我相信我有基本的身份验证工作,但我不知道如何保护资源,以便只有在用户登录时才能访问它们.
public class SimpleAuthenticator implements Authenticator{ UserDAO userDao; public SimpleAuthenticator(UserDAO userDao) {this.userDao = userDao;} @Override public Optional authenticate(BasicCredentials credentials) throws AuthenticationException { User user = this.userDao.getUserByName(credentials.getUsername()); if (user!=null && user.getName().equalsIgnoreCase(credentials.getUsername()) && BCrypt.checkpw(credentials.getPassword(), user.getPwhash())) { return Optional.of(new User(credentials.getUsername())); } return Optional.absent(); } }
我的Signin资源是这样的:
@Path("/myapp") @Produces(MediaType.APPLICATION_JSON) public class UserResource { @GET @Path("/signin") public User signin(@Auth User user) { return user; } }
我签署了用户:
~/java/myservice $ curl -u "someuser" http://localhost:8080/myapp/signin Enter host password for user 'someuser': {"name":"someuser"}
题
假设用户使用/myapp/signin
端点从浏览器或本机移动应用程序前端登录.那么如何我可以保护另一个端点,比方说,/myapp/{username}/getstuff
它需要用户进行signedin
@GET @Path("/myapp/{username}/getstuff") public Stuff getStuff(@PathParam("username") String username) { //some logic here return new Stuff(); }
shahshi15.. 26
当您尝试实现REST时,有两件事情.一个是身份验证(似乎你已经使它工作)而另一个是授权(这是我相信你的问题).
之前我在dropwizard中处理它的方式是,在每个用户登录的情况下,你将某种access_token(这证明它们经过身份验证)返回给客户端,客户端必须在每次连续调用中返回它们作为某些部分的一部分.标题(通常这是通过"授权"标题完成的).在服务器端,您必须将此access_token保存/映射到该用户,然后再将其返回给客户端,并且当使用该access_token进行所有后续调用时,您将查找使用该access_token映射的用户并确定该用户是否有权访问该资源.现在举个例子:
1)用户使用/ myapp/signin登录
2)您对用户进行身份验证并发送一个access_token作为响应,同时保存在您身边,例如access_token - > userIdABCD
3)客户端返回/ myapp/{username}/getstuff.如果客户端未提供带有access_token的"Authorization"标头,则应立即返回401 Unauthorized代码.
4)如果客户端确实提供了access_token,您可以根据您在步骤#2中保存的access_token查找用户,并检查该userId是否可以访问该资源.如果没有,则返回401未授权代码,如果有访问权限,则返回实际数据.
现在来到"授权"标题部分.您可以使用"@Context HttpServletRequest hsr"参数访问所有调用中的"Authoroziation"标头,但是在每次调用中添加该参数是否有意义?不,不.这是安全过滤器在dropwizard中的帮助.这是一个如何添加安全过滤器的示例.
public class SecurityFilter extends OncePerRequestFilter{ @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException{ String accessToken = request.getHeader("Authorization"); // Do stuff here based on the access token (check for user's authorization to the resource ... }
现在,这个安全过滤器真正保护了哪些资源?为此,您需要将此过滤器添加到要保护的特定资源,可以按如下方式完成:
environment.addFilter(SecurityFilter, "/myapp/*");
请记住,你的urls/myapp/signin和/ myapp/{username}/getstuff都将通过这个安全过滤器,但是/ myapp/signin将没有access_token,显然是因为你没有给出任何到了客户端.必须在过滤器本身中处理,例如:
String url = request.getRequestURL().toString(); if(url.endsWith("signin")) { // Don't look for authorization header, and let the filter pass without any checks } else { // DO YOUR NORMAL AUTHORIZATION RELATED STUFF HERE }
您保护的URL将取决于您的网址结构以及您想要保护的内容.您设计的网址越好,编写安全过滤器以保护它们就越容易.添加此安全过滤器后,流程将如下所示:
1)用户转到/ myapp/signin.该调用将通过过滤器,并且由于该"if"语句,它将继续到/ myapp/signin的ACTUAL资源,您将根据成功的身份验证分配access_token
2)用户使用access_token拨打/ myapp/{username}/mystuff.此调用将通过相同的安全筛选器,并将通过您实际授权的"else"语句.如果授权通过,则调用将继续到您的实际资源处理程序,如果未授权,则应返回401.
