如何在Dropwizard中进行资源的基本身份验证
我相信我可以使用基本身份验证,但是我不确定如何保护资源,以便仅在用户登录时才能访问它们。
public class SimpleAuthenticator implements Authenticator<BasicCredentials, User> {
UserDAO userDao;
public SimpleAuthenticator(UserDAO userDao) {this.userDao = userDao;}
@Override
public Optional<User> authenticate(BasicCredentials credentials) throws AuthenticationException
{
User user = this.userDao.getUserByName(credentials.getUsername());
if (user!=null &&
user.getName().equalsIgnoreCase(credentials.getUsername()) &&
BCrypt.checkpw(credentials.getPassword(), user.getPwhash())) {
return Optional.of(new User(credentials.getUsername()));
}
return Optional.absent();
}
}
我的登录资源是这样的:
@Path("/myapp")
@Produces(MediaType.APPLICATION_JSON)
public class UserResource {
@GET
@Path("/signin")
public User signin(@Auth User user) {
return user;
}
}
我用以下方式签署用户:
~/java/myservice $ curl -u "someuser" http://localhost:8080/myapp/signin
Enter host password for user 'someuser':
{"name":"someuser"}
题
假设用户使用/myapp/signin端点从浏览器或本机移动应用程序前端登录。那么如何我可以保护另一个端点,比方说,/myapp/{username}/getstuff它
要求用户要signedin
@GET
@Path("/myapp/{username}/getstuff")
public Stuff getStuff(@PathParam("username") String username) {
//some logic here
return new Stuff();
}
问题答案:
尝试实现REST时有两件事。一个是身份验证(似乎已经可以使用),另一个是授权(我相信您的问题是)。
我之前在dropwizard中处理它的方式是,每次用户登录时,您都将某种access_token(证明他们已通过身份验证)返回给客户端,客户端必须在每次进行的每次连续调用中将它们返回给客户端标头(通常是通过“授权”标头完成的)。在服务器端,您必须先将此access_token保存/映射到该用户,然后再将其返回给客户端,并且当使用该access_token进行所有后续调用时,您需要查找与该access_token映射的用户,并确定该用户是否是否有权访问该资源。现在来看一个例子:
1)用户使用/ myapp / signin登录
2)您对用户进行身份验证并发送access_token作为响应,同时将其保存在您的身边,例如access_token-> userIdABCD
3)客户端返回到/ myapp / {用户名} / getstuff。如果客户端没有为您提供的access_token提供“
Authorization”标头,则应立即返回401未经授权的代码。
4)如果客户端确实提供了access_token,则可以基于您在步骤2中保存的access_token查找用户,并检查userId是否有权访问该资源。如果没有,则返回401未经授权的代码,如果它具有访问权限,则返回实际数据。
现在是“授权”标题部分。您可以使用“ @Context HttpServletRequest hsr”参数访问所有调用中的“
Authoroziation”标头,但是在每个调用中添加该参数有意义吗?不,不是。这是安全筛选器在dropwizard中提供帮助的地方。这是有关如何添加安全过滤器的示例。
public class SecurityFilter extends OncePerRequestFilter{
@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException{
String accessToken = request.getHeader("Authorization");
// Do stuff here based on the access token (check for user's authorization to the resource ...
