那些遇到过的问题

使用RolesAllowedDynamicFeature和Jersey进行授权

dea*_*mon 7 java authentication authorization jax-rs jersey

我正在尝试使用JAX-RS过滤器对用户进行身份验证.这是我正在设置新SecurityContext的过滤器:

@Provider
public class AuthenticationFilter implements ContainerRequestFilter {

  @Override
  public void filter(final ContainerRequestContext requestContext) throws IOException {

    requestContext.setSecurityContext(new SecurityContext() {
      @Override
      public Principal getUserPrincipal() {
        return new Principal() {
          @Override
          public String getName() {
            return "Joe";
          }
        };
      }

      @Override
      public boolean isUserInRole(String string) {
        return false;
      }

      @Override
      public boolean isSecure() {
        return requestContext.getSecurityContext().isSecure();
      }

      @Override
      public String getAuthenticationScheme() {
        return requestContext.getSecurityContext().getAuthenticationScheme();
      }
    });

    if (!isAuthenticated(requestContext)) {
      requestContext.abortWith(
              Response.status(Status.UNAUTHORIZED)
              .header(HttpHeaders.WWW_AUTHENTICATE, "Basic realm=\"Example\"")
              .entity("Login required.").build());
    }
  }

  private boolean isAuthenticated(final ContainerRequestContext requestContext) {
    return requestContext.getHeaderString("authorization") != null; // simplified
  }
}
Run Code Online (Sandbox Code Playgroud)

资源方法如下所示:

  @GET
  // @RolesAllowed("user")
  public Viewable get(@Context SecurityContext context) {
    System.out.println(context.getUserPrincipal().getName());
    System.out.println(context.isUserInRole("user"));
    return new Viewable("index");
  }
Run Code Online (Sandbox Code Playgroud)

RolesAllowedDynamicFeature的注册方式如下: 

.register(RolesAllowedDynamicFeature.class)
Run Code Online (Sandbox Code Playgroud)

我可以在控制台上看到预期的输出.但如果我取消注释@RolesAllowed("user"),我会收到一个Forbidden错误isUserInRole,我的SecurityContext 的方法永远不会被调用.遵循API文档 RolesAllowedDynamicFeature应该调用此方法.

我如何使用RolesAllowedDynamicFeature?

jos*_*son 15

您需要为身份验证过滤器定义优先级,否则将RolesAllowedRequestFilter在您的身份验证过滤器RolesAllowedDynamicFeature之前执行AuthenticationFilter.如果您查看源代码,则RolesAllowedRequestFilter具有注释@Priority(Priorities.AUTHORIZATION),因此如果您分配@Priority(Priorities.AUTHENTICATION)给您的身份验证过滤器,它将在之前执行RolesAllowedRequestFilter.像这样:

@Provider
@Priority(Priorities.AUTHENTICATION)
public class AuthenticationFilter implements ContainerRequestFilter {
Run Code Online (Sandbox Code Playgroud)

您可能还需要实际注册AuthenticationFilter使用register(AuthenticationFilter.class),具体取决于您的服务器是否扫描注释.

kfi*_*fis 1

我想这是因为

 @Override
  public boolean isUserInRole(String string) {
    return false;
  }
Run Code Online (Sandbox Code Playgroud)

其中指出,用户没有所需的角色 @RolesAllowed("user") 甚至无法进入带注释的方法的执行。

您应该实现一个更复杂的 isUserInRole 方法来检查用户是否具有特定角色:)

问候

归档时间:

查看次数:

9576 次

最近记录:

12 年,2 月 前
相关归档
什么时候在Java中调用finalize()方法? 320
如何在Java中显示带有2个小数位的浮点数据的输出? 167
什么是maven的"pom"包装? 164
如何比较java中的两个字符串并按字母顺序定义哪个字符串小于另一个字符串? 64
Java Messaging:ActiveMQ,Mule,ServiceMix和Camel之间的区别 53
为什么Duration类没有'toSeconds()'方法? 47
第三方 API 访问的 OAuth 流程 10
如何为IIS7中的特定IP子网启用匿名身份验证,同时为每个其他IP子网维护基本身份验证? 5
如何在VS项目中使用ntlm进行浏览器同步 3
在 D3 v5 中使用 Authorization 标头获取 JSON 数据 3
难疑归档
正则表达式匹配不包含单词的行? 4121
你如何获得JavaScript的时间戳? 3844
夏令时和时区最佳实践 2021
在SQL表中查找重复值 1789
在Vim中复制整行 1555
var关键字的目的是什么?我何时应该使用它(或省略它)? 1508
在YAML中,如何在多行中断字符串? 1388
MVC和MVVM有什么区别? 1275
在React JSX中循环 1131
如何在PHP中获取客户端IP地址 1123