@RolesAllowed对我的RESTful服务没有影响

Question

我在设置安全的REST服务时遇到了一些麻烦。 我想创建一个简单的登录/注销服务并乱用它。

我正在学习本教程。我使用登录表单跳过了部分，并将用户名和密码硬编码到服务中。 （登录（）） http://www.blog.btbw.pl/java/wildfly-9-login-form-simple-example/

在我想使用注释@RolesAllowed之前，一切正常。 所以我用这个注释创建了一个新方法（adminInfo（））。但我得出结论，注释没有区别。我能够成功调用它而无需使用“ADMIN”角色登录。

也许你们其中一个聪明的人知道我做错了什么并且能够帮助我。对不起我的语法不好，我不习惯用英语写这么多。

谢谢。

这些是我的文件：

我正在使用一个简单的服务，如下所示：

@Context
private HttpServletRequest request;

@GET
@Path("/hello")
public Response hello() {
    return Response.ok().entity("Hello, World!").build();
}

@GET
@Path("/logout")
@RolesAllowed("ADMIN")
public Response adminInfo() {
    return Response.ok().entity("hello " + request.getUserPrincipal().getName()).build();
}

@POST
@Path("/login")
public Response login() {
    try {
        request.login("admin", "admin");
        return Response.ok().entity("login successful").build();

    } catch (Exception e) {
        return Response.status(Status.BAD_REQUEST).entity("login failed").build();
    }
}

@GET
@Path("/logout")
@RolesAllowed("ADMIN")
public Response logout() {
    try {
        request.logout();
        return Response.ok().entity("logout successful").build();

    } catch (Exception e) {
        return Response.status(Status.BAD_REQUEST).entity("logout failed").build();
    }
}

我的jboss-web.xml看起来像这样：

<jboss-web>
    <context-root>/</context-root>
    <security-domain>jaas-realm</security-domain>
</jboss-web>

我的web.xml如下所示：

<web-app>
    <security-constraint>
        <web-resource-collection>
            <web-resource-name>Authentication</web-resource-name>
            <url-pattern>/*</url-pattern>
            <http-method>GET</http-method>
            <http-method>POST</http-method>
        </web-resource-collection>
        <auth-constraint>
            <role-name>ADMIN</role-name>
        </auth-constraint>
    </security-constraint>

    <login-config>
        <auth-method>BASIC</auth-method>
        <realm-name>jaas-realm</realm-name>
    </login-config>

    <security-role>
        <role-name>ADMIN</role-name>
    </security-role>
</web-app>

我的Wildfly standalone.xml配置如下：

<security-domain name="jaas-realm" cache-type="default">
    <authentication>
        <login-module name="login-module" code="Database" flag="required">
            <module-option name="dsJndiName" value="java:/datasource"/>
            <module-option name="principalsQuery" value="select password from users where username=?"/>
            <module-option name="rolesQuery" value="select rolename, 'Roles' from roles where username=?"/>
            <module-option name="hashAlgorithm" value="SHA-256"/>
            <module-option name="hashEncoding" value="base64"/>
            <module-option name="unauthenticatedIdentity" value="guest"/>
        </login-module>
    </authentication>
</security-domain>

Answer 1

您已经定义了两个与@Path相同路径的资源（＆＃34; / logout＆＃34;）。资源由其PATH唯一标识。请有不同的路径并尝试

Answer 2

我终于成功了。我不得不将注释@Stateless添加到我的服务中。 感谢5年前的帖子： JAX-WS webservice and @rolesAllowed

我无法在Google上找到解决方案，但在Stackoverflow上只需5分钟就可以了：）