【问题标题】:Resteasy Authorization design - check a user owns a resourceResteasy 授权设计 - 检查用户是否拥有资源
【发布时间】:2015-12-16 15:25:32
【问题描述】:

我有一个使用 Resteasy 并在 Wildfly 上运行的网络服务。

身份验证通过让用户在每个请求中传递一个授权标头来工作。理想情况下,我需要检查用户是否拥有他们尝试访问的资源,但我想知道最好或最简洁的方法是什么。

例如,用户拥有多个“礼物清单”。我有一个端点 www.example.com/api/giftlist/7 应该检索 ID 为 7 的礼物列表,但前提是授权标头来自该列表的所有者。在代码中,它看起来像这样:

 /**
 * Retrieve a list by it's ID and return in JSON format.
 * @param id the ID of the list to return
 * @return the list.
 */
@GET
@Path("/{id}")
@ApiOperation(value = "Get a gift list by ID.", response = GiftList.class)
@Produces(MediaType.APPLICATION_JSON)
public GiftList getGiftListById(@HeaderParam("Authorization") String authorization, @PathParam("id") Long id){
    User user = null;
    AccessToken token = dao.find(AccessToken.class, authorization);
    if(token !=null){
        user = token.getUser();
    }

    GiftList giftList = dao.find(GiftList.class, id);
    if(giftList == null){
        throw new WebApplicationException(Response.Status.NOT_FOUND);
    }

    if(!giftList.isOwnedBy(user)) {
        throw new WebApplicationException(Response.Status.FORBIDDEN);
    }

    return giftList;
}

请注意,几乎所有此方法都与识别用户是否存在以及他们是否拥有他们试图访问的资源有关。然后需要对 PUT、POST 和 DELETE 重复此逻辑,这一切都变得相当混乱。

我尝试使用拦截器,这样做可以检查用户的角色,但我无法访问他们尝试访问的资源的类型或 ID。请注意,GiftLists 不是此应用程序中的唯一资源。我正在寻找一种更简洁的方法来避免对大多数资源的每次操作都这样做。也许使用拦截器,但我不确定如何访问 @PathParam 值并获取正确的类型,然后从数据库中检索它并检查所有权。

这一定是一个常见问题,所以我确定有一些常用的约定或模式?我已经无休止地在谷歌上搜索了有关身份验证和使用拦截器的信息,但似乎没有一个能真正帮助解决这种“所有权”问题。

减少一些但并非所有混乱的一种方法是使用拦截器接受请求并在拦截器中找到用户,但我不确定如何传递该用户对象从那里进入方法本身以节省再次查找它。

另一个想法是我可以将用户或授权标头传递给 DAO,如果用户无权访问特定资源,则 DAO 会抛出异常,但安全逻辑是否存在于 DAO 区域中 -这似乎也不对(对我来说)——例如dao.findGiftList(authorization, ID)——但是处理这个授权是DAO的责任吗?

【问题讨论】:

  • 我应该补充一点,“不,那是完全正常的”如果正确的话是一个有效的答案——但我试图避免重复大量代码。一定有比这更清洁的解决方案吗?我希望能够编写类似@RolesAllowed("Owner") 的东西,但当然这是拦截器无法知道正在访问哪个资源的问题,因此它无法找到用户是否是所有者(不解析整个请求 URL 并为每个方法运行一组不同的正则表达式或一些可怕的解析来获取特定于每个端点的详细信息)

标签: java jakarta-ee wildfly resteasy interceptor


【解决方案1】:

要在您的 RESTful 网络服务中启用身份验证和授权,您可以使用 JAAS

要在 Wildfly 上执行此操作,您可以:

在您的 Wildfly 配置中配置一个安全域,如以下使用数据库登录模块的安全域(如果您将其作为独立服务器运行,则在 Standalone.xml 配置中)

<security-domain name="test" cache-type="default">
    <authentication>
        <login-module code="Database" flag="required">
            <module-option name="dsJndiName" value="java:/TestDS"/>
            <module-option name="principalsQuery" value="select password from User where login = ? and (disabled is null or disabled = 0) and activated = 1"/>
            <module-option name="rolesQuery" value="select name,'Roles' from Role r, User_Role ur, User u where u.login=? and u.id = ur.userId and r.id = ur.roleId"/>
            <module-option name="hashAlgorithm" value="SHA-256"/>
            <module-option name="hashEncoding" value="base64"/>
            <module-option name="unauthenticatedIdentity" value="guest"/>
        </login-module>
    </authentication>
</security-domain>

