泽西,雄猫和安全注释

Question

泽西,雄猫和安全注释

jr.*_*jr. 10 tomcat annotations jersey

我需要在Tomcat 6.0.24容器中保护一个简单的Jersey RESTful API.我想使用该tomcat-users.xml文件保持基本身份验证的身份验证以定义用户和角色(这是暂时的,就像我说它很小).

现在,授权我希望能够使用JSR 250注解像@RolesAllowed,@PermitAll,@DenyAll等等.

我不能为我的生活弄清楚如何把这一切都连在一起.

我真的不想去Spring Security路线,因为我现在需要一些非常简单的东西.

有人能指出我正确的方向吗？

Answer 1

erh*_*glu 1

您可以首先使用涵盖身份验证和权限管理的过滤器。通过实现 ResourceFilter 和 ContainerRequestFilter，您可以获取 httpRequest、会话，然后将您的应用程序/请求重定向到相关方法。

对于权限管理，您可以实现 SecurityContext 过滤器。您必须首先检查 isUserInRole 才能让请求进入方法内部。

以下是 SecurityContext 实现的示例：

 public class SecurityContextImpl implements SecurityContext {

    private final SessionUser user;

    public SecurityContextImpl(SessionUser user) {
        this.user = user;
    }

    public Principal getUserPrincipal() {
        return user;
    }

    public boolean isUserInRole(String role) {

        if(user == null) {
            throw new AuthenticationException();
        }
        if(ObjectUtil.isNull(user.getPrivileges())){
            throw new AuthenticationException();
        }
        if(!user.getPrivileges().contains(role)) {
            throw new InvalidAuthorizationHeaderException();
        }
        return user.getPrivileges().contains(role);
    }

    public boolean isSecure() {
        return false;
    }

    public String getAuthenticationScheme() {
        return SecurityContext.BASIC_AUTH;
    }
}

Run Code Online (Sandbox Code Playgroud)

这是基本的 SecurityContextFilter 实现：

    public class SecurityContextFilter implements ResourceFilter, ContainerRequestFilter {

    private static final Logger LOG = LoggerFactory.getLogger(SecurityContextFilter.class);

    protected static final String HEADER_AUTHORIZATION = "Authorization";

    protected static final String HEADER_DATE = "x-java-rest-date";

    protected static final String HEADER_NONCE = "nonce";


    private HttpServletRequest httpRequest;




    public SecurityContextFilter() {


    }


    public ContainerRequest filter(ContainerRequest request) {

        SessionUser sessionUser = (SessionUser) httpRequest
                .getSession()
                .getAttribute("sessionUser");

        request.setSecurityContext(new SecurityContextImpl(sessionUser));

        return request;
    }


    public ContainerRequestFilter getRequestFilter() {
        return this;
    }

    public ContainerResponseFilter getResponseFilter() {
        return null;
    }

    public HttpServletRequest getHttpRequest() {
        return httpRequest;
    }

    public void setHttpRequest(HttpServletRequest httpRequest) {
        this.httpRequest = httpRequest;
    }


}

Run Code Online (Sandbox Code Playgroud)

不要忘记将过滤器作为 init-param 放入 web.xml 中，

然后您可以使用角色权限身份验证逻辑处理请求。

归档时间：	15 年，8 月前
查看次数：	8580 次
最近记录：	6 年，9 月前