虽然我正在尝试创建java jersey应用程序身份验证角色对我不起作用。
Java代码: -
package org.student.resource;
import javax.annotation.security.PermitAll;
import javax.annotation.security.RolesAllowed;
import javax.ws.rs.GET;
import javax.ws.rs.POST;
import javax.ws.rs.Path;
import javax.ws.rs.ext.Provider;
@Path("/resource")
@PermitAll
public class Resource {
@GET
public String get(){
return "GET";
}
@RolesAllowed("admin")
@POST
public String post(){
return "Post content.";
}
}
部署描述符: -
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns="http://xmlns.jcp.org/xml/ns/javaee"
xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee http://xmlns.jcp.org/xml/ns/javaee/web-app_3_1.xsd"
id="WebApp_ID" version="3.1">
<display-name>JerseyAuthentication</display-name>
<servlet>
<servlet-name>Application</servlet-name>
<servlet-class>org.glassfish.jersey.servlet.ServletContainer</servlet-class>
</servlet>
<servlet-mapping>
<servlet-name>Application</servlet-name>
<url-pattern>/*</url-pattern>
</servlet-mapping>
<security-constraint>
<web-resource-collection>
<web-resource-name>Resource</web-resource-name>
<url-pattern>/resource/*</url-pattern>
<http-method>GET</http-method>
</web-resource-collection>
</security-constraint>
<welcome-file-list>
<welcome-file>login.html</welcome-file>
</welcome-file-list>
</web-app>
标题: -
Cache-Control →private
Content-Language →en
Content-Length →1010
Content-Type →text/html;charset=utf-8
Date →Sat, 19 Sep 2015 08:14:18 GMT
Expires →Thu, 01 Jan 1970 05:30:00 IST
Server →Apache-Coyote/1.1
请帮助我做一些事情。我想知道为资源分配角色。
答案 0 :(得分:3)
你需要做的三件事
在Tomcat中设置安全领域(我假设服务器是Server →Apache-Coyote/1.1)。您可以在Realm Configuration HOW-TO了解有关创建领域的更多信息。
最简单的配置领域是UserDatabaseRealm,但绝不建议用于生产。这只是让你在开发中运行起来。您只需转到tomcat-users.xml中的${TOMCAT_HOME}/conf文件即可。然后只需编辑它看起来像
<tomcat-users>
<user username="Murugesan" password="secret" roles="admin" />
<user username="peeskillet" password="superSecret" roles="user" />
</tomcat-users>
您仍需要稍微配置web.xml。你需要做一些事情
声明允许使用该应用程序的角色。您可以将其置于</security-contraint>
<security-role>
<role-name>user</role-name>
</security-role>
<security-role>
<role-name>admin</role-name>
</security-role>
声明允许访问<security-constraint>
<security-constraint>
<web-resource-collection>
<web-resource-name>Protected Area</web-resource-name>
<url-pattern>/api/protected/*</url-pattern>
<http-method>GET</http-method>
</web-resource-collection>
<auth-constraint>
<role-name>*</role-name>
</auth-constraint>
</security-constraint>
这里我们说任何带有一个声明角色的经过身份验证的用户(*)都可以通过servlet容器安全控制直到Jersey应用程序。或者,您可以定义角色而不是*。这将导致servlet容器处理访问控制。但是如果你想要更细粒度的控制,只需让所有经过身份验证的用户进入,并使用你当前正在做的注释处理Jersey内部的访问控制。
您需要定义<login-config>以声明哪种类型的身份验证。只有三个。 FORM,DIGEST,BASIC。在这里,我们将使用BASIC,并声明用户所在的领域。
<login-config>
<auth-method>BASIC</auth-method>
<realm-name>UserDatabaseRealm</realm-name>
</login-config>
您可以将其置于</security-role>
您只需要通过注册RolesAllowedDynamicFeature来配置Jersey来处理安全注释。您可以在web.xml中执行此操作
<servlet>
<servlet-name>Application</servlet-name>
<servlet-class>org.glassfish.jersey.servlet.ServletContainer</servlet-class>
<init-param>
<param-name>jersey.config.server.provider.packages</param-name>
<param-value>org.student.resource</param-value>
</init-param>
<init-param>
<param-name>jersey.config.server.provider.classnames</param-name>
<param-value>
org.glassfish.jersey.server.filter.RolesAllowedDynamicFeature
</param-value>
</init-param>
<load-on-startup>1</load-on-startup>
</servlet>