Skip to main content

[JIRA] Commented: (SERVLET_SPEC-62) Provide a getAllUserRoles method

  • From: "arjan tijms (JIRA)" <jira-no-reply@...>
  • To: issues@...
  • Subject: [JIRA] Commented: (SERVLET_SPEC-62) Provide a getAllUserRoles method
  • Date: Fri, 22 Feb 2013 22:43:53 +0000 (GMT+00:00)
  • Auto-submitted: auto-generated


    [ 
http://java.net/jira/browse/SERVLET_SPEC-62?page=com.atlassian.jira.plugin.system.issuetabpanels:comment-tabpanel&focusedCommentId=356878#action_356878
 ] 

arjan tijms commented on SERVLET_SPEC-62:
-----------------------------------------

{quote}I am not sure whether it is necessary to add those API in Servlet as 
we already have a mechanism to do that in JACC.{quote}

I indeed mentioned JACC as a potential way, but it's not exactly trivial. See 
this post (it's one of the few sources on this topic): 
https://blogs.oracle.com/monzillo/entry/using_jacc_to_determine_a and an ;
associated forum thread: 
http://glassfish.10926.n7.nabble.com/Fetch-all-roles-assigned-to-an-user-td30843.html

If you look at the code and some of the assumptions, then it can be seen that 
it's really not trivial. In practice I rarely see people using such code, and 
I'm not 100% convinced it really works everywhere.

Whether it should be in Servlet is perhaps another question. Maybe there 
should be an overarching modern and easy to use security system in Java EE so 
a similar method would not have to be duplicated for e.g. EJB. However, since 
such overarching security system is not there now and {{HttpServletRequest}} 
already has methods that come close, it seems like a natural addition.

> Provide a getAllUserRoles method
> --------------------------------
>
>                 Key: SERVLET_SPEC-62
>                 URL: http://java.net/jira/browse/SERVLET_SPEC-62
>             Project: servlet-spec
>          Issue Type: New Feature
>            Reporter: arjan tijms
>
> The Servlet API offers a method to retrieve the current user's principal 
> ({{HttpServletRequest#getUserPrincipal}}) and a method that can be used to 
> determine if the current user has a specific role 
> ({{HttpServletRequest#isUserInRole}}).
> There is however no corresponding method or way to retrieve a list with all 
> roles that the current user has in a portable way. There is potentially a 
> way to do this via JACC, but that's not exactly a straightforward way, plus 
> JACC is not universally available in Servlet containers. A use case for 
> this is e.g. displaying to the user a list of all roles he or she has, or 
> the ability to input such a list of roles into a custom authorization 
> system.
> I would be great if such a method could be added.

-- 
This message is automatically generated by JIRA.
-
If you think it was sent incorrectly contact one of the administrators: 
http://java.net/jira/secure/Administrators.jspa
-
For more information on JIRA, see: http://www.atlassian.com/software/jira

        


[JIRA] Created: (SERVLET_SPEC-62) Provide a getAllUserRoles method

arjan tijms (JIRA) 02/20/2013

[JIRA] Commented: (SERVLET_SPEC-62) Provide a getAllUserRoles method

Shing Wai Chan (JIRA) 02/22/2013

[JIRA] Commented: (SERVLET_SPEC-62) Provide a getAllUserRoles method

arjan tijms (JIRA) 02/22/2013
 
 
Close
loading
Please Confirm
Close