我们希望使用 api 密钥来保护我们的 rest api。以下是要求:
在 JAX-RS 应用程序中是否有一些标准方法可以做到这一点? (我们正在使用 Resteasy。)
我已阅读有关过滤器、拦截器和基本身份验证的所有内容,但我不清楚什么是最好的方法。
在该应用程序的早期版本中,我们有一个自己动手的解决方案,其中公共服务在公共端口上运行,而私有服务在私有端口上运行。有一个自定义 api 键查找将 User 对象作为变量设置到其余服务对象中。
我不知道如何使用标准的 JAX-RS 来做这些事情。
【问题讨论】:
标签: java web-services security rest jax-rs
这种身份验证可以通过ContainerRequestFilter 来实现,拦截对您的资源方法的请求。
过滤器将用于从请求中提取 API 密钥并对其进行验证。如果 API 密钥无效,请求将被拒绝。否则,请求将继续到资源方法。
看看下面的代码。 ContainerRequestContext API 可用于从 HTTP 请求中提取信息:
@Provider
@Priority(Priorities.AUTHENTICATION)
public class AuthenticationFilter implements ContainerRequestFilter {
@Override
public void filter(ContainerRequestContext requestContext) throws IOException {
// Extract and validate the API key from the request
String apiKey = requestContext.getHeaderString("API-Key");
...
}
}
还可以查看this answer 我不久前写的关于在 JAX-RS 中使用令牌进行身份验证的文章。在那里,您会找到许多有助于解决您在问题中描述的情况的详细信息。
在身份验证过程中,您必须能够识别执行请求的用户。要将此信息传播到您的资源类/方法,您可以:
SecurityContext 并将其注入到您的资源类/方法中。Event 和生产者方法创建一个对象,该对象包含可以注入到资源类/方法中的用户标识符。有关这些方法的更多详细信息,请参阅我上面提到的answer。
默认情况下,过滤器是全局的(这意味着它们会针对您应用程序的所有资源方法执行)。要将过滤器绑定到资源方法或类的子集,您可以使用name binding annotations。
【讨论】:
X-。只需使用API-Key。
ContainerRequestContext API 从 HTTP 请求中提取标头的示例。实际上,应该完全避免使用自定义标题。最好的方法是使用标准的Authorization 标头。不幸的是,我不太了解 OP 要求,但我认为 API 密钥是在自定义标头中发送的。
没有给出详细的答案,只是一个建议。检查 CustomInvokers 并注册服务的调用者。验证 api-key 并在它无效时抛出错误。如果有错误,那么您的客户端会收到错误。不会调用服务代码。
具体的安全框架请查看netflix zuul。
【讨论】: