如何在Java中使用Jersey安全性注释绕过Servlet过滤器中的路径
我已经使用Jersey实现了REST服务。为了让更多的安全,我加入了球衣安全注解为REST方法(@PermitAll,@DenyAll)。
以下是我的示例REST服务:
@GET
@Path("/getall")
@Produces(MediaType.APPLICATION_JSON)
@PermitAll
public String getChartSupportedData(@QueryParam("items") int result) {
// my code goes here
}
但是问题是,以前我使用javax.servlet.Filter过滤器来验证URI。
web.xml:
<filter>
<filter-name>ApplicationFilter</filter-name>
<filter-class>web.filter.ApplicationFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>ApplicationFilter</filter-name>
<url-pattern>/rest/api/*</url-pattern>
<dispatcher>REQUEST</dispatcher>
<dispatcher>ASYNC</dispatcher>
</filter-mapping>
根据访问某些REST服务,HttpServletRequest应包含一个有效的令牌(由应用程序生成)。
某些REST端点不需要令牌即可访问服务。在这种情况下,我必须绕过过滤器的实现:
private static String[] bypassPaths = { "/data/getall" };
所以我的要求是这样的。
如果我们声明了某个REST端点,则@PermitAll该路径不应在filter中声明为旁路路径,这样任何人都可以使用有效令牌来访问它。
但是问题在于,当请求进入服务器时,过滤器始终在过滤;如果不在旁路数组中,则即使我声明为,请求也不会继续@PermitAll。
我想知道是否可以在同一Web应用程序中结合使用这两个安全选项。
问题答案:
由于您正在执行身份验证和/或授权,因此我建议您使用名称绑定过滤器来代替servlet过滤器,以便您可以轻松地将它们绑定到所需的资源。
要将过滤器绑定到您的REST端点,JAX-
RS提供了元注释@NameBinding,可以如下使用:
@NameBinding
@Retention(RUNTIME)
@Target({TYPE, METHOD})
public @interface Secured { }
该@Secured注释将被用来装饰一个过滤器类,它实现ContainerRequestFilter,让您处理请求。
在ContainerRequestContext帮助你提取HTTP请求信息(更多详情,看看该ContainerRequestContextAPI):
@Secured
@Provider
@Priority(Priorities.AUTHENTICATION)
public class SecurityFilter implements ContainerRequestFilter {
@Override
public void filter(ContainerRequestContext requestContext) throws IOException {
// Use the ContainerRequestContext to extract information from the HTTP request
// Information such as the URI, headers and HTTP entity are available
}
}
ContainerRequestFilter#filter()如果用户未通过身份验证/授权,则该方法是中止请求的好地方。为此,您可以使用ContainerRequestContext#abortWith()或引发异常。
该@Provider注释标记的扩展接口,应该由JAX-
RS是可发现的实现过程中提供扫描相运行时。
要将过滤器绑定到端点方法或类,请使用@Secured上面创建的注释对它们进行 注释。对于带有注释的方法和/或类,将执行过滤器。
@Path("/")
public class MyEndpoint {
@GET
@Path("{id}")
@Produces("application/json")
public Response myUnsecuredMethod(@PathParam("id") Long id) {
// This method is not annotated with @Secured
// The security filter won't be executed before invoking this method
...
}
@DELETE
@Secured
@Path("{id}")
@Produces("application/json")
public Response mySecuredMethod(@PathParam("id") Long id) {
// This method is annotated with @Secured
// The security filter will be executed before invoking this method
...
}
}
在上面的示例中,安全过滤器仅针对进行执行,mySecuredMethod(Long)因为它带有注释@Secured。
您可以根据需要为REST端点设置任意数量的过滤器。为了确保过滤器的执行顺序,请使用注释它们@Priority。
强烈建议使用Priorities该类中定义的值之一(将使用以下顺序):
AUTHENTICATIONAUTHORIZATIONENTITY_CODERHEADER_DECORATORUSER
如果您的过滤器未使用注释@Priority,则将USER优先执行过滤器。
您可以将此方法与Jersey安全机制结合使用。
此外,你可以注入ResourceInfo你的ContainerRequestFilter:
@Context
private ResourceInfo resourceInfo;
它可以用来获取Method并Class与请求的URL匹配:
Class<?> resourceClass = resourceInfo.getResourceClass();
Method resourceMethod = resourceInfo.getResourceMethod();
并从中提取注释:
Annotation[] annotations = resourceClass.getDeclaredAnnotations();
PermitAll annotation = resourceMethod.getAnnotation(PermitAll.class);
-
这可能起作用,但由于某种原因,数据基本上是空的。我猜原因是因为过滤器不起作用。 我不太清楚如何包装Servlet过滤器,因为它们与Jersey ContainerRequestFilter期望不同的输入和输出。JerseyConfig中的以下实现似乎什么也不做,因为日志没有指示筛选器正在注册,而且在调试模式下不能中断这些文件中的行。
-
问题内容: 但是我使用的是Java Jersey2.4,找不到ResourceFilterFactory或ResourceFilter类的任何标志。该文档也没有提及它们。它们是否已被弃用,或者它们是否真的隐藏得很好?如果已弃用它们,我该怎么用呢?泽西岛2.4和2.5现在是否可以从ContainerRequestFilter获取资源注释? 谢谢 问题答案: 如果要基于资源方法/类上可用的注释来修改请
-
我希望我的服务只对传入的POST/PUT/DELETE请求执行身份验证,而对任何GET请求都绕过它。低于3.1的Spring版本具有“filters=“none”属性,可用于绕过特定URL模式的所有安全过滤器。在3.1中,不推荐使用“filters=“none”,替代解决方案是对“http”元素使用“security=“none”属性。这不支持基于传入的请求类型(GET/PUT/POST/DELE
-
问题内容: 我的应用程序中有2个过滤器。根据某些条件,我想选择是否执行第二个过滤器。有没有办法做到这一点? 我做了一些谷歌搜索,但没有成功。我希望请求继续执行而不执行第二个过滤器。那可能吗? 任何帮助将不胜感激。 问题答案: 您可以在请求中设置一个属性,然后在第二个过滤器中对其进行检查。 您可以像这样简化上面的代码: 这样,您只需检查属性“ executeSecondFilter”的存在
-
问题内容: 如果我们在WAR自己中定义特定于Webapp的servlet过滤器,则过滤器的执行顺序将与中定义的顺序相同。 但是,如果我们使用@WebFilter批注定义这些过滤器,那么过滤器的执行顺序是什么,如何确定执行顺序? 问题答案: 您确实不能使用注释定义过滤器执行顺序。但是,为了最大程度地减少使用量,仅用a注释所有过滤器就足够了,这样您就不需要定义,而只需按所需顺序定义即可。 例如, 与w
-
简要描述 关于反射型的基本东西,暂时就到这啦,如果后面有什么好的 case,再做增补。最近,有些人会问到怎么绕过浏览器的 XSS 过滤 器,所以从这节开始,给出点绕过的例子。当然这些绕过浏览器的方法,不是万能的。不同浏览器,不同场景都会存在差异。满足场景 要求时,才可以使用。 此文给出的是一个来自 sogili 分享的 chrome 下绕过过滤器的方法,在腾讯某处 XSS 上的应用。 这一类都算是