# Login into Web Application



## Generic1 (25. Okt 2010)

Hallo,

ich hätte generelle eine Frage, wie man ein login bei einer Web- Applikation machen.
Ich habe meine Applikation unter Verwendung von Spring (und auch Spring MVC) aufgebaut, d.h. ich hab so 20 JSP (ja die alten JSPs -Y ich habs aber so gemacht, dass ich die View jederzeit ändern kann)
Jetzt möchte ich, dass die Home- Seite jeder ansehen kann aber ich möchte auch einen geschützten Bereich haben, den nur registrierte User sehen können.

wie ist da die richtige Vorgehensweise. Speichert man die registrierten Nutzer in der Datenbank ab und bei jedem Klick sieht man dann in der DB nach, ob es erlaubt ist, dass dieser User die Seite ansehen darf oder wie kann man das Professionell machen.
Vielen Dank,
lg


----------



## Niki (25. Okt 2010)

Spring hat eine eigene security-Lösung. Ich hab damit jedoch noch keine Erfahrung. Alternativ dazu kannst du JAAS verwenden. Das wäre dann im Grunde reine Konfiguration. Du musst nicht händisch nachschauen ob der User eine Seite betreten darf oder nicht.


----------



## Generic1 (25. Okt 2010)

D.h. also ich kann deklarativ in einer XML- Datei angeben, welcher user welche Seite ansehen darf?
Dann müsste ich ja auch einen Datenbank- Zugriff in dieser XML- Datei konfigurieren, oder?


----------



## ARadauer (25. Okt 2010)

> Dann müsste ich ja auch einen Datenbank- Zugriff in dieser XML- Datei konfigurieren, oder?


mhn... datebank zugriff auf xml datein konfigurieren... mhn nein... 
spring security bietet dir verschiedene möglichkeiten... xml Konfig, Datanbank, Programm Code, komplet eigenen Lösungen... usw... aber ich muss sagen, das Spring security meiner meinung nach nix für anfänger ist...


Einfacher... user loggt sich ein. User Objekt in der Session speichern.
User kommt auf Seite -> ist User Objekt mit eventuellen Rechten vorhanden ok, wenn  nicht zurück auf login seite schmeißen ... so ungefähr....


----------



## Generic1 (27. Okt 2010)

Vielen Dank mal für die Antworten, ich hab mir jetzt Spring Security angesehen und das scheint mir das Vernünftigste zu sein, vor allem bin ich da maximal flexibel so wie es aussieht,
Was ich noch nicht versteh ist, ich hab mir jetzt Spring Security 2.0.5 heruntergeladen, da ich noch mit Spring 2.5 arbeite und da sind verschiedeneste JARs drinnen: 


```
acl
cas
core
ntlm
openid
protlet
sampels
taglibs
```


"core" werde ich wahrscheinlich brauchen um überhaupt mit Spring Security was zu machen, samples sind mir auch klar, alles andere ist mir dann aber nicht mehr so klar.
ACL kenn ich von den Routern aber was mache ich da bei SS mit denen, vielleicht hat jemand eine kurze erklärung für die verschiedenen JARs, ich möchte nämlich momentan nur eine Grundfunktionalität haben (also nur einloggen mit dem AuthenticationManager), da werd ich wahrscheinlich nicht alle JARs brauchen.
Vielen Dank!!
lg


----------



## homer65 (27. Okt 2010)

ARadauer hat gesagt.:


> Einfacher... user loggt sich ein. User Objekt in der Session speichern.
> User kommt auf Seite -> ist User Objekt mit eventuellen Rechten vorhanden ok, wenn  nicht zurück auf login seite schmeißen ... so ungefähr....



Genau so. Das ist eine einfach zu realisierende Lösung.


----------



## ARadauer (27. Okt 2010)

> vielleicht hat jemand eine kurze erklärung für die verschiedenen JARs, ich möchte





> aber ich muss sagen, das Spring security meiner meinung nach nix für anfänger ist...


;-) finds aber gut, dass dus versuchst. Ganz wichtig wenn man mit Spring Security arbeitet ist die Doku. Das ist das um und auf, da würde ich mich mal einlesen´:
1.Introduction


----------



## Generic1 (27. Okt 2010)

Hab zwar "Spring in Action 2.5" gelesen aber die Doku ist wahrscheinlich der bessere/umfassendere Weg um sich bzgl. Implemetierung zu informieren.



homer65 hat gesagt.:


> Genau so. Das ist eine einfach zu realisierende Lösung.



Ich möchte eine Möglichkeit haben, die Security in meiner Web Applikation auszubauen und da glaub ich, ist Spring Security genau das Richtige (z.B.: SSO)
lg


----------



## Deadalus (27. Okt 2010)

Ich möchte euch eine Alternative zu Spring Security vorschlagen. 

Apache Shiro. Kann alles was Spring Security auch kann und mehr. Außerdem ist es kinderleicht zu verstehen. Auch für Leute die das starre konzept von JAAS verrückt macht sollten sich das anschauen.

Apache Shiro - Java Security Framework


----------



## ARadauer (27. Okt 2010)

klingt interessant... sicher einen Blick wert


----------

