Home > Desarrollo > Desarrollar nuestro propio LoginModule (Realm implementation) para Tomcat
  1. Enkido
    07/10/2013 at 17:11

    Es posible crear un Realm que conecte a la base pero que no busque los roles en el web.xml? O sea, que un usuario entre a un recurso protegido sin problemas, pero el rol que puede acceder a ese recurso no se encuentre en el web.xml. O mejor aun, es posible hacer un mantenedor de roles en la aplicacion?

  2. 07/10/2013 at 17:26

    Es posible definir como rol permitido cualquiera (ver * y ** en la doc de referencia en la versión correspondiente de Tomcat) una vez el usuario esté autenticado. Si quieres gestionar los roles a tu manera, supongo que no sería demasiado complicado usando un filtro o aspectos.

    Gracias por tu comentario.

    Saludos

  3. Enkido
    07/10/2013 at 19:58

    Ok, gracias por la respuesta, intentare creando un rol para todas las paginas y el acceso lo dará un filtro, saludos.

  4. Sergio Alfonso Uribe Arias
    04/21/2016 at 19:19

    Hola.
    Antes que nada me parece muy buena la explicación con respecto al manejo del número de intentos, pero tengo dos preguntas (no tengo mucha experiencia en jaas):
    1) Cuando creas la tabla FailedLogins, pusiste el campo “buyer” ¿no deberá ser “user”?
    2) Una vez que se han alcanzado el número máximo de intentos, ¿cómo le informas al usuario que ha alcanzo el número máximo de intentos permitidos y que debe esperar 24 horas para volver a intentarlo? porque entiendo que cuando existe un error en la autenticación, el control va ir a login_error.jsp, pero aquí en esta JSP quizás sólo se pone una leyenda como “Nombre de usuario y / o contraseña inválida”… ¿Cómo va a saber el usuario que ha alcanzado el número máximo de intentos y que debe esperar 24 horas para volver a intentarlo?
    Muchas Gracias de antemano.
    Sakudos y quedo de verdad muy al pendiente de tu respuesta.

    • 04/23/2016 at 18:55

      Hola Sergio, gracias por leernos. En cuanto a 1), la app era para ecommerce, de ahí el nombre del campo. En cuanto al código, se accede por índice. En cuanto a 2), en el caso de que el usuario no haya conseguido autenticarse, es normal que, por razones de seguridad, no se proporcione ninguna información adicional.

      • Sergio Alfonso Uribe Arias
        04/25/2016 at 14:24

        Hola.
        De acuerdo. Muchísimas gracias por tus comentarios.
        ¡Saludos!

  1. No trackbacks yet.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: