<div dir="ltr">Hi,<div><br></div><div>I just tested WildFly 10.0.0 rc3 and the revert seems to have gone well, since the behaviour is back to that of WildFly 9.</div><div><br></div><div>Meaning, most tests from the EE 7 samples now pass again, but calling of secureResponse (which 5298 was supposed to fix I think) now fails again:</div><div><br></div><div>testBasicSAMMethodsCalled(org.javaee7.jaspic.lifecycle.AuthModuleMethodInvocationTest): SAM method secureResponse not called, but should have been.<br></div><div><br></div><div><br></div><div>The JSF includes still fail too, but those were failing in WildFly 9 as well:</div><div><br></div><div><div>testJSFwithCDIIncludeViaPublicResource(org.javaee7.jaspictest.dispatching.JSFCDIIncludeTest): Response did not contain output from JSF view that SAM included.</div><div><br></div><div>testJSFIncludeViaPublicResource(org.javaee7.jaspictest.dispatching.JSFIncludeTest): Response did not contain output from JSF view that SAM included.</div></div><div><br></div><div>Kind regards,</div><div>Arjan Tijms</div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Oct 13, 2015 at 1:16 PM, arjan tijms <span dir="ltr">&lt;<a href="mailto:arjan.tijms@gmail.com" target="_blank">arjan.tijms@gmail.com</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi,<br>
<br>
Sorry to ask again, but any news on this topic yet?<br>
<br>
If there&#39;s anything I can do to help just let me know.<br>
<br>
Kind regards,<br>
Arjan Tijms<br>
<div class="HOEnZb"><div class="h5"><br>
<br>
<br>
<br>
<br>
<br>
On Mon, Oct 5, 2015 at 3:46 PM, arjan tijms &lt;<a href="mailto:arjan.tijms@gmail.com">arjan.tijms@gmail.com</a>&gt; wrote:<br>
&gt; Hi,<br>
&gt;<br>
&gt; Just wondering, any updates here? Did you tried to run the JASPIC<br>
&gt; tests against the latest nightly?<br>
&gt;<br>
&gt; Kind regards,<br>
&gt; Arjan Tijms<br>
&gt;<br>
&gt; On Mon, Sep 28, 2015 at 4:58 PM, arjan tijms &lt;<a href="mailto:arjan.tijms@gmail.com">arjan.tijms@gmail.com</a>&gt; wrote:<br>
&gt;&gt; Hi,<br>
&gt;&gt;<br>
&gt;&gt; On Mon, Sep 28, 2015 at 7:49 AM, Stuart Douglas<br>
&gt;&gt; &lt;<a href="mailto:stuart.w.douglas@gmail.com">stuart.w.douglas@gmail.com</a>&gt; wrote:<br>
&gt;&gt;&gt; Can you verify that this PR: <a href="https://github.com/wildfly/wildfly/pull/8204" rel="noreferrer" target="_blank">https://github.com/wildfly/wildfly/pull/8204</a><br>
&gt;&gt;&gt; fixes your issues?<br>
&gt;&gt;<br>
&gt;&gt; I did a quick test run, but now really everything breaks.<br>
&gt;&gt;<br>
&gt;&gt; In UndertowDeploymentInfoService the following line occurs:<br>
&gt;&gt;<br>
&gt;&gt;  deploymentInfo.setJaspiAuthenticationMechanism(new<br>
&gt;&gt; JASPIAuthenticationMechanism(authMethod, securityDomain));<br>
&gt;&gt;<br>
&gt;&gt; But the constructor arguments are reversed.<br>
&gt;&gt;<br>
&gt;&gt; The arguments are defined as:<br>
&gt;&gt;<br>
&gt;&gt;  public JASPIAuthenticationMechanism(final String securityDomain,<br>
&gt;&gt; final String configuredAuthMethod) {<br>
&gt;&gt;<br>
&gt;&gt; When I reverse the arguments to their correct order, the same tests as<br>
&gt;&gt; before fail unfortunately.<br>
&gt;&gt;<br>
&gt;&gt; This individual case can be rather easily debugged manually by cloning<br>
&gt;&gt; the project using Eclipse/JBoss tools from<br>
&gt;&gt; <a href="https://github.com/javaee-samples/javaee7-samples" rel="noreferrer" target="_blank">https://github.com/javaee-samples/javaee7-samples</a> Then importing just<br>
&gt;&gt; the jaspic and test-utils directories as Maven projects, and then<br>
&gt;&gt; deploying &quot;jaspic-basic-authentication&quot; using Add and Remove on the<br>
&gt;&gt; server.<br>
&gt;&gt;<br>
&gt;&gt; If you then request:<br>
&gt;&gt;<br>
&gt;&gt; <a href="http://localhost:8080/jaspic-basic-authentication/public/servlet?doLogin" rel="noreferrer" target="_blank">http://localhost:8080/jaspic-basic-authentication/public/servlet?doLogin</a><br>
&gt;&gt;<br>
&gt;&gt; You should see the same output as:<br>
&gt;&gt;<br>
&gt;&gt; <a href="http://localhost:8080/jaspic-basic-authentication/protected/servlet?doLogin" rel="noreferrer" target="_blank">http://localhost:8080/jaspic-basic-authentication/protected/servlet?doLogin</a><br>
&gt;&gt;<br>
&gt;&gt; Hope this helps<br>
&gt;&gt;<br>
&gt;&gt; Kind regards,<br>
&gt;&gt; Arjan Tijms<br>
&gt;&gt;<br>
&gt;&gt;<br>
&gt;&gt;<br>
&gt;&gt;<br>
&gt;&gt;<br>
&gt;&gt;<br>
&gt;&gt;<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt; Basically it reverts the recent changes, and instead installs a handler<br>
&gt;&gt;&gt; after authenticate to handle requests that do not require authentication.<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt; Stuart<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt; On Mon, 28 Sep 2015 at 09:54 Jason T. Greene &lt;<a href="mailto:jason.greene@redhat.com">jason.greene@redhat.com</a>&gt;<br>
&gt;&gt;&gt; wrote:<br>
&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt; The MIT license also grants the ability to relicense.<br>
&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt; On Sep 27, 2015, at 6:50 PM, Stuart Douglas &lt;<a href="mailto:stuart.w.douglas@gmail.com">stuart.w.douglas@gmail.com</a>&gt;<br>
&gt;&gt;&gt;&gt; wrote:<br>
&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt; This was deliberately disabled to match the behavior of EAP6. It can be<br>
&gt;&gt;&gt;&gt; controlled by the proactive-authentication attribute on the servlet<br>
&gt;&gt;&gt;&gt; container. These JAPIC changes have been driven by this change, in order to<br>
&gt;&gt;&gt;&gt; get the TCK to pass without proactive auth. I will look into it today.<br>
&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt; If you can contribute your tests it would be greatly appreciated, we do<br>
&gt;&gt;&gt;&gt; not have much coverage (and apparently neither does the TCK, as it does not<br>
&gt;&gt;&gt;&gt; pick up these issues). As I understand it if you are the sole author you<br>
&gt;&gt;&gt;&gt; retain copyright and can re-license them under whatever license you like.<br>
&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt; Stuart<br>
&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt; On Sat, 26 Sep 2015 at 01:15 arjan tijms &lt;<a href="mailto:arjan.tijms@gmail.com">arjan.tijms@gmail.com</a>&gt; wrote:<br>
&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt; Hi,<br>
&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt; I discovered some more issues originating from 5298:<br>
&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt; pre-emptive authentication on a public page doesn&#39;t work anymore<br>
&gt;&gt;&gt;&gt;&gt; either. It still worked fine in WildFly 9.0.1.<br>
&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt; This can be easily seen when running the JASPIC tests from<br>
&gt;&gt;&gt;&gt;&gt; <a href="https://github.com/javaee-samples/javaee7-samples/tree/master/jaspic" rel="noreferrer" target="_blank">https://github.com/javaee-samples/javaee7-samples/tree/master/jaspic</a><br>
&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt; For the basic authentication tests, the following now fail:<br>
&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt; Failed tests:<br>
&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt; testPublicPageNotRememberLogin(org.javaee7.jaspic.basicauthentication.BasicAuthenticationPublicTest)<br>
&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt; testPublicPageLoggedin(org.javaee7.jaspic.basicauthentication.BasicAuthenticationPublicTest)<br>
&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt; These tests don&#39;t rely on request#authenticate, but depend on<br>
&gt;&gt;&gt;&gt;&gt; automatic calling of a SAM at the beginning of a request. After manual<br>
&gt;&gt;&gt;&gt;&gt; inspection it&#39;s clear that the SAM is called, but its outcome is not<br>
&gt;&gt;&gt;&gt;&gt; being applied.<br>
&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt; Kind regards,<br>
&gt;&gt;&gt;&gt;&gt; Arjan<br>
&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt; On Fri, Sep 25, 2015 at 3:18 PM, arjan tijms &lt;<a href="mailto:arjan.tijms@gmail.com">arjan.tijms@gmail.com</a>&gt;<br>
&gt;&gt;&gt;&gt;&gt; wrote:<br>
&gt;&gt;&gt;&gt;&gt; &gt; Hi,<br>
&gt;&gt;&gt;&gt;&gt; &gt;<br>
&gt;&gt;&gt;&gt;&gt; &gt; I checked again on the just released WildFly 10.0 CR2, but<br>
&gt;&gt;&gt;&gt;&gt; &gt; unfortunately the code is still severely broken now.<br>
&gt;&gt;&gt;&gt;&gt; &gt;<br>
&gt;&gt;&gt;&gt;&gt; &gt; There are two main issues, and they&#39;re both in this fragment in<br>
&gt;&gt;&gt;&gt;&gt; &gt; JASPIAuthenticationMechanism:<br>
&gt;&gt;&gt;&gt;&gt; &gt;<br>
&gt;&gt;&gt;&gt;&gt; &gt; if(isValid == null) {<br>
&gt;&gt;&gt;&gt;&gt; &gt;     isValid = createJASPIAuthenticationManager().isValid(messageInfo,<br>
&gt;&gt;&gt;&gt;&gt; &gt; new Subject(), JASPI_HTTP_SERVLET_LAYER,<br>
&gt;&gt;&gt;&gt;&gt; &gt; attachment.getApplicationIdentifier(), new JBossCallbackHandler());<br>
&gt;&gt;&gt;&gt;&gt; &gt; }<br>
&gt;&gt;&gt;&gt;&gt; &gt;<br>
&gt;&gt;&gt;&gt;&gt; &gt; The first problem is the &quot;isValid == null&quot; check. After the first call<br>
&gt;&gt;&gt;&gt;&gt; &gt; to request#authenticate in a given request this will always be<br>
&gt;&gt;&gt;&gt;&gt; &gt; non-null. The result is that a request for programmatic authentication<br>
&gt;&gt;&gt;&gt;&gt; &gt; will effectively be ignored the first time.<br>
&gt;&gt;&gt;&gt;&gt; &gt;<br>
&gt;&gt;&gt;&gt;&gt; &gt; The second problem is that this passes in the JBossCallbackHandler,<br>
&gt;&gt;&gt;&gt;&gt; &gt; but this doesn&#39;t know how to handle JASPIC callbacks and this will<br>
&gt;&gt;&gt;&gt;&gt; &gt; result in an exception like the following:<br>
&gt;&gt;&gt;&gt;&gt; &gt;<br>
&gt;&gt;&gt;&gt;&gt; &gt; javax.security.auth.callback.UnsupportedCallbackException: PBOX00014:<br>
&gt;&gt;&gt;&gt;&gt; &gt; org.jboss.security.auth.callback.JBossCallbackHandler does not handle<br>
&gt;&gt;&gt;&gt;&gt; &gt; a callback of type<br>
&gt;&gt;&gt;&gt;&gt; &gt; javax.security.auth.message.callback.CallerPrincipalCallback<br>
&gt;&gt;&gt;&gt;&gt; &gt;     at<br>
