我相信我的基本身份验证工作正常,但我不确定如何保护资源,以便只有在用户登录时才能访问它们。
public class SimpleAuthenticator implements Authenticator<BasicCredentials, User> {
UserDAO userDao;
public SimpleAuthenticator(UserDAO userDao) {this.userDao = userDao;}
@Override
public Optional<User> authenticate(BasicCredentials credentials) throws AuthenticationException
{
User user = this.userDao.getUserByName(credentials.getUsername());
if (user!=null &&
user.getName().equalsIgnoreCase(credentials.getUsername()) &&
BCrypt.checkpw(credentials.getPassword(), user.getPwhash())) {
return Optional.of(new User(credentials.getUsername()));
}
return Optional.absent();
}
}
我的Signin资源是这样的:
@Path("/myapp")
@Produces(MediaType.APPLICATION_JSON)
public class UserResource {
@GET
@Path("/signin")
public User signin(@Auth User user) {
return user;
}
}
我用以下方式签署用户:
~/java/myservice $ curl -u "someuser" http://localhost:8080/myapp/signin
Enter host password for user 'someuser':
{"name":"someuser"}
问题
假设用户使用/myapp/signin端点从浏览器或本机移动应用前端登录。那我怎么能保护另一个端点,比如/myapp/{username}/getstuff哪个要求用户签名
@GET
@Path("/myapp/{username}/getstuff")
public Stuff getStuff(@PathParam("username") String username) {
//some logic here
return new Stuff();
}
答案 0 :(得分:26)
当您尝试实施REST时,有两件事情。一个是身份验证(似乎你已经使它工作)而另一个是授权(这是我相信你的问题)。
之前我在dropwizard中处理它的方式是,每次用户登录时,都会返回某种access_token(这证明它们已经过身份验证)回到客户端,客户端必须在每次连续调用时返回它们作为某些标题的一部分(通常这是通过“授权”标题完成的)。在服务器端,您必须将此access_token保存/映射到该用户,然后再将其返回给客户端,并且当使用该access_token进行所有后续调用时,您将查找使用该access_token映射的用户并确定该用户是否有权访问该资源。现在举个例子:
1)用户使用/ myapp / signin
登录2)您对用户进行身份验证并将access_token作为回复发送回来,同时保存用户,例如access_token - &gt; userIdABCD
3)客户端返回/ myapp / {username} / getstuff。如果客户端未提供带有access_token的“Authorization”标头,则应立即返回401 Unauthorized代码。
4)如果客户端确实提供了access_token,您可以根据您在步骤2中保存的access_token查找用户,并检查该userId是否可以访问该资源。如果没有,则返回401未授权代码,如果有访问权限,则返回实际数据。
现在来到“授权”标题部分。您可以使用“@Context HttpServletRequest hsr”参数访问所有调用中的“Authoroziation”标头,但是在每次调用中添加该参数是否有意义?不,不。这是安全过滤器在dropwizard中的帮助。这是一个如何添加安全过滤器的示例。
public class SecurityFilter extends OncePerRequestFilter{
@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException{
String accessToken = request.getHeader("Authorization");
// Do stuff here based on the access token (check for user's authorization to the resource ...
}
现在,这个安全过滤器确实保护了哪些资源?为此,您需要将此过滤器添加到要保护的特定资源,可以按如下方式进行:
environment.addFilter(SecurityFilter, "/myapp/*");
请记住,你的urls / myapp / signin和/ myapp / {username} / getstuff都会通过这个安全过滤器,但是/ myapp / signin将没有access_token,显然是因为你没有'给了客户任何东西。必须在过滤器本身中处理,例如:
String url = request.getRequestURL().toString();
if(url.endsWith("signin"))
{
// Don't look for authorization header, and let the filter pass without any checks
}
else
{
// DO YOUR NORMAL AUTHORIZATION RELATED STUFF HERE
}
您要保护的网址取决于您的网址结构以及您想要保护的内容。您设计的网址越好,编写安全过滤器以保护它们就越容易。添加此安全过滤器后,流程将如下所示:
1)用户转到/ myapp / signin。该调用将通过过滤器,并且由于该“if”语句,它将继续您的/ myapp / signin的ACTUAL资源,并且您将基于成功的身份验证分配access_token
2)用户使用access_token拨打/ myapp / {username} / mystuff。此调用将通过相同的安全筛选器,并将通过您实际授权的“else”语句。如果授权通过,则呼叫将继续给您实际的资源处理程序,如果未授权,则应返回401。
public class SecurityFilter extends OncePerRequestFilter
{
@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException
{
String url = request.getRequestURL().toString();
String accessToken = request.getHeader("Authorization");
try
{
if (accessToken == null || accessToken.isEmpty())
{
throw new Exception(Status.UNAUTHORIZED.getStatusCode(), "Provided access token is either null or empty or does not have permissions to access this resource." + accessToken);
}
if (url.endsWith("/signin"))
{
//Don't Do anything
filterChain.doFilter(request, response);
}
else
{
//AUTHORIZE the access_token here. If authorization goes through, continue as normal, OR throw a 401 unaurhtorized exception
filterChain.doFilter(request, response);
}
}
catch (Exception ex)
{
response.setStatus(401);
response.setCharacterEncoding("UTF-8");
response.setContentType(MediaType.APPLICATION_JSON);
response.getWriter().print("Unauthorized");
}
}
}
我希望这有帮助!我花了大约两天的时间来弄明白这一点!
答案 1 :(得分:3)
很抱歉,我是一名简单的用户。我相信您可以使用@Auth用户
来保护资源public Service1Bean Service1Method1(
@Auth User user,
@QueryParam("name") com.google.common.base.Optional<String> name) {