JAX-RS(泽西岛2)安全,@ PermitAll和@RolesAllowed没有按预期工作

时间:2017-04-13 11:28:34

标签: java rest security jersey jax-rs

我有一个包含三个资源的REST-API。第一个方法中的方法称为PublicResource,任何人都应该可以访问(即匿名访问)。第二个方法中称为SecretResource的方法只能由特定的用户组访问。最后,名为MixedResource的第三个资源具有混合设置,其中一些方法受到保护,一些方法可供公共访问。

注释@PermitAll和@RolesAllowed不起作用,因为我期待它们。虽然PublicResource使用@PermitAll进行注释,但在尝试访问时仍然会被要求授权。 MixedResource中使用@PermitAll注释的方法也是如此。所以基本上,即使我应该匿名访问,我的所有资源都会被要求获得授权。

我在Payara 4.1上运行,我很困惑,因为我在另一个运行在WebLogic 12.1.3上的应用程序中有一个非常类似的设置,并且注释按预期工作。我错过了什么或出错了什么?请参阅下面的完整代码。

PublicResource.java:

    import javax.annotation.security.PermitAll;
    import javax.ws.rs.GET;
    import javax.ws.rs.Path;
    import javax.ws.rs.Produces;
    import javax.ws.rs.core.MediaType;

    @Path("public")
    @PermitAll
    public class PublicResource {

        @GET
        @Produces(MediaType.TEXT_PLAIN)
        public String itsPublic() {
            return "public";
        }

    }

SecretResource.java:

    import javax.annotation.security.RolesAllowed;
    import javax.ws.rs.GET;
    import javax.ws.rs.core.MediaType;
    import javax.ws.rs.Path;
    import javax.ws.rs.Produces;

    @Path("secret")
    @RolesAllowed({ "SECRET" })
    public class SecretResource {

        @GET
        @Produces(MediaType.TEXT_PLAIN)
        public String itsSecret() {
            return "secret";
        }

    }

MixedResource.java:

    import javax.annotation.security.PermitAll;
    import javax.annotation.security.RolesAllowed;
    import javax.ws.rs.GET;
    import javax.ws.rs.Path;
    import javax.ws.rs.Produces;
    import javax.ws.rs.core.MediaType;

    @Path("mixed")
    @PermitAll
    public class MixedResource {

        @GET
        @Path("public")
        @Produces(MediaType.TEXT_PLAIN)
        public String itsPublic() {
            return "public";
        }

        @GET
        @Path("secret")
        @RolesAllowed({ "SECRET" })
        @Produces(MediaType.TEXT_PLAIN)
        public String itsSecret() {
            return "secret";
        }

    }

JAXRSConfiguration.java:

    import javax.ws.rs.ApplicationPath;
    import javax.ws.rs.core.Application;

    @ApplicationPath("resources")
    public class JAXRSConfiguration extends Application {

    }

的web.xml:

    <?xml version="1.0" encoding="UTF-8"?>
    <web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee
             http://xmlns.jcp.org/xml/ns/javaee/web-app_3_1.xsd"
         version="3.1">
        <session-config>
            <session-timeout>30</session-timeout>
        </session-config>
        <security-constraint>
            <web-resource-collection>
                <web-resource-name>Basic Authorization</web-resource-name>
                <description/>
                <url-pattern>/resources/*</url-pattern>
            </web-resource-collection>
            <auth-constraint>
                <role-name>SECRET</role-name>
            </auth-constraint>
        </security-constraint>
        <login-config>
            <auth-method>BASIC</auth-method>
            <realm-name>file</realm-name>
        </login-config>
        <error-page>
            <exception-type>java.lang.Throwable</exception-type>
            <location>/error/internal</location>
        </error-page>
        <security-role>
            <role-name>SECRET</role-name>
        </security-role>
    </web-app>

的glassfish-web.xml中:

    <?xml version="1.0" encoding="UTF-8"?>
    <!DOCTYPE glassfish-web-app PUBLIC "-//GlassFish.org//DTD GlassFish Application Server 3.1 Servlet 3.0//EN" "http://glassfish.org/dtds/glassfish-web-app_3_0-1.dtd">
    <glassfish-web-app error-url="">
        <class-loader delegate="true"/>
        <security-role-mapping>
            <role-name>SECRET</role-name>
            <group-name>cia</group-name>
        </security-role-mapping>
        <jsp-config>
            <property name="keepgenerated" value="true">
                <description>Keep a copy of the generated servlet class' java code.</description>
            </property>
        </jsp-config>
    </glassfish-web-app>

beans.xml中:

    <?xml version="1.0" encoding="UTF-8"?>
    <beans xmlns="http://xmlns.jcp.org/xml/ns/javaee"
   xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
   xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee http://xmlns.jcp.org/xml/ns/javaee/beans_1_1.xsd"
   bean-discovery-mode="all">
    </beans>

1 个答案:

答案 0 :(得分:3)

从表面上看,这不是泽西岛的问题。您配置的唯一真正的安全性是在servlet容器级别。您的Jersey安全注释都没有任何效果,因为您甚至没有为它配置Jersey特定的支持。

首先看看你的web.xml配置

<security-constraint>
    <web-resource-collection>
        <web-resource-name>Basic Authorization</web-resource-name>
        <description/>
        <url-pattern>/resources/*</url-pattern>
    </web-resource-collection>
    <auth-constraint>
        <role-name>SECRET</role-name>
    </auth-constraint>
</security-constraint>

第一部分设置每个资源都需要身份验证。所以认为@PermitAll无法正常工作的问题,实际上是由于您将servlet配置为不让任何人通过它而未经过身份验证的事实。

然后在servlet容器级别设置授权,仅允许具有SECRET角色的用户。因此,您在web.xml中配置了所有安全配置。与泽西没什么关系。

解决这个问题需要了解的另一件事是身份验证和授权之间的区别,以及谁在(在servlet容器和Jersey方面)扮演角色。

@PermitAll@RolesAllowed等只是泽西岛处理授权的方式。预计已经有一个经过身份验证的用户。 Jersey如何检查这是通过从servlet请求获取主体。如果没有委托人,那么假设没有经过身份验证的用户,那么即使您有@PermitAll,也不允许任何人通过,因为偶数@PermitAll要求要进行身份验证的用户。

话虽如此,我不知道是否有办法在您的服务器中设置匿名用户。这是获得所需行为所需的。请记住,Jersey仍然需要有经过身份验证的用户。因此,除非您能以某种方式在容器上设置匿名用户,否则我认为您无法使其正常工作。

如果你有不同的路径用于安全和不安全,那么你可以在web.xml中配置安全路径,其他一切都放手。有了这个,甚至不需要@PermitAll。请记住,对于@PermitAll,它需要经过身份验证的用户。但是,如果您只删除@PermitAll,那么所有请求都会通过。如果您将安全路径和非安全路径之间的路径分开,则可以实现这一点。

如果您想要更好地控制所有这些,那么最好不要使用servlet容器来实现自己的安全性。通常我不建议这样做,但基本身份验证可能是最容易实现的安全协议。您可以查看this example,其中所有内容都使用泽西过滤器完成。

最后要注意的是,您甚至没有为Jersey配置授权支持。您仍然需要在应用程序中注册RolesAllowedDynamicFeature。由于您正在为JAX-RS配置使用类路径扫描(空Application类),因此您需要从Feature注册它,如this post中所述