Используйте Arquillian для тестирования безопасного EJB

Я использую JBoss 6.1, и у меня есть безопасный EJB, имеющий методы, аннотированные с помощью @RolesAllowed("Admin"). Я пытаюсь проверить этот метод с Аркиллиан.

Я успешно выполнил журнал EJB в @Before теста, однако он не смог вызвать этот метод. Из журнала TRACE я вижу, что принцип и роли правильны (в данном случае 'myuser' и 'Admin'), но информация о безопасном EJB-методе неверна (requiredRoles пуст).

TRACE [org.jboss.security.plugins.authorization.JBossAuthorizationContext] Control flag for entry:org.jboss.security.authorization.config.AuthorizationModuleEntry{org.jboss.security.authorization.modules.DelegatingAuthorizationModule:{}REQUIRED}is:[REQUIRED]
TRACE [org.jboss.security.authorization.modules.ejb.EJBPolicyModuleDelegate] method=public au.com.domain.DTOObject au.com.ejb.SecureServiceBean.save(au.com.domain.DTOObject), interface=Local, requiredRoles=Roles()
TRACE [org.jboss.security.authorization.modules.ejb.EJBPolicyModuleDelegate] Exception:Insufficient method permissions, principal=myuser, ejbName=SecureServiceBean, method=save, interface=Local, requiredRoles=Roles(), principalRoles=Roles(Admin,)

Мне удалось успешно вызвать метод в том же EJB с @PermitAll.

Я искал документацию Arquillian вокруг безопасного EJB, но не смог найти.

Большое спасибо за вашу помощь.

- Linh

ОТВЕТЫ

Ответ 1

Спасибо Ив Мартин за это предложение. Я попытался добавить jboss.xml и ejb-jar.xml, как вы сказали, к сожалению, это не сработало.

Я изучил код снова и снова, и, наконец, я нашел решение этой проблемы. Мой исходный код настроен следующим образом:

Интерфейс ObjectRepository:

public interface ObjectRepository<T extends DomainObject>
{
    public T save(T object);
    ...
}

Интерфейс TaskServiceBeanLocal:

@Local
public interface TaskServiceBeanLocal extends ObjectRepository<Task>
{
}

Задача EJB:

@Stateless
@LocalBinding(jndiBinding = TaskServiceBean.LOOKUP_STRING)
@SecurityDomain(value = Security.DOMAIN)
@DeclareRoles({ Roles.ADMIN, Roles.CLERK, Roles.READ_ONLY })

//By default, allow no one access, we'll enable access at the method level
@RolesAllowed({})
public class TaskServiceBean implements TaskServiceBeanLocal
{
    public static final String LOOKUP_STRING = "TaskServiceBean/local";

    @RolesAllowed({ Roles.ADMIN, Roles.CLERK })
    @TransactionAttribute(TransactionAttributeType.REQUIRED)
    @Override
    public Task save(Task task)
    {
        ...
    }
}

Аркиллиан не смог получить доступ к методу TaskServiceBean.save() с ошибкой, как в вопросе:

TRACE [org.jboss.security.authorization.modules.ejb.EJBPolicyModuleDelegate] Exception:Insufficient method permissions, principal=myuser, ejbName=SecureServiceBean, method=save, interface=Local, requiredRoles=Roles(), principalRoles=Roles(Admin,)

Из журнала TRACE, требуемый Roles() пуст по неизвестной причине. Я тестировал, применяя другой метод для TaskServiceBeanLocal и TaskServiceBean с тем же разрешением:

@Local
public interface TaskServiceBeanLocal extends ObjectRepository<Task>
{
    public void test();
}

//and implement the test() method, having the same permission as the save() method.
public class TaskServiceBean implements TaskServiceBeanLocal
{
    @RolesAllowed({ Roles.ADMIN, Roles.CLERK })
    @TransactionAttribute(TransactionAttributeType.REQUIRED)
    @Override
    public Task save(Task task)
    {
        ...
    }

    @RolesAllowed({ Roles.ADMIN, Roles.CLERK })
    @TransactionAttribute(TransactionAttributeType.REQUIRED)
    @Override
    public void test()
    {
        System.out.println("hello");
    }
}

К моему удивлению, тестирование метода test() было успешным. Поэтому я затем переопределяю метод save() в интерфейсе:

@Local
public interface TaskServiceBeanLocal extends ObjectRepository<Task>
{
    public Task save(Task object);
    public void test();
}

Теперь тестирование метода save() прошло успешно. В заявлении журнала TRACE я вижу, что мои обязательные поля полностью заполнены сигнатурой метода.

13:44:35,399 TRACE [org.jboss.security.authorization.modules.ejb.EJBPolicyModuleDelegate] method=public au.com.infomedix.harvey.humantask.domain.Task au.com.infomedix.harvey.ejb.TaskServiceBean.save(au.com.infomedix.harvey.humantask.domain.Task), interface=Local, requiredRoles=Roles(Clerk,Admin,)

Я предполагаю, что Аркиллиан не вводил информацию о безопасности для подписи общего метода, но, честно говоря, я не совсем понимаю это.

Во всяком случае, повторное объявление метода в интерфейсе устраняет проблему. Теперь Аркильян может получить доступ к моему защищенному EJB. Спасибо всем за ценные материалы.

- Linh

Ответ 2

В JBoss система безопасности не включена на EJB3 beans, если вы не установили значение <security-domain> в jboss.xml. Вот напоминание для JBoss7, и это также актуально для JBoss 6.1.

Альтернативный вариант заключается в использовании проприетарной аннотации @org.jboss.ejb3.annotation.SecurityDomain с правильным значением домена на вашем EJB3 beans.

Согласно этой теме форума, при развертывании EJB в WAR файле требуется дескриптор развертывания WEB-INF/jboss-ejb3.xml, и вот пример для него

<?xml version="1.0"?>  
<jboss:ejb-jar
  xmlns:jboss="http://www.jboss.com/xml/ns/javaee"
  xmlns="http://java.sun.com/xml/ns/javaee"
  xmlns:s="urn:security"
  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
  xsi:schemaLocation="http://www.jboss.com/xml/ns/javaee http://www.jboss.org/j2ee/schema/jboss-ejb3-2_0.xsd http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/ejb-jar_3_1.xsd"
  version="3.1"
  impl-version="2.0">
  <assembly-descriptor>
    <s:security>
      <ejb-name>*</ejb-name>
      <s:security-domain>yourSecurityDomain</s:security-domain>
    </s:security>
  </assembly-descriptor>
</jboss:ejb-jar>