使用RolesAllowedDynamicFeature和Jersey进行授权

时间:2013-06-12 14:47:53

标签: java authentication jersey authorization jax-rs

我正在尝试使用JAX-RS过滤器对用户进行身份验证。这是我正在设置新的SecurityContext的过滤器:

@Provider
public class AuthenticationFilter implements ContainerRequestFilter {

  @Override
  public void filter(final ContainerRequestContext requestContext) throws IOException {

    requestContext.setSecurityContext(new SecurityContext() {
      @Override
      public Principal getUserPrincipal() {
        return new Principal() {
          @Override
          public String getName() {
            return "Joe";
          }
        };
      }

      @Override
      public boolean isUserInRole(String string) {
        return false;
      }

      @Override
      public boolean isSecure() {
        return requestContext.getSecurityContext().isSecure();
      }

      @Override
      public String getAuthenticationScheme() {
        return requestContext.getSecurityContext().getAuthenticationScheme();
      }
    });

    if (!isAuthenticated(requestContext)) {
      requestContext.abortWith(
              Response.status(Status.UNAUTHORIZED)
              .header(HttpHeaders.WWW_AUTHENTICATE, "Basic realm=\"Example\"")
              .entity("Login required.").build());
    }
  }

  private boolean isAuthenticated(final ContainerRequestContext requestContext) {
    return requestContext.getHeaderString("authorization") != null; // simplified
  }
}

资源方法如下所示:

  @GET
  // @RolesAllowed("user")
  public Viewable get(@Context SecurityContext context) {
    System.out.println(context.getUserPrincipal().getName());
    System.out.println(context.isUserInRole("user"));
    return new Viewable("index");
  }

RolesAllowedDynamicFeature的注册方式如下:

.register(RolesAllowedDynamicFeature.class)

我可以在控制台上看到预期的输出。但是如果我取消注释@RolesAllowed("user"),我会收到Forbidden错误,并且永远不会调用我的SecurityContext的isUserInRole方法。在API doc RolesAllowedDynamicFeature之后应该调用此方法。

如何使用RolesAllowedDynamicFeature?

2 个答案:

答案 0 :(得分:14)

您需要为身份验证过滤器定义优先级,否则RolesAllowedRequestFilter中的RolesAllowedDynamicFeature将在AuthenticationFilter之前执行。如果您查看源代码,RolesAllowedRequestFilter会有注释@Priority(Priorities.AUTHORIZATION),因此如果您将@Priority(Priorities.AUTHENTICATION)分配给您的身份验证过滤器,它将在RolesAllowedRequestFilter之前执行。像这样:

@Provider
@Priority(Priorities.AUTHENTICATION)
public class AuthenticationFilter implements ContainerRequestFilter {

您可能还需要使用AuthenticationFilter实际注册register(AuthenticationFilter.class),具体取决于您的服务器是否扫描注释。

答案 1 :(得分:1)

我想这是因为

 @Override
  public boolean isUserInRole(String string) {
    return false;
  }

哪些状态,用户没有所需的角色@RolesAllowed(“user”)甚至进入带注释的方法的执行。

您应该实现更复杂的isUserInRole方法,以检查用户是否具有特定角色:)

问候

相关问题
最新问题