DropWizard Auth by Example

时间:2014-12-10 02:06:51

标签: java jersey jax-rs basic-authentication dropwizard

我正在尝试了解身份验证和授权在DropWizard中的工作原理。我已经在GitHub上阅读了他们的auth guide以及dropwizard-security项目,但感觉我仍然缺少一些重要的概念。

public class SimpleCredential {
    private String password;

    public SimpleCredential(String password) {
        super();

        this.password = password;
    }
}

public class SimplePrincipal {
    pivate String username;

    public SimplePrincipal(String username) {
        super();

        this.username = username;
    }
}

public class SimpleAuthenticator implements Authenticator<SimpleCredential, SimplePrincipal> {
    @Override
    public Optional<SimplePrincipal> authenticate(SimpleCredential credential) throws AuthenticationException {
        if(!"12345".equals(credential.getPassword())) {
            throw new AuthenticationException("Sign in failed.");
        }

        Optional.fromNullable(new SimplePrincipal("simple_user"));
    }
}

然后在我的Application子类中:

@Override
public void run(BackendConfiguration configuration, Environment environment) throws Exception {
    environment.jersey().register(new BasicAuthProvider<SimplePrincipal>(new SimpleAuthenticator(), "SUPER SECRET STUFF"));
}

然后在资源方法中:

@GET
@Path("address/{address_id}")
@Override
public Address getAddress(@Auth @PathParam("address_id") Long id) {
    addressDao.getAddressById(id);
}

我认为我已经为基本身份验证正确配置了一半,但却没有理解SimpleCredentialSimplePrincipal所扮演的角色。具体做法是:

  1. 如何从Jersey / JAX-RS客户端设置基本身份验证用户名/密码?
  2. SimpleCredentialSimplePrincipal在基本身份验证中扮演什么角色?我是否需要向他们或其他类添加任何内容以进行基本身份验证工作,以便唯一有效的用户名为simple_user且唯一有效的密码为12345
  3. 如何通过SimplePrincipal强制执行访问/授权/角色?或者是Web服务不存在授权的概念吗?

1 个答案:

答案 0 :(得分:36)

问题1:

Basic Authentication协议规定客户端请求应具有

形式的标头 
Authorization: Basic Base64Encoded(username:password)

其中Base64Encoded(username:password)username:password的实际Base64编码字符串。例如,如果我的用户名和密码是peeskillet:pass,则标题应该以

的形式发送出去 
Authorization: Basic cGVlc2tpbGxldDpwYXNz

话虽如此,Jersey客户端(假设1.x)有一个HTTPBasicAuthFilter,它是一个客户端过滤器,它将为我们处理编码部分。所以客户端请求可能看起来像

Client client = Client.create();
WebResource resource = client.resource(BASE_URI);
client.addFilter(new HTTPBasicAuthFilter("peeskillet", "pass"));
String response = resource.get(String.class);

这就是我们需要使用授权标头进行简单的GET请求。

问题2:

SimpleCredential:对于基本身份验证,我们实际上需要使用BasicCredentials,而不是我们自己的凭据。基本上,请求将通过BasicAuthProvider。提供程序将解析Authorization标头并从解析的用户名和密码创建BasicCredentials对象。完成处理后,BasicCredentials将传递给我们的SimpleAuthenticator。我们使用这些凭据对用户进行身份验证。

SimplePrincipal:基本上是我们将用于授权客户端的内容。从身份验证过程中,我们可以构建一个将在以后用于授权的主体(请参阅问题3)。所以一个例子可能看起来像

import com.google.common.base.Optional;
import io.dropwizard.auth.AuthenticationException;
import io.dropwizard.auth.Authenticator;
import io.dropwizard.auth.basic.BasicCredentials;

public class SimpleAuthenticator implements Authenticator<BasicCredentials,
                                                          SimplePrincipal> {
    @Override
    public Optional<SimplePrincipal> authenticate(BasicCredentials credentials)
            throws AuthenticationException {

        // Note: this is horrible authentication. Normally we'd use some
        // service to identify the password from the user name.
        if (!"pass".equals(credentials.getPassword())) {
            throw new AuthenticationException("Boo Hooo!");
        }

        // from some user service get the roles for this user
        // I am explicitly setting it just for simplicity
        SimplePrincipal prince = new SimplePrincipal(credentials.getUsername());
        prince.getRoles().add(Roles.ADMIN);

        return Optional.fromNullable(prince);
    }
}

我稍微更改了SimplePrincipal类,并创建了一个简单的Roles类。

public class SimplePrincipal {

    private String username;
    private List<String> roles = new ArrayList<>();

    public SimplePrincipal(String username) {
        this.username = username;
    }

    public List<String> getRoles() {
        return roles;
    }

    public boolean isUserInRole(String roleToCheck) {
        return roles.contains(roleToCheck);
    }

    public String getUsername() {
        return username;
    }
}

public class Roles {
    public static final String USER = "USER";
    public static final String ADMIN = "ADMIN";
    public static final String EMPLOYEE = "EMPLOYEE";
}

问题3:

有些人可能更喜欢有一个额外的过滤层用于授权,但是Dropwizard似乎有自以为是的观点认为授权应该在资源类中发生(我忘了我在哪里阅读它,但我相信他们的论点是可测试性)。我们在SimplePrincial中创建的SimpleAuthenticator所发生的情况是,可以使用@Auth注释将其注入到我们的资源方法中。我们可以使用SimplePrincipal进行授权。像

这样的东西 
import dropwizard.sample.helloworld.security.Roles;
import dropwizard.sample.helloworld.security.SimplePrincipal;
import io.dropwizard.auth.Auth;
import javax.ws.rs.GET;
import javax.ws.rs.Path;
import javax.ws.rs.Produces;
import javax.ws.rs.WebApplicationException;
import javax.ws.rs.core.MediaType;
import javax.ws.rs.core.Response;

@Path("/simple")
public class SimpleResource {

    @GET
    @Produces(MediaType.APPLICATION_JSON)
    public Response getResponse(@Auth SimplePrincipal principal) {
        if (!principal.isUserInRole(Roles.ADMIN)) {
            throw new WebApplicationException(Response.Status.FORBIDDEN);
        }
        return Response.ok(
                "{\"Hello\": \"" + principal.getUsername() + "\"}").build();
    }
}

使用此配置将所有内容放在一起

environment.jersey().register(new BasicAuthProvider<SimplePrincipal>(
                                            new SimpleAuthenticator(), 
                                            "Basic Example Realm")
);

以及我之前发布的客户端凭据,当我们发出请求时,我们应该返回

{"Hello": "peeskillet"}

另外应该提到单独的基本身份验证不安全,建议通过SSL完成

见相关:

更新

一些事情:

  • 对于Dropwizard 0.8.x,Basic Auth的配置有所改变。你可以看到more here。一个简单的例子是

    SimpleAuthenticator auth = new SimpleAuthenticator();
env.jersey().register(AuthFactory.binder(
        new BasicAuthFactory<>(auth,"Example Realm",SimplePrincipal.class)));

  • 请参阅上面的链接,了解AuthenticationException

    • 的推荐用法
相关问题
最新问题