JAX-RS:如何保护REST端点?

时间:2013-08-06 16:54:23

标签: java rest authentication jboss jax-rs

我正在使用JBoss ASJAX-RS来创建REST个端点。

让我们说我的课看起来像

@Path("/users")
public class UserResource {


  @GET
  public Response getAccount() {
    return "hello";
  }
}

现在getAccount未经过身份验证

通缉
- 我想添加身份验证,以便在代码命中getAccount时,用户通过身份验证 - 如果可能的话,我希望身份验证由注释而不是XML配置驱动 - 我想进行数据库比较,看看用户是否有效

问题
- 我从来没有这样做过,所以我不知道如何实现它 - 我已经搜索了很多泽西的例子

更新
- 我想为每个请求发送身份验证凭据,创建任何会话

请用一个简单的工作示例指导我,我会尝试从那里延伸

2 个答案:

答案 0 :(得分:15)

您需要在JAX RS端点前面建立无状态Spring Security配置。 我已经解决了你要解决的确切问题,但我没有自己的代码可以分享..

这是一个完成你要求的确切事情的项目,有些聪明人为你做了一切;)

https://github.com/philipsorst/angular-rest-springsecurity

什么是魔法?

  1. 您有一个不受保护的URL执行身份验证,并设置用户角色..
  2. 然后你返回某种令牌,把它放在缓存中的某个位置,这将在每次后续调用中都有所期待..
  3. 根据对其他受保护资源的新请求,您将检查缓存/会话存储中是否存在令牌(您需要一些机制来跟踪有效令牌)
  4. 如果令牌重新发送且有效,您可以在Spring Security中执行程序化登录,确保您可以使用spring提供的所有安全功能,(注释,JSTL标签等)!
  5. 一旦通过令牌验证,您将获得控制器(即JAX RS资源)中登录的用户详细信息,以进一步处理安全问题。
  6. 如果令牌无效或不存在,它将被失败终点捕获,这将返回适当的响应(401)

    7. 请参阅以下链接以了解如何配置无状态Spring安全性.., https://github.com/philipsorst/angular-rest-springsecurity/blob/master/src/main/resources/context.xml

    了解第一次如何验证用户并生成令牌。 https://github.com/philipsorst/angular-rest-springsecurity/blob/master/src/main/java/net/dontdrinkandroot/example/angularrestspringsecurity/rest/resources/UserResource.java

    这是在令牌之后对每个请求执行编程登录的类 检查.. https://github.com/philipsorst/angular-rest-springsecurity/blob/master/src/main/java/net/dontdrinkandroot/example/angularrestspringsecurity/rest/AuthenticationTokenProcessingFilter.java

答案 1 :(得分:11)

我用以下代码解决了这个问题。

注意一旦我这样做,令牌机制将会更新

我通过修改我拥有的拦截器来解决这个问题,以下是代码

<强>注释 

@Inherited
@InterceptorBinding
@Target({ ElementType.TYPE, ElementType.METHOD })
@Retention(RetentionPolicy.RUNTIME)
public @interface SecurityChecked {

}

资源类 

public class SecureResource {

    @GET
    @SecurityChecked
    public Response getUser() {
        return Response.ok("authenticated successfully!").build();
    }
}

拦截器类 

@Interceptor
@Provider
@ServerInterceptor
@SecurityChecked
public class SecurityCheckInterceptor implements PreProcessInterceptor, AcceptedByMethod {
    private static final Logger LOGGER = LoggerFactory.getLogger(SecurityCheckInterceptor.class);

    @Nullable
    @Override
    public ServerResponse preProcess(final HttpRequest request, final ResourceMethod method) throws Failure, WebApplicationException {
        final List<String> authToken = request.getHttpHeaders().getRequestHeader("X-AUTH");

        if (authToken == null || !isValidToken(authToken.get(0))) {
            final ServerResponse serverResponse = new ServerResponse();
            serverResponse.setStatus(Response.Status.UNAUTHORIZED.getStatusCode());
            return serverResponse;
        }

        return null;
    }

    private static boolean isValidToken(@Nonnull final String authToken) {
        LOGGER.info("validating token: " + authToken);
        return true;
    }

    @SuppressWarnings("rawtypes")
    @Override
    public boolean accept(final Class declaring, final Method method) {
        // return declaring.isAnnotationPresent(SecurityChecked.class); // if annotation on class
        return method.isAnnotationPresent(SecurityChecked.class);
    }
}

然后我通过在JBoss中部署资源类并在命令行上发出以下命令来运行我的集成测试

curl --header 'X-AUTH: 1a629d035831feadOOO4uFReLyEW8aTmrCS' http://localhost:8080/market-1.0-SNAPSHOT/rest/login
curl --header 'InvalidHeader: InvalidHeaderValue' http://localhost:8080/market-1.0-SNAPSHOT/rest/login
相关问题
最新问题