【发布时间】:2015-12-16 15:25:32
【问题描述】:
我有一个使用 Resteasy 并在 Wildfly 上运行的网络服务。
身份验证通过让用户在每个请求中传递一个授权标头来工作。理想情况下,我需要检查用户是否拥有他们尝试访问的资源,但我想知道最好或最简洁的方法是什么。
例如,用户拥有多个“礼物清单”。我有一个端点 www.example.com/api/giftlist/7 应该检索 ID 为 7 的礼物列表,但前提是授权标头来自该列表的所有者。在代码中,它看起来像这样:
/**
* Retrieve a list by it's ID and return in JSON format.
* @param id the ID of the list to return
* @return the list.
*/
@GET
@Path("/{id}")
@ApiOperation(value = "Get a gift list by ID.", response = GiftList.class)
@Produces(MediaType.APPLICATION_JSON)
public GiftList getGiftListById(@HeaderParam("Authorization") String authorization, @PathParam("id") Long id){
User user = null;
AccessToken token = dao.find(AccessToken.class, authorization);
if(token !=null){
user = token.getUser();
}
GiftList giftList = dao.find(GiftList.class, id);
if(giftList == null){
throw new WebApplicationException(Response.Status.NOT_FOUND);
}
if(!giftList.isOwnedBy(user)) {
throw new WebApplicationException(Response.Status.FORBIDDEN);
}
return giftList;
}
请注意,几乎所有此方法都与识别用户是否存在以及他们是否拥有他们试图访问的资源有关。然后需要对 PUT、POST 和 DELETE 重复此逻辑,这一切都变得相当混乱。
我尝试使用拦截器,这样做可以检查用户的角色,但我无法访问他们尝试访问的资源的类型或 ID。请注意,GiftLists 不是此应用程序中的唯一资源。我正在寻找一种更简洁的方法来避免对大多数资源的每次操作都这样做。也许使用拦截器,但我不确定如何访问 @PathParam 值并获取正确的类型,然后从数据库中检索它并检查所有权。
这一定是一个常见问题,所以我确定有一些常用的约定或模式?我已经无休止地在谷歌上搜索了有关身份验证和使用拦截器的信息,但似乎没有一个能真正帮助解决这种“所有权”问题。
减少一些但并非所有混乱的一种方法是使用拦截器接受请求并在拦截器中找到用户,但我不确定如何传递该用户对象从那里进入方法本身以节省再次查找它。
另一个想法是我可以将用户或授权标头传递给 DAO,如果用户无权访问特定资源,则 DAO 会抛出异常,但安全逻辑是否存在于 DAO 区域中 -这似乎也不对(对我来说)——例如dao.findGiftList(authorization, ID)——但是处理这个授权是DAO的责任吗?
【问题讨论】:
-
我应该补充一点,“不,那是完全正常的”如果正确的话是一个有效的答案——但我试图避免重复大量代码。一定有比这更清洁的解决方案吗?我希望能够编写类似@RolesAllowed("Owner") 的东西,但当然这是拦截器无法知道正在访问哪个资源的问题,因此它无法找到用户是否是所有者(不解析整个请求 URL 并为每个方法运行一组不同的正则表达式或一些可怕的解析来获取特定于每个端点的详细信息)
标签: java jakarta-ee wildfly resteasy interceptor