当您尝试实现 REST 时,有 2 件事。一个是身份验证(似乎你已经让它工作了),另一个是授权(我相信你的问题是什么)。
我之前在dropwizard中处理它的方式是,对于每个用户登录,您将某种access_token(这证明他们已通过身份验证)返回给客户端,这些access_token必须在他们作为某个标头的一部分进行的每次连续调用中返回(通常这是通过“授权”标头完成的)。在服务器端,您必须先保存/映射此access_token,然后再将其返回到客户端,并且当使用该access_token进行所有连续调用时,您可以查找与该access_token映射的用户,并确定该用户是否有权访问该资源。现在举个例子:
1) 用户使用 /myapp/signin 登录
2)您对用户进行身份验证并发回access_token作为响应,同时将相同的内容保存在您的一侧,例如,access_token --> userIdABCD
3)客户端返回到/myapp/{username}/getstuff。如果客户端未提供“授权”标头以及您提供给他们的access_token,则应立即返回 401 未经授权的代码。
4) 如果客户端确实提供了access_token,则可以根据您在步骤 # 2 中保存access_token查找用户,并检查该 userId 是否有权访问该资源 not。如果没有,则返回 401 未经授权的代码,如果它确实具有访问权限,则返回实际数据。
现在是“授权”标头部分。您可以使用“@Context HttpServletRequest hsr”参数在所有调用中访问“Authoroziation”标头,但是在每次调用中添加该参数是否有意义?不,它没有。这就是安全筛选器在 dropwizard 中提供帮助的地方。下面是如何添加安全筛选器的示例。
public class SecurityFilter extends OncePerRequestFilter{
@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException{
String accessToken = request.getHeader("Authorization");
// Do stuff here based on the access token (check for user's authorization to the resource ...
}
现在,此安全筛选器真正保护了哪些资源?为此,您需要将此筛选器添加到要保护的特定资源中,可以按如下方式完成:
environment.addFilter(SecurityFilter, "/myapp/*");
请记住,您的网址/myapp/signin和/myapp/{username}/getstuff都将通过此安全过滤器,但是,/myapp/signin不会有access_token,显然是因为您尚未向客户端提供任何权限。这必须在过滤器本身中处理,例如:
String url = request.getRequestURL().toString();
if(url.endsWith("signin"))
{
// Don't look for authorization header, and let the filter pass without any checks
}
else
{
// DO YOUR NORMAL AUTHORIZATION RELATED STUFF HERE
}
要保护的 URL 将取决于 URL 的结构以及要保护的内容。您设计的 URL 越好,就越容易编写安全筛选器来保护它们,添加此安全筛选器后,流程将如下所示:
1) 用户转到 /myapp/signin。调用将通过过滤器,并且由于该“if”语句,它将继续到您的实际资源/myapp/signin,并且您将根据成功的身份验证分配access_token
2) 用户使用access_token调用 /myapp/{用户名}/mystuff。此调用将经过相同的安全筛选器,并将通过您实际执行授权的“else”语句。如果授权通过,则将继续调用您实际的资源处理程序,如果未获得授权,则应返回 401。
public class SecurityFilter extends OncePerRequestFilter
{
@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException
{
String url = request.getRequestURL().toString();
String accessToken = request.getHeader("Authorization");
try
{
if (accessToken == null || accessToken.isEmpty())
{
throw new Exception(Status.UNAUTHORIZED.getStatusCode(), "Provided access token is either null or empty or does not have permissions to access this resource." + accessToken);
}
if (url.endsWith("/signin"))
{
//Don't Do anything
filterChain.doFilter(request, response);
}
else
{
//AUTHORIZE the access_token here. If authorization goes through, continue as normal, OR throw a 401 unaurhtorized exception
filterChain.doFilter(request, response);
}
}
catch (Exception ex)
{
response.setStatus(401);
response.setCharacterEncoding("UTF-8");
response.setContentType(MediaType.APPLICATION_JSON);
response.getWriter().print("Unauthorized");
}
}
}
我希望这有帮助!我花了大约2天的时间才自己弄清楚!