&gt;&gt;&gt;&gt;&gt; &gt; org.jboss.security.auth.callback.JBossCallbackHandler.handleCallBack(JBossCallbackHandler.java:138)<br>
&gt;&gt;&gt;&gt;&gt; &gt;     at<br>
&gt;&gt;&gt;&gt;&gt; &gt; org.jboss.security.auth.callback.JBossCallbackHandler.handle(JBossCallbackHandler.java:87)<br>
&gt;&gt;&gt;&gt;&gt; &gt;<br>
&gt;&gt;&gt;&gt;&gt; &gt; The code should pass in a JASPICallbackHandler here.<br>
&gt;&gt;&gt;&gt;&gt; &gt;<br>
&gt;&gt;&gt;&gt;&gt; &gt; Hope this can be fixed. Perhaps it&#39;s just a matter of removing the<br>
&gt;&gt;&gt;&gt;&gt; &gt; &quot;isValid == null&quot; check and passing in the right callback handler.<br>
&gt;&gt;&gt;&gt;&gt; &gt;<br>
&gt;&gt;&gt;&gt;&gt; &gt; Kind regards,<br>
&gt;&gt;&gt;&gt;&gt; &gt; Arjan Tijms<br>
&gt;&gt;&gt;&gt;&gt; &gt;<br>
&gt;&gt;&gt;&gt;&gt; &gt;<br>
&gt;&gt;&gt;&gt;&gt; &gt;<br>
&gt;&gt;&gt;&gt;&gt; &gt;<br>
&gt;&gt;&gt;&gt;&gt; &gt;<br>
&gt;&gt;&gt;&gt;&gt; &gt;<br>
&gt;&gt;&gt;&gt;&gt; &gt;<br>
&gt;&gt;&gt;&gt;&gt; &gt;<br>
&gt;&gt;&gt;&gt;&gt; &gt; On Wed, Sep 23, 2015 at 5:58 PM, arjan tijms &lt;<a href="mailto:arjan.tijms@gmail.com">arjan.tijms@gmail.com</a>&gt;<br>
&gt;&gt;&gt;&gt;&gt; &gt; wrote:<br>
&gt;&gt;&gt;&gt;&gt; &gt;&gt; p.s. if I just revert JASPIAuthenticationMechanism to the previous<br>
&gt;&gt;&gt;&gt;&gt; &gt;&gt; version, but leaving in the new JASPICInitialHandler, then everything<br>
&gt;&gt;&gt;&gt;&gt; &gt;&gt; seems to work again. This is a bit of hacky workaround perhaps, but in<br>
&gt;&gt;&gt;&gt;&gt; &gt;&gt; some quick testing it does do the trick.<br>
&gt;&gt;&gt;&gt;&gt; &gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt; &gt;&gt; On Wed, Sep 23, 2015 at 3:31 PM, arjan tijms &lt;<a href="mailto:arjan.tijms@gmail.com">arjan.tijms@gmail.com</a>&gt;<br>
&gt;&gt;&gt;&gt;&gt; &gt;&gt; wrote:<br>
&gt;&gt;&gt;&gt;&gt; &gt;&gt;&gt; Hi,<br>
&gt;&gt;&gt;&gt;&gt; &gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt; &gt;&gt;&gt; It looks like that after WFLY-5298 (this commit specifically<br>
&gt;&gt;&gt;&gt;&gt; &gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt; &gt;&gt;&gt; <a href="https://github.com/wildfly/wildfly/commit/121a305c59c3619bb747681c62d099dfddd82709#diff-540388fb45365d1d79353d8b4552bcf6" rel="noreferrer" target="_blank">https://github.com/wildfly/wildfly/commit/121a305c59c3619bb747681c62d099dfddd82709#diff-540388fb45365d1d79353d8b4552bcf6</a>)<br>
&gt;&gt;&gt;&gt;&gt; &gt;&gt;&gt; HttpServletRequest#authenticate does not longer do anything.<br>
&gt;&gt;&gt;&gt;&gt; &gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt; &gt;&gt;&gt; HttpServletRequest#authenticate calls though to<br>
&gt;&gt;&gt;&gt;&gt; &gt;&gt;&gt; JASPIAuthenticationMechanism#authenticate.<br>
&gt;&gt;&gt;&gt;&gt; &gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt; &gt;&gt;&gt; There it now obtains the attachment that was set by the new<br>
&gt;&gt;&gt;&gt;&gt; &gt;&gt;&gt; JASPICInitialHandler, which calls the SAM at the beginning of the<br>
&gt;&gt;&gt;&gt;&gt; &gt;&gt;&gt; request. And then uses the stored &quot;isValid&quot; outcome directly, without<br>
&gt;&gt;&gt;&gt;&gt; &gt;&gt;&gt; calling the SAM again.<br>
&gt;&gt;&gt;&gt;&gt; &gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt; &gt;&gt;&gt; See the code below:<br>
&gt;&gt;&gt;&gt;&gt; &gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt; &gt;&gt;&gt;   public AuthenticationMechanismOutcome authenticate(final<br>
