Question

我有一个注册端点，我只希望匿名用户能够访问。换句话说，我只希望未经过身份验证的用户能够POST到端点。这样做的最佳方法是什么？

@Path("/accounts")
public class AccountResource {

    @Inject
    private AccountService accountService;

    @DenyAll
    @POST
    public void register(CreateAccountJson account) {
        try {
            accountService.registerUserAndCreateAccount(account.getEmail(),
                account.getPassword());
        } catch (RegistrationException e) {
            throw new BadRequestException(e.getMessage());
        }
    }
}

Answer 1

没有这样的注释。这个用例并不真正适合授权的语义。您可以使用的一种方法是注入SecurityContext。只需检查是否有Principal。如果没有，则没有经过身份验证的用户。如果有，那么你可以发送404

@POST
public void register(@Context SecurityContext context, CreateAccountJson account) {

    if (context.getUserPrincipal() != null) {
        throw new NotFoundException();
    }
    ...
}

更新

如果你有很多像这样的资源方法，那么使用名称绑定的过滤器可能会更好。例如

@Target({ ElementType.TYPE, ElementType.METHOD })
@Retention(RetentionPolicy.RUNTIME)
public @interface NonAuthenticated {}

@NonAuthenticated
// Perform before normal authorization filter
@Priority(Priorities.AUTHORIZATION - 1)
public class NonAuthenticatedCheckFilter implements ContainerRequestFilter {

    @Override
    public void filter(ContainerRequestContext request) {
        final SerurityContext context = request.getSecurityContext();
        if (context.getUserPrincipal() != null) {
            throw new ForbiddenException();
        }
    }
}

@POST
@NonAuthenticated
public void register(CreateAccountJson account) { }

// register the Dw
environment.jersey().register(NonAuthenticatedCheckFilter.class);

有关泽西岛过滤器的详细信息，请参阅泽西岛文档中的Filter and Interceptors。

可以使用Jersey安全注释来允许匿名访问端点？

1 个答案:

更新