在 jboss-ejb3(如果您使用 RESTful EJB webservices)或 webapp/WEB-INF 目录中的 jboss-web.xml 文件中引用它。

jboss-web.xml

<?xml version="1.0" encoding="UTF-8"?>
<!-- Configure usage of the security domain "other" -->
<jboss-web>
    <security-domain>test</security-domain>
</jboss-web>

jboss-ejb3.xml

<jboss:ejb-jar xmlns:jboss="http://www.jboss.com/xml/ns/javaee"
               xmlns="http://java.sun.com/xml/ns/javaee"
               xmlns:s="urn:security"
               xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
               xsi:schemaLocation="http://www.jboss.com/xml/ns/javaee http://www.jboss.org/j2ee/schema/jboss-ejb3-2_0.xsd
                         http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/ejb-jar_3_1.xsd"
               version="3.1"
               impl-version="2.0">
    <assembly-descriptor>
        <s:security>
            <ejb-name>*</ejb-name>
            <s:security-domain>test</s:security-domain>
        </s:security>
    </assembly-descriptor>

</jboss:ejb-jar>

配置安全约束和登录配置,如下例所示,在 webapp 中启用 BASIC 身份验证:(有关详细信息,请参阅 this link

<security-constraint>
    <web-resource-collection>
        <web-resource-name>REST services</web-resource-name>
        <url-pattern>/rs/user/*</url-pattern>
    </web-resource-collection>

    <auth-constraint>
        <role-name>*</role-name>
    </auth-constraint>
</security-constraint>

<login-config>
    <auth-method>BASIC</auth-method>
    <realm-name>TestRealm</realm-name>
</login-config>

...

<security-role>
    <role-name>*</role-name>
</security-role>

然后使用 @PermitAll 或 @RolesAllowed 注释您的 REST 方法,以允许仅对某些角色进行公共访问或授权访问,如下例所示:

@Path("/giftlists")
public class GiftLists{

    @Resource
    private SessionContext sessionContext;

    @GET
    @Consumes(MediaType.APPLICATION_JSON)
    @RolesAllowed(USER) // Allow only authenticated users to access this
    @Path("/{giftListId}")
    public void getGiftListById(@NotNull @PathParam("giftListId") Long giftListId) {

        User user = userDAO.findUserByLogin(sessionContext.getCallerPrincipal().getName());

        GiftList giftList = giftListDAO.findGiftListByIdAndUser(giftListId, user); // user is provided to your DAO method / query, so giftList is returned only when User owns it. (No FORBIDDEN error)

        if(giftList == null){
            throw new WebApplicationException(Response.Status.NOT_FOUND);
        }

    }
}

所以在这个例子中你有两个改进:

  • 您可以将对该服务的访问限制为仅经过身份验证的用户,例如角色“USER”。
  • 您可以使用 sessionContext 以编程方式检索用户和相关角色。您最终可以对礼物列表进行分类,以使它们可供特定角色使用。

【讨论】:

  • 嗨。非常感谢您的回复 - 我真的很感激。此设置指定角色,如您在示例中使用的“ADMIN”。这不是我真正追求的角色。例如,一个人可能是一个列表的“所有者”,但这并不能使他们成为所有列表的“所有者”(他的角色不是“所有者”)。您是否知道一种方法来指定用户拥有资源,而另一个用户(在系统中具有相同角色)不拥有?
  • 嗨,我已经用一个服务示例完成了我的回答,该示例按 Id 返回一个 GiftList 实例。在我看来,您所描述的必须以编程方式处理(就像我在示例中所做的那样,多亏了 JaaS,代码行更少),因为用户与其 giftLists 之间的关系是您模型的一部分,并且正如您所说,它并不真正相关授权。
  • 嗨,雷米。这实际上有一些我没有想到的东西,我现在可以去看看,所以这肯定让我走上了实现它的正确轨道。非常感谢您的帮助,我希望这篇文章也可以指导其他有类似问题的人。我需要一段时间来了解 JAAS
  • 我在 Rémi 的实现中没有看到 isOwnedBy 检查?基于角色的授权似乎并不太复杂。干净的基于所有者的细粒度授权似乎要复杂得多......
猜你喜欢
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 2019-11-02
  • 2023-01-09
  • 2018-03-06
  • 1970-01-01
相关资源
最近更新 更多