Hallo,
ist es in einer Webanwendung möglich einen Benutzer mehrmals zu Authentifizieren?
Sprich der Benutzer meldet sich als User an wechselt in den Admin Bereich und wird dort wieder aufgefordert sich anzumelden.
Werden dann einem Subject mehrere Principals zugeordnet?

Momentaner Zustand in meiner Anwendung ist:
Ich verwende ein vorhandenes LoginModul welches ich nicht selbst implementiert habe.
JBOSS Server

Also das Login funktioniert nur wenn ich in einen Bereich wechsle in dem Ich keine Berechtigung habe dann wird sofort der HTTPError 403 geworfen, ist das richtig oder müsste an dieser Stelle wieder die LoginForm erscheinen um weitere Berechtigungen zu erhalten?

Gruß

Hallo,

Zitat von jpatwork

Hallo,
ist es in einer Webanwendung möglich einen Benutzer mehrmals zu Authentifizieren?
Sprich der Benutzer meldet sich als User an wechselt in den Admin Bereich und wird dort wieder aufgefordert sich anzumelden.

Standardmäßig nur wenn du vor dem wechseln in den Adminbereich die Session Serverseitig invalidierst. Damit meldest du ihn quasi ab. Natürlich kannst du dir noch was eigenes schreiben...

Zitat von jpatwork

Werden dann einem Subject mehrere Principals zugeordnet?

Bei JAAS? Imho nein, da ist dem Subject immer ein Nutzerprincipal zugeordnet. Du könntest natürlich dafür sorgen, dass er die entsprechenden Rollen für den Adminbereich erst nach deiner (selbstgeschriebenen) zweiten Authentifizierung bekommt.

Ganz allgemein finde ich persönlich die Idee mit der doppelten Anmeldung strange - entweder der Benutzer hat die Rechte (dann kann er sie auch zu Beginn bekommen) oder er hat sie nicht. In Zeiten wo alle Welt nach Single-Sign-On brüllt, braucht man es dem "armen" Benutzer ja nicht noch schwerer machen als notwendig

THMD