}
现在,此安全筛选器真正保护哪些资源?为此,您需要将此过滤器添加到要保护的特定资源中,可以按照以下步骤进行操作:
environment.addFilter(SecurityFilter, "/myapp/*");
请记住,这里的URLs / myapp / signin和/ myapp / {username} / getstuff都将通过此安全筛选器,但是/
myapp / signin将没有access_token,显然是因为您没有提供任何给客户呢。必须在过滤器本身中进行处理,例如:
String url = request.getRequestURL().toString();
if(url.endsWith("signin"))
{
// Don't look for authorization header, and let the filter pass without any checks
}
else
{
// DO YOUR NORMAL AUTHORIZATION RELATED STUFF HERE
}
您要保护的URL将取决于您的URL的结构和要保护的内容。您设计的网址越好,编写用于保护它们的安全过滤器就越容易。添加此安全过滤器后,流程将如下所示:
1)用户转到/ myapp / signin。该调用将通过过滤器,由于该“ if”语句,它将继续使用/ myapp /
signin的ACTUAL资源,并且您将基于成功的身份验证分配一个access_token
2)用户使用access_token呼叫/ myapp / {username} / mystuff。该调用将通过相同的安全筛选器,并通过“
else”语句进行实际授权。如果授权通过,则调用将继续向您发送实际的资源处理程序,如果未授权,则应返回401。
public class SecurityFilter extends OncePerRequestFilter
{
@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException
{
String url = request.getRequestURL().toString();
String accessToken = request.getHeader("Authorization");
try
{
if (accessToken == null || accessToken.isEmpty())
{
throw new Exception(Status.UNAUTHORIZED.getStatusCode(), "Provided access token is either null or empty or does not have permissions to access this resource." + accessToken);
}
if (url.endsWith("/signin"))
{
//Don't Do anything
filterChain.doFilter(request, response);
}
else
{
//AUTHORIZE the access_token here. If authorization goes through, continue as normal, OR throw a 401 unaurhtorized exception
filterChain.doFilter(request, response);
}
}
catch (Exception ex)
{
response.setStatus(401);
response.setCharacterEncoding("UTF-8");
response.setContentType(MediaType.APPLICATION_JSON);
response.getWriter().print("Unauthorized");
}
}
}
我希望这有帮助!花了我大约2天的时间自己弄清楚!
-
问题内容: 我正在尝试使用Jersey 1.X版本连接到安全的外部休息服务。 我用下面的代码 但是我一直在碰这个例外。 我检查了此外部Rest服务的API,它说它支持基本HTTP身份验证,但我不知道为什么我一直遇到此错误。 有什么想法吗? 问题答案: 由于基本身份验证本身缺乏安全性,因此通常通过SSL来完成,如您在URL 的架构中所见。使用SSL时,会使用证书。SSL握手由服务器发送其证书和客户端
-
我正在尝试用.NET中的LDAP制作一个简单的身份验证系统。我检查了.NET中的一些名称空间,并简单地制作了标准代码片段,如下所示。 我有一个管理员用户名和密码和,用于对客户端应用程序进行身份验证。我有第二个用户名和密码和,需要在LDAP中检查才能登录。 是管理帐户,只是LDAP中的用户。那么如何检查的密码呢?
-
我一直试图用restTemplate传递基本身份验证,但它甚至没有将身份验证头传递给服务器。下面是我使用的bean定义` `
-
问题内容: 我目前正在尝试使用HTTP和HTTPS访问URL。我尝试访问的URL需要基本身份验证。使用HTTP可以正常工作,但是使用HTTPS则不能。我不确定是否需要使用HTTPS添加其他内容。该URL应该返回给我的文本是键值格式,可以加载到对象中。 这是到目前为止我尝试过的代码。 这是证书类别 当我删除所有证书代码(以及证书代码)时的错误消息: 问题答案: 问题似乎是由于在更改连接的和实例之前打
-
我已经开发了一个SpringMVCRest服务在谷歌应用程序引擎与Spring安全3.1. 由于该服务将只适用于我的其他应用程序,我有一个基本的身份验证设置与预定义的用户名和密码。 现在,我有一个客户端开发与RestTem板。但是,我无法找到一种方法来安全地访问我的服务与用户名和密码,通过RestTem板发送。 我已经浏览了很多文章,但大多数都是使用Apache HttpClient(不支持谷歌a
-
问题内容: 我试图模仿Java中此curl命令的功能: 我使用Commons HttpClient 3.0编写了以下内容,但最终还是从服务器上获取了一个。有人可以告诉我我做错了什么吗? 我后来尝试了Commons HttpClient 4.0.1,但仍然遇到相同的错误: 问题答案: 好的,这样可以工作。万一有人想要它,这是对我有用的版本:)