&gt;&gt;&gt;&gt;&gt; &gt;&gt;&gt; HttpServerExchange exchange, final SecurityContext sc) {<br>
&gt;&gt;&gt;&gt;&gt; &gt;&gt;&gt;         JASPICAttachment attachment =<br>
&gt;&gt;&gt;&gt;&gt; &gt;&gt;&gt; exchange.getAttachment(JASPICAttachment.ATTACHMENT_KEY);<br>
&gt;&gt;&gt;&gt;&gt; &gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt; &gt;&gt;&gt;         AuthenticationMechanismOutcome outcome;<br>
&gt;&gt;&gt;&gt;&gt; &gt;&gt;&gt;         Account authenticatedAccount = null;<br>
&gt;&gt;&gt;&gt;&gt; &gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt; &gt;&gt;&gt;         boolean isValid = attachment.isValid();<br>
&gt;&gt;&gt;&gt;&gt; &gt;&gt;&gt;         final ServletRequestContext requestContext =<br>
&gt;&gt;&gt;&gt;&gt; &gt;&gt;&gt; attachment.getRequestContext();<br>
&gt;&gt;&gt;&gt;&gt; &gt;&gt;&gt;         final JASPIServerAuthenticationManager sam =<br>
&gt;&gt;&gt;&gt;&gt; &gt;&gt;&gt; attachment.getSam();<br>
&gt;&gt;&gt;&gt;&gt; &gt;&gt;&gt;         final JASPICallbackHandler cbh = attachment.getCbh();<br>
&gt;&gt;&gt;&gt;&gt; &gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt; &gt;&gt;&gt;         GenericMessageInfo messageInfo = attachment.getMessageInfo();<br>
&gt;&gt;&gt;&gt;&gt; &gt;&gt;&gt;         if (isValid) {<br>
&gt;&gt;&gt;&gt;&gt; &gt;&gt;&gt;             // The CBH filled in the JBOSS SecurityContext, we need<br>
&gt;&gt;&gt;&gt;&gt; &gt;&gt;&gt; to<br>
&gt;&gt;&gt;&gt;&gt; &gt;&gt;&gt; create an Undertow account based on that<br>
&gt;&gt;&gt;&gt;&gt; &gt;&gt;&gt;             org.jboss.security.SecurityContext jbossSct =<br>
&gt;&gt;&gt;&gt;&gt; &gt;&gt;&gt; SecurityActions.getSecurityContext();<br>
&gt;&gt;&gt;&gt;&gt; &gt;&gt;&gt;             authenticatedAccount =<br>
&gt;&gt;&gt;&gt;&gt; &gt;&gt;&gt; createAccount(attachment.getCachedAccount(), jbossSct);<br>
&gt;&gt;&gt;&gt;&gt; &gt;&gt;&gt;         }<br>
&gt;&gt;&gt;&gt;&gt; &gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt; &gt;&gt;&gt; This is not correct I think. The code should call the SAM once again<br>
&gt;&gt;&gt;&gt;&gt; &gt;&gt;&gt; and use the outcome from that call.<br>
&gt;&gt;&gt;&gt;&gt; &gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt; &gt;&gt;&gt; Am I missing something, or was the new call to the SAM simply<br>
&gt;&gt;&gt;&gt;&gt; &gt;&gt;&gt; forgotten at this point?<br>
&gt;&gt;&gt;&gt;&gt; &gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt; &gt;&gt;&gt; Kind regards,<br>
&gt;&gt;&gt;&gt;&gt; &gt;&gt;&gt; Arjan Tijms<br>
&gt;&gt;&gt;&gt;&gt; _______________________________________________<br>
&gt;&gt;&gt;&gt;&gt; wildfly-dev mailing list<br>
&gt;&gt;&gt;&gt;&gt; <a href="mailto:wildfly-dev@lists.jboss.org">wildfly-dev@lists.jboss.org</a><br>
&gt;&gt;&gt;&gt;&gt; <a href="https://lists.jboss.org/mailman/listinfo/wildfly-dev" rel="noreferrer" target="_blank">https://lists.jboss.org/mailman/listinfo/wildfly-dev</a><br>
&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt; _______________________________________________<br>
&gt;&gt;&gt;&gt; wildfly-dev mailing list<br>
&gt;&gt;&gt;&gt; <a href="mailto:wildfly-dev@lists.jboss.org">wildfly-dev@lists.jboss.org</a><br>
&gt;&gt;&gt;&gt; <a href="https://lists.jboss.org/mailman/listinfo/wildfly-dev" rel="noreferrer" target="_blank">https://lists.jboss.org/mailman/listinfo/wildfly-dev</a><br>
</div></div></blockquote></div><br></div>