我目前正在考虑保护jax-rs网络服务。 以下网址非常有趣:https://docs.oracle.com/cd/E24329_01/web.1211/e24983/secure.htm#RESTF256。 我特别关注基于注释的Web服务安全性。定义每个方法允许的角色看起来非常简单。 然而,我有4个与此主题相关的问题:
我想知道:在哪里定义用户的角色,以及在使用基于注释的安全性时如何将用户映射到角色? 如果有人能指出我的代码示例,那就太好了,我找不到很多运气。
您是否知道可用于保护jax-rs服务的库/框架?我没有印象,例如Apache Shiro真的适合Web服务吗?我不想使用Spring安全性,它对我正在做的事情来说有点太重了。
此外,对于使用RBAC的身份验证/授权方案,如果用户具有已分配权限的角色和角色,您如何在数据库级别设计此方法?
在查看RBAC原则时,您具有分配给角色的权限。但是,使用基于注释的安全性,您只需定义" access"到角色级别的方法。如何检查用户是否拥有权限?或者,在使用RBAC原则时,您只是使用角色并完全忽略权限吗?
感谢您提供的任何输入!
UPDATE1 :如果您定义用户以及他们自己在数据库中拥有哪些角色而不是例如在web.xml中,使用SecurityContext检查用户是否在角色中而不是web.xml或注释可能更容易/更好? 这将允许您使用自己的securitycontext对象,该对象可以调用数据库来验证角色成员资格吗?