我无法在PlayFramework(版本2.5)中掌握授权的想法。我的情况是我有一个REST API方法getUser,我想通过使用名为"X-Authorization"的自定义请求标头中的令牌执行授权来限制其访问。现在我的控制器代码看起来像这样:
package controllers;
import models.User;
import org.bson.types.ObjectId;
import play.mvc.*;
import org.json.simple.*;
import views.html.*;
public class ApiController extends Controller {
public Result getUser(String userId) {
User user = User.findById(new ObjectId(userId));
JSONObject userG = new JSONObject();
//Some code to append data to userG before return
return ok(userG.toJSONString());
}
}
路线网址的定义如下:
GET /api/user/:id controllers.ApiController.getUser(id)
选项1 可能是检查方法getUser中的授权令牌,还检查其他凭据,但我想限制访问,即使它获得调用getUser方法。在将来,我将向此REST API添加更多方法调用。因此,我将重用相同的授权来处理未来的REST API。
我发现Play Framework中有authorization,我无法理解。我尝试通过扩展类Security.Authenticator并覆盖方法getUserName和onUnauthorized来实现授权,如下所示:
package controllers;
import models.Site;
import models.User;
import org.json.simple.JSONObject;
import play.mvc.Http.Context;
import play.mvc.Result;
import play.mvc.Security;
public class Secured extends Security.Authenticator {
@Override
public String getUsername(Context ctx) {
String auth_key = ctx.request().getHeader("X-Authorization");
Site site = Site.fineByAccessKey(auth_key);
if (site != null && auth_key.equals(site.access_key)) {
return auth_key;
} else {
return null;
}
}
@Override
public Result onUnauthorized(Context ctx) {
JSONObject errorAuth = new JSONObject();
errorAuth.put("status", "error");
errorAuth.put("msg", "You are not authorized to access the API");
return unauthorized(errorAuth.toJSONString());
}
}
然后我使用getUser将注释附加到@Security.Authenticated(Secured.class)方法。它工作正常并返回未经授权的错误。但现在我不确定这是否是首选方式。我觉得这不是正确的方法,因为函数getUsername的覆盖名称也表明了这一点。我没有检查会话或cookie中的任何用户名,而只检查请求标头中的令牌。
另外我知道有一个名为Deadbolt的模块用于授权,但是我读了它的文件而我无法集成它。对于像我这样的初学者来说这是一个相对复杂的集成。我对如何使用它感到困惑。我想过使用SubjectPresent控制器授权,但我仍然无法成功实现它。
最后你们建议我应该以{{1}}的方式实施我的建议吗?或者你是否建议我在Security.Authenticator方法中检查授权的第一个选项?或者任何人都可以告诉我如何在我的方案中实施Deadbolt?
答案 0 :(得分:3)
您正在混合授权和身份验证。
这是一个很好的主题:Authentication versus Authorization
我喜欢这个答案:
身份验证 =登录名+密码(您是谁)
授权 =权限(您可以做的事情)
身份验证 == 授权(不包括匿名用户),如果您允许为您认识的所有用户执行某些操作(例如经过身份验证的用户)< / p>
Deadbolt的主要目标是授权(已经过身份验证的用户)。您的主要目标是身份验证。
我建议您使用Pac4J,身份验证库,不仅适用于Play,而且它的版本与Java版本相同。有一个很好的示例项目:https://github.com/pac4j/play-pac4j-java-demo
我自己在项目和任务中使用这个库
将来我将向此REST api添加更多方法调用。所以我 将重用相同的授权给那些未来的REST apis 好。
我解决就像在application.conf`中添加配置一样简单:
pac4j.security {
rules = [
{"/admin/.*" = {
authorizers = "ADMIN"
clients = "FormClient"
}}
]
}
不要忘记添加安全过滤器。此功能存在于示例项目中,因此只需克隆并尝试。
另一个示例表单the official page:
pac4j.security.rules = [
# Admin pages need a special authorizer and do not support login via Twitter.
{"/admin/.*" = {
authorizers = "admin"
clients = "FormClient"
}}
# Rules for the REST services. These don't specify a client and will return 401
# when not authenticated.
{"/restservices/.*" = {
authorizers = "_authenticated_"
}}
# The login page needs to be publicly accessible.
{"/login.html" = {
authorizers = "_anonymous_"
}}
# 'Catch all' rule to make sure the whole application stays secure.
{".*" = {
authorizers = "_authenticated_"
clients = "FormClient,TwitterClient"
}}
]