недокументированный кодер BASE64 нужно сделать импорт



2. Первые символы в HTTP заголовке "Authorization" это просто слово, обозначающее тип
    аутентификации (например Basic) и после пробела закодированные в BASE64 имя и пароль,
    разделенные символом двоеточия. Таким образом ваш клиент сможет сгенерировать и
    передать имя и пароль. И конечно в случае автоматической засылки имени и пароля
    из клиента не браузера надо использовать аутентификацию не формой, а   Basic

3. Заставить клиента аутентифицироваться можно также программно, заслав ему
    (например в фильтре) только следующее:



Это сообщение отредактировал(а) mbasil - 5.3.2009, 16:57