JAX-RS：如何保护 REST 端点？

authentication rest java jax-rs jboss

2022-09-03 12:53:51

我正在使用和创建端点。JBoss ASJAX-RSREST

假设我的班级看起来像

@Path("/users")
public class UserResource {


  @GET
  public Response getAccount() {
    return "hello";
  }
}

现在目前尚未通过身份验证getAccount

想要
- 我想添加身份验证，以便在代码命中时对用户进行身份验证
- 我希望身份验证由注释而不是XML配置驱动，如果可能的话
- 我想做数据库比较以查看用户是否有效getAccount

问题
- 我从来没有这样做过，所以我不知道如何实现它
- 我已经谷歌了很多，发现了泽西岛的例子

更新
- 我想为每个请求发送身份验证凭据，并且不创建任何会话

请用一个简单的工作示例指导我，我会尝试从那里扩展

答案 1

您需要在 JAX RS 端点前面有一个无状态 Spring 安全配置。我已经解决了您要解决的确切问题，但我没有自己的代码可以分享。

这里有一个项目已经完成了你所要求的，一些智者为你做了这一切;)

https://github.com/philipsorst/angular-rest-springsecurity

有什么魔力？

您有一个不受保护的URL，用于进行身份验证，并设置用户角色。
然后你返回某种令牌，把它放在缓存中，每次后续调用时都会有预期。
在其他受保护资源上发出新请求时，您将检查缓存/会话存储中是否存在令牌（您需要一些机制来跟踪有效令牌）
如果令牌被重新发送且有效，您可以在Spring Security中进行编程登录，以确保您可以使用spring提供的所有安全功能（注释，JSTL标签等）！
一旦通过令牌验证，您将在控制器（又名JAX RS资源）中获得登录用户的详细信息，以进一步处理安全性。
如果令牌无效或不存在，它将被失败端点捕获，该端点将返回适当的响应（401）

请参阅以下链接，了解如何配置无状态弹簧安全..，https://github.com/philipsorst/angular-rest-springsecurity/blob/master/src/main/resources/context.xml

了解如何首次验证用户并生成令牌。https://github.com/philipsorst/angular-rest-springsecurity/blob/master/src/main/java/net/dontdrinkandroot/example/angularrestspringsecurity/rest/resources/UserResource.java

下面是在令牌检查后对每个请求执行编程登录的类。https://github.com/philipsorst/angular-rest-springsecurity/blob/master/src/main/java/net/dontdrinkandroot/example/angularrestspringsecurity/rest/AuthenticationTokenProcessingFilter.java

答案 2

我用下面的代码解决了这个问题。

注意一旦我这样做，令牌机制将更新

我已经通过修改我拥有的拦截器解决了这个问题，以下是代码

注解

@Inherited
@InterceptorBinding
@Target({ ElementType.TYPE, ElementType.METHOD })
@Retention(RetentionPolicy.RUNTIME)
public @interface SecurityChecked {

}

资源类

public class SecureResource {

    @GET
    @SecurityChecked
    public Response getUser() {
        return Response.ok("authenticated successfully!").build();
    }
}

拦截器类

@Interceptor
@Provider
@ServerInterceptor
@SecurityChecked
public class SecurityCheckInterceptor implements PreProcessInterceptor, AcceptedByMethod {
    private static final Logger LOGGER = LoggerFactory.getLogger(SecurityCheckInterceptor.class);

    @Nullable
    @Override
    public ServerResponse preProcess(final HttpRequest request, final ResourceMethod method) throws Failure, WebApplicationException {
        final List<String> authToken = request.getHttpHeaders().getRequestHeader("X-AUTH");

        if (authToken == null || !isValidToken(authToken.get(0))) {
            final ServerResponse serverResponse = new ServerResponse();
            serverResponse.setStatus(Response.Status.UNAUTHORIZED.getStatusCode());
            return serverResponse;
        }

        return null;
    }

    private static boolean isValidToken(@Nonnull final String authToken) {
        LOGGER.info("validating token: " + authToken);
        return true;
    }

    @SuppressWarnings("rawtypes")
    @Override
    public boolean accept(final Class declaring, final Method method) {
        // return declaring.isAnnotationPresent(SecurityChecked.class); // if annotation on class
        return method.isAnnotationPresent(SecurityChecked.class);
    }
}

然后，我通过在 JBoss 中部署资源类并在命令行上发出以下命令来运行集成测试

curl --header 'X-AUTH: 1a629d035831feadOOO4uFReLyEW8aTmrCS' http://localhost:8080/market-1.0-SNAPSHOT/rest/login
curl --header 'InvalidHeader: InvalidHeaderValue' http://localhost:8080/market-1.0-SNAPSHOT/rest/login