public class SecurityFilter extends OncePerRequestFilter { @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { String url = request.getRequestURL().toString(); String accessToken = request.getHeader("Authorization"); try { if (accessToken == null || accessToken.isEmpty()) { throw new Exception(Status.UNAUTHORIZED.getStatusCode(), "Provided access token is either null or empty or does not have permissions to access this resource." + accessToken); } if (url.endsWith("/signin")) { //Don't Do anything filterChain.doFilter(request, response); } else { //AUTHORIZE the access_token here. If authorization goes through, continue as normal, OR throw a 401 unaurhtorized exception filterChain.doFilter(request, response); } } catch (Exception ex) { response.setStatus(401); response.setCharacterEncoding("UTF-8"); response.setContentType(MediaType.APPLICATION_JSON); response.getWriter().print("Unauthorized"); } } }
我希望这有帮助!我花了大约两天的时间来弄明白这一点!
当您尝试实现REST时,有两件事情.一个是身份验证(似乎你已经使它工作)而另一个是授权(这是我相信你的问题).
之前我在dropwizard中处理它的方式是,在每个用户登录的情况下,你将某种access_token(这证明它们经过身份验证)返回给客户端,客户端必须在每次连续调用中返回它们作为某些部分的一部分.标题(通常这是通过"授权"标题完成的).在服务器端,您必须将此access_token保存/映射到该用户,然后再将其返回给客户端,并且当使用该access_token进行所有后续调用时,您将查找使用该access_token映射的用户并确定该用户是否有权访问该资源.现在举个例子:
1)用户使用/ myapp/signin登录
2)您对用户进行身份验证并发送一个access_token作为响应,同时保存在您身边,例如access_token - > userIdABCD
3)客户端返回/ myapp/{username}/getstuff.如果客户端未提供带有access_token的"Authorization"标头,则应立即返回401 Unauthorized代码.
4)如果客户端确实提供了access_token,您可以根据您在步骤#2中保存的access_token查找用户,并检查该userId是否可以访问该资源.如果没有,则返回401未授权代码,如果有访问权限,则返回实际数据.
现在来到"授权"标题部分.您可以使用"@Context HttpServletRequest hsr"参数访问所有调用中的"Authoroziation"标头,但是在每次调用中添加该参数是否有意义?不,不.这是安全过滤器在dropwizard中的帮助.这是一个如何添加安全过滤器的示例.
public class SecurityFilter extends OncePerRequestFilter{ @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException{ String accessToken = request.getHeader("Authorization"); // Do stuff here based on the access token (check for user's authorization to the resource ... }
现在,这个安全过滤器真正保护了哪些资源?为此,您需要将此过滤器添加到要保护的特定资源,可以按如下方式完成:
environment.addFilter(SecurityFilter, "/myapp/*");
请记住,你的urls/myapp/signin和/ myapp/{username}/getstuff都将通过这个安全过滤器,但是/ myapp/signin将没有access_token,显然是因为你没有给出任何到了客户端.必须在过滤器本身中处理,例如:
String url = request.getRequestURL().toString(); if(url.endsWith("signin")) { // Don't look for authorization header, and let the filter pass without any checks } else { // DO YOUR NORMAL AUTHORIZATION RELATED STUFF HERE }
您保护的URL将取决于您的网址结构以及您想要保护的内容.您设计的网址越好,编写安全过滤器以保护它们就越容易.添加此安全过滤器后,流程将如下所示:
1)用户转到/ myapp/signin.该调用将通过过滤器,并且由于该"if"语句,它将继续到/ myapp/signin的ACTUAL资源,您将根据成功的身份验证分配access_token
2)用户使用access_token拨打/ myapp/{username}/mystuff.此调用将通过相同的安全筛选器,并将通过您实际授权的"else"语句.如果授权通过,则调用将继续到您的实际资源处理程序,如果未授权,则应返回401.
public class SecurityFilter extends OncePerRequestFilter { @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { String url = request.getRequestURL().toString(); String accessToken = request.getHeader("Authorization"); try { if (accessToken == null || accessToken.isEmpty()) { throw new Exception(Status.UNAUTHORIZED.getStatusCode(), "Provided access token is either null or empty or does not have permissions to access this resource." + accessToken); } if (url.endsWith("/signin")) { //Don't Do anything filterChain.doFilter(request, response); } else { //AUTHORIZE the access_token here. If authorization goes through, continue as normal, OR throw a 401 unaurhtorized exception filterChain.doFilter(request, response); } } catch (Exception ex) { response.setStatus(401); response.setCharacterEncoding("UTF-8"); response.setContentType(MediaType.APPLICATION_JSON); response.getWriter().print("Unauthorized"); } } }
我希望这有帮助!我花了大约两天的时间来弄明白这一点!