【问题标题】:Jersey, Tomcat and Security AnnotationsJersey、Tomcat 和安全注释
【发布时间】:2010-02-18 18:56:37
【问题描述】:

我需要在 Tomcat 6.0.24 容器中保护一个简单的 Jersey RESTful API。我想使用tomcat-users.xml 文件来定义用户和角色(这是现在,就像我说的那样它很小),使用基本身份验证来保留身份验证。

现在,为了授权,我希望能够使用 JSR 250 注释,例如 @RolesAllowed@PermitAll@DenyAll 等。

我终其一生都无法弄清楚如何将这一切连接在一起。

我真的不想走 Spring Security 路线,因为我目前需要一些非常简单的东西。

有人能指出正确的方向吗?

【问题讨论】:

  • 既然您用springspring-security 标记了这个问题,但您却说您不想使用它,那么您真的在使用spring 吗?如果没有,就别管它们了。

标签: tomcat annotations jersey


【解决方案1】:

您可以先使用包含身份验证和权限管理的过滤器。 通过实现 ResourceFilter 和 ContainerRequestFilter,您可以获取 httpRequest,会话然后将您的应用程序/请求重定向到相关方法。

对于权限管理,您可以实现 SecurityContext 过滤器。您必须首先检查 isUserInRole 才能让请求进入方法。

这是 SecurityContext 实现的示例:

 public class SecurityContextImpl implements SecurityContext {

    private final SessionUser user;

    public SecurityContextImpl(SessionUser user) {
        this.user = user;
    }

    public Principal getUserPrincipal() {
        return user;
    }

    public boolean isUserInRole(String role) {

        if(user == null) {
            throw new AuthenticationException();
        }
        if(ObjectUtil.isNull(user.getPrivileges())){
            throw new AuthenticationException();
        }
        if(!user.getPrivileges().contains(role)) {
            throw new InvalidAuthorizationHeaderException();
        }
        return user.getPrivileges().contains(role);
    }

    public boolean isSecure() {
        return false;
    }

    public String getAuthenticationScheme() {
        return SecurityContext.BASIC_AUTH;
    }
}

这是基本的 SecurityContextFilter 实现:

    public class SecurityContextFilter implements ResourceFilter, ContainerRequestFilter {

    private static final Logger LOG = LoggerFactory.getLogger(SecurityContextFilter.class);

    protected static final String HEADER_AUTHORIZATION = "Authorization";

    protected static final String HEADER_DATE = "x-java-rest-date";

    protected static final String HEADER_NONCE = "nonce";


    private HttpServletRequest httpRequest;




    public SecurityContextFilter() {


    }


    public ContainerRequest filter(ContainerRequest request) {

        SessionUser sessionUser = (SessionUser) httpRequest
                .getSession()
                .getAttribute("sessionUser");

        request.setSecurityContext(new SecurityContextImpl(sessionUser));

        return request;
    }


    public ContainerRequestFilter getRequestFilter() {
        return this;
    }

    public ContainerResponseFilter getResponseFilter() {
        return null;
    }

    public HttpServletRequest getHttpRequest() {
        return httpRequest;
    }

    public void setHttpRequest(HttpServletRequest httpRequest) {
        this.httpRequest = httpRequest;
    }


}

不要忘记将您的过滤器作为 init-param 放在 web.xml 中,

然后您可以使用您的角色-特权-身份验证逻辑来​​处理请求。

【讨论】:

    猜你喜欢
    • 2013-03-23
    • 1970-01-01
    • 1970-01-01
    • 2018-10-13
    • 2014-12-01
    • 2012-02-02
    • 2011-07-10
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多