那些遇到过的问题

使用RolesAllowedDynamicFeature和Jersey进行授权

dea*_*mon 7 java authentication authorization jax-rs jersey

我正在尝试使用JAX-RS过滤器对用户进行身份验证.这是我正在设置新SecurityContext的过滤器:

@Provider
public class AuthenticationFilter implements ContainerRequestFilter {

  @Override
  public void filter(final ContainerRequestContext requestContext) throws IOException {

    requestContext.setSecurityContext(new SecurityContext() {
      @Override
      public Principal getUserPrincipal() {
        return new Principal() {
          @Override
          public String getName() {
            return "Joe";
          }
        };
      }

      @Override
      public boolean isUserInRole(String string) {
        return false;
      }

      @Override
      public boolean isSecure() {
        return requestContext.getSecurityContext().isSecure();
      }

      @Override
      public String getAuthenticationScheme() {
        return requestContext.getSecurityContext().getAuthenticationScheme();
      }
    });

    if (!isAuthenticated(requestContext)) {
      requestContext.abortWith(
              Response.status(Status.UNAUTHORIZED)
              .header(HttpHeaders.WWW_AUTHENTICATE, "Basic realm=\"Example\"")
              .entity("Login required.").build());
    }
  }

  private boolean isAuthenticated(final ContainerRequestContext requestContext) {
    return requestContext.getHeaderString("authorization") != null; // simplified
  }
}
Run Code Online (Sandbox Code Playgroud)

资源方法如下所示:

  @GET
  // @RolesAllowed("user")
  public Viewable get(@Context SecurityContext context) {
    System.out.println(context.getUserPrincipal().getName());
    System.out.println(context.isUserInRole("user"));
    return new Viewable("index");
  }
Run Code Online (Sandbox Code Playgroud)

RolesAllowedDynamicFeature的注册方式如下: 

.register(RolesAllowedDynamicFeature.class)
Run Code Online (Sandbox Code Playgroud)

我可以在控制台上看到预期的输出.但如果我取消注释@RolesAllowed("user"),我会收到一个Forbidden错误isUserInRole,我的SecurityContext 的方法永远不会被调用.遵循API文档 RolesAllowedDynamicFeature应该调用此方法.

我如何使用RolesAllowedDynamicFeature?

jos*_*son 15

您需要为身份验证过滤器定义优先级,否则将RolesAllowedRequestFilter在您的身份验证过滤器RolesAllowedDynamicFeature之前执行AuthenticationFilter.如果您查看源代码,则RolesAllowedRequestFilter具有注释@Priority(Priorities.AUTHORIZATION),因此如果您分配@Priority(Priorities.AUTHENTICATION)给您的身份验证过滤器,它将在之前执行RolesAllowedRequestFilter.像这样:

@Provider
@Priority(Priorities.AUTHENTICATION)
public class AuthenticationFilter implements ContainerRequestFilter {
Run Code Online (Sandbox Code Playgroud)

您可能还需要实际注册AuthenticationFilter使用register(AuthenticationFilter.class),具体取决于您的服务器是否扫描注释.

kfi*_*fis 1

我想这是因为

 @Override
  public boolean isUserInRole(String string) {
    return false;
  }
Run Code Online (Sandbox Code Playgroud)

其中指出,用户没有所需的角色 @RolesAllowed("user") 甚至无法进入带注释的方法的执行。

您应该实现一个更复杂的 isUserInRole 方法来检查用户是否具有特定角色:)

问候

归档时间:

查看次数:

9576 次

最近记录:

12 年,7 月 前
相关归档
将Java Stream过滤为1并且只有1个元素 202
如何在JSF表达式语言中获得列表的长度? 116
Java 11包javax.xml.bind不存在 99
WELD-000072声明钝化范围的管理bean必须具有钝化功能 77
为什么我们需要Java中的接口? 55
'dependencies.dependency.version'缺少错误,但版本在父级中管理 54
Request.GetOwinContext在单元测试中返回null - 如何在单元测试中测试OWIN身份验证? 19
如何在成为旧版ASP.NET MVC应用程序的一部分时对Web API 2中的用户进行身份验证? 6
WCF自定义Http代理身份验证 5
Django的Python Social Auth引发Authforbidden异常 5
难疑归档
如何检查字符串是否包含JavaScript中的子字符串? 7430
如何丢弃Git中的未分级更改? 4562
不区分大小写'包含(字符串)' 2785
Flash CS4拒绝放手 2735
如何检测元素外部的单击? 2367
设置JavaScript函数的默认参数值 2277
如何从Bash脚本检查程序是否存在? 2032
我如何递归grep? 1619
命令折叠代码的所有部分? 1576
检查Ruby中的数组中是否存在值 1258