我正在使用rest web-service来获取文件路径。在这里,我使用安全上下文来提供一些额外的安全性。我使用的登录用户验证必须与Web服务URL中指定的用户名相同(安全检查)。
但我有一个特例,我有一个用户从服务器获取特殊文件路径。如果我从Web服务URL传递此用户,它将被安全上下文验证捕获,因为登录的用户和URL指定的用户不同。
因此,还有其他方法可以将特殊用户排除在安全检查之外。 我可以在web.xml中指定一些配置来解决这个问题。
e.g
condition 1
logged-in user - xyz
web-service URL - 192.168.0.132/download.ws/xyz/fileid
passed in security checked.
和
condition 2
logged-in user - xyz
abc is valid and authorized user.
web-service URL - 192.168.0.132/download.ws/abc/fileid
failed in security checked.
我想让它通过,当URL中的用户是abc然后允许它进行安全检查时。
这是检查有效用户的网络服务代码
public String getCallerId(SecurityContext sc) {
// we always create a GenericPrincipal object in AuthService
GenericPrincipal userPrincipal = (GenericPrincipal) sc.getUserPrincipal();
String szUserEmailID= userPrincipal.getName();
return szUserEmailID;
}
public boolean authorizeRequest(SecurityContext osc, String szResourceID, String reqType) {
if( getCallerId(osc).equalsIgnoreCase(szResourceID)) // check for logged-in user and user specified in web-service url
return true;
return false;
}
答案 0 :(得分:0)
您应该使用角色和安全注释。 https://blogs.oracle.com/swchan/entry/servlet_3_0_security_annotations
此外,我不明白,为什么用户名是网址的一部分。它并非必须如此。你知道用户名。 Url应该对所有用户都相同,并且仅返回当前经过身份验证的用户的相关数据。因此,你不会遇到这些问题。
然后您可以允许以下内容:
CHD5.4.1
Spark SQL