使用BasicAuth进行喷涂验证方法

时间:2014-07-01 01:16:38

标签: scala spray

喷雾很难!!我现在知道我对HTTP协议的了解还不够,API设计也不容易。但是,我仍然非常想要我的练习应用程序。我正在为POST/PUT/DELETE方法编写此身份验证。似乎至少有两种方法可以做到这一点:BasicAuth或编写自定义指令。

我找到了这篇文章:

BasicAuth:https://github.com/jacobus/s4/blob/master/src/main/scala/s4/rest/S4Service.scala

我试试看,因为它看起来很简单。

编译和运行阶段很好,服务器运行。但是,当我尝试发送PUT请求来测试实现时(使用Python' Httpie:http PUT 127.0.0.1:8080/sec-company/casper username=username token=123),反馈是:HTTP/1.1 404 Not Found

这是我的路线:

pathPrefix("sec-company") {
        path("casper") {
          //first examine username and token
          authenticate(BasicAuth(CustomUserPassAuthenticator, "company-security")) {userProfile =>
            post { ctx =>
              entity(as[Company.Company]) { company =>
                complete {
                  company
                }
              }
            }
   }

以下是我UserPassAuthenticator的实现:

object CustomUserPassAuthenticator extends UserPassAuthenticator[UserProfile] {
    def apply(userPass: Option[UserPass]) = Promise.successful(
      userPass match {
        case Some(UserPass(user, token)) => getUserProfile(user, token)
        case _ => None
      }
    ).future
  }

首先,这是实现身份验证的正确方法吗?第二,UserPassAuthenticator在哪里找到用户名和密码?我可以发送一个更好的HTTP标头而不是404来指示验证失败吗?

如果这远非正确,那么我可以遵循任何有关身份验证的教程吗? TypeSafe的Spray模板更多地是关于整体模式而不是Spray的功能!

谢谢!

1 个答案:

答案 0 :(得分:5)

我遇到了同样的问题,即使在查看https://github.com/spray/spray/wiki/Authentication-Authorization之后(这说明它是旧版Akka,但似乎仍然适用)我想出了以下内容:

trait Authenticator {
  def basicUserAuthenticator(implicit ec: ExecutionContext): AuthMagnet[AuthInfo] = {
    def validateUser(userPass: Option[UserPass]): Option[AuthInfo] = {
      for {
        p <- userPass
        user <- Repository.apiUsers(p.user)
        if user.passwordMatches(p.pass)
      } yield AuthInfo(user)
    }

    def authenticator(userPass: Option[UserPass]): Future[Option[AuthInfo]] = Future { validateUser(userPass) }

    BasicAuth(authenticator _, realm = "Private API")
  }
}

我将这个特性混合到运行路线的Actor中,然后我这样称呼它:

runRoute(
  pathPrefix("api") {
    authenticate(basicUserAuthenticator) { authInfo =>
      path("private") {
        get {
          authorize(authInfo.hasPermission("get") {
            // ... and so on and so forth
          }
        }
      }
    }
  }
}

AuthInfo方法返回的validateUser对象作为参数传递给赋予authorize方法的闭包。这是:

case class AuthInfo(user: ApiUser) {
  def hasPermission(permission: String) = user.hasPermission(permission)
}

在Spray(和HTTP)中,身份验证(确定您是否拥有有效用户)与授权(确定用户是否有权访问资源)是分开的。在ApiUser类中,我还存储了用户拥有的权限集。这是一个简化版本,我的hasPermission方法有点复杂,因为我还参数化了权限,因此不仅仅是特定用户有权获取资源,他可能只有权读取该资源的某些部分。根据您的需要,您可以使事情变得非常简单(任何已登录的用户都可以访问任何资源)或极其复杂。

关于您的问题,当使用HTTP BASIC身份验证(BasicAuth对象)时,凭据将在Authorization:标头中的请求中传递。您的HTTP库应该为您生成。根据HTTP标准,如果身份验证不正确或未提供,服务器应返回401状态代码,如果身份验证正确但用户无权查看内容,则应返回403状态代码。

相关问题
最新问题