当前位置: 首页 > 面试题库 >

如何在Java中使用Jersey安全性注释绕过Servlet过滤器中的路径

燕实
2023-03-14
问题内容

我已经使用Jersey实现了REST服务。为了让更多的安全,我加入了球衣安全注解为REST方法(@PermitAll@DenyAll)。

以下是我的示例REST服务:

@GET
@Path("/getall")
@Produces(MediaType.APPLICATION_JSON)
@PermitAll
public String getChartSupportedData(@QueryParam("items") int result) {
    // my code goes here
}

但是问题是,以前我使用javax.servlet.Filter过滤器来验证URI。

web.xml:

<filter>
    <filter-name>ApplicationFilter</filter-name>
    <filter-class>web.filter.ApplicationFilter</filter-class>
</filter>
<filter-mapping>
       <filter-name>ApplicationFilter</filter-name>
       <url-pattern>/rest/api/*</url-pattern>
       <dispatcher>REQUEST</dispatcher>
       <dispatcher>ASYNC</dispatcher>           
</filter-mapping>

根据访问某些REST服务,HttpServletRequest应包含一个有效的令牌(由应用程序生成)。

某些REST端点不需要令牌即可访问服务。在这种情况下,我必须绕过过滤器的实现:

private static String[] bypassPaths = { "/data/getall" };

所以我的要求是这样的。

如果我们声明了某个REST端点,则@PermitAll该路径不应在filter中声明为旁路路径,这样任何人都可以使用有效令牌来访问它。

但是问题在于,当请求进入服务器时,过滤器始终在过滤;如果不在旁路数组中,则即使我声明为,请求也不会继续@PermitAll

我想知道是否可以在同一Web应用程序中结合使用这两个安全选项。


问题答案:

由于您正在执行身份验证和/或授权,因此我建议您使用名称绑定过滤器来代替servlet过滤器,以便您可以轻松地将它们绑定到所需的资源。

要将过滤器绑定到您的REST端点,JAX-
RS提供了元注释@NameBinding,可以如下使用:

@NameBinding
@Retention(RUNTIME)
@Target({TYPE, METHOD})
public @interface Secured { }

@Secured注释将被用来装饰一个过滤器类,它实现ContainerRequestFilter,让您处理请求。

ContainerRequestContext帮助你提取HTTP请求信息(更多详情,看看该ContainerRequestContextAPI):

@Secured
@Provider
@Priority(Priorities.AUTHENTICATION)
public class SecurityFilter implements ContainerRequestFilter {

    @Override
    public void filter(ContainerRequestContext requestContext) throws IOException {
        // Use the ContainerRequestContext to extract information from the HTTP request
        // Information such as the URI, headers and HTTP entity are available
    }
}

ContainerRequestFilter#filter()如果用户未通过身份验证/授权,则该方法是中止请求的好地方。为此,您可以使用ContainerRequestContext#abortWith()或引发异常。

@Provider注释标记的扩展接口,应该由JAX-
RS是可发现的实现过程中提供扫描相运行时。

要将过滤器绑定到端点方法或类,请使用@Secured上面创建的注释对它们进行 注释。对于带有注释的方法和/或类,将执行过滤器。

@Path("/")
public class MyEndpoint {

    @GET
    @Path("{id}")
    @Produces("application/json")
    public Response myUnsecuredMethod(@PathParam("id") Long id) {
        // This method is not annotated with @Secured
        // The security filter won't be executed before invoking this method
        ...
    }

    @DELETE
    @Secured
    @Path("{id}")
    @Produces("application/json")
    public Response mySecuredMethod(@PathParam("id") Long id) {
        // This method is annotated with @Secured
        // The security filter will be executed before invoking this method
        ...
    }
}

在上面的示例中,安全过滤器仅针对进行执行,mySecuredMethod(Long)因为它带有注释@Secured

您可以根据需要为REST端点设置任意数量的过滤器。为了确保过滤器的执行顺序,请使用注释它们@Priority

强烈建议使用Priorities该类中定义的值之一(将使用以下顺序):

  • AUTHENTICATION
  • AUTHORIZATION
  • ENTITY_CODER
  • HEADER_DECORATOR
  • USER

如果您的过滤器未使用注释@Priority,则将USER优先执行过滤器。

您可以将此方法与Jersey安全机制结合使用。

此外,你可以注入ResourceInfo你的ContainerRequestFilter

    @Context
    private ResourceInfo resourceInfo;

它可以用来获取MethodClass与请求的URL匹配:

    Class<?> resourceClass = resourceInfo.getResourceClass();
    Method resourceMethod = resourceInfo.getResourceMethod();

并从中提取注释:

    Annotation[] annotations = resourceClass.getDeclaredAnnotations();
    PermitAll annotation = resourceMethod.getAnnotation(PermitAll.class);


 类似资料:
  • 这可能起作用,但由于某种原因,数据基本上是空的。我猜原因是因为过滤器不起作用。 我不太清楚如何包装Servlet过滤器,因为它们与Jersey ContainerRequestFilter期望不同的输入和输出。JerseyConfig中的以下实现似乎什么也不做,因为日志没有指示筛选器正在注册,而且在调试模式下不能中断这些文件中的行。

  • 问题内容: 但是我使用的是Java Jersey2.4,找不到ResourceFilterFactory或ResourceFilter类的任何标志。该文档也没有提及它们。它们是否已被弃用,或者它们是否真的隐藏得很好?如果已弃用它们,我该怎么用呢?泽西岛2.4和2.5现在是否可以从ContainerRequestFilter获取资源注释? 谢谢 问题答案: 如果要基于资源方法/类上可用的注释来修改请

  • 我希望我的服务只对传入的POST/PUT/DELETE请求执行身份验证,而对任何GET请求都绕过它。低于3.1的Spring版本具有“filters=“none”属性,可用于绕过特定URL模式的所有安全过滤器。在3.1中,不推荐使用“filters=“none”,替代解决方案是对“http”元素使用“security=“none”属性。这不支持基于传入的请求类型(GET/PUT/POST/DELE

  • 问题内容: 我的应用程序中有2个过滤器。根据某些条件,我想选择是否执行第二个过滤器。有没有办法做到这一点? 我做了一些谷歌搜索,但没有成功。我希望请求继续执行而不执行第二个过滤器。那可能吗? 任何帮助将不胜感激。 问题答案: 您可以在请求中设置一个属性,然后在第二个过滤器中对其进行检查。 您可以像这样简化上面的代码: 这样,您只需检查属性“ executeSecondFilter”的存在

  • 问题内容: 如果我们在WAR自己中定义特定于Webapp的servlet过滤器,则过滤器的执行顺序将与中定义的顺序相同。 但是,如果我们使用@WebFilter批注定义这些过滤器,那么过滤器的执行顺序是什么,如何确定执行顺序? 问题答案: 您确实不能使用注释定义过滤器执行顺序。但是,为了最大程度地减少使用量,仅用a注释所有过滤器就足够了,这样您就不需要定义,而只需按所需顺序定义即可。 例如, 与w

  • 简要描述 关于反射型的基本东西,暂时就到这啦,如果后面有什么好的 case,再做增补。最近,有些人会问到怎么绕过浏览器的 XSS 过滤 器,所以从这节开始,给出点绕过的例子。当然这些绕过浏览器的方法,不是万能的。不同浏览器,不同场景都会存在差异。满足场景 要求时,才可以使用。 此文给出的是一个来自 sogili 分享的 chrome 下绕过过滤器的方法,在腾讯某处 XSS 上的应用。 这一类都算是