Джерси, Tomcat и аннотации безопасности

Question

Мне нужно обеспечить простой Jersey RESTful API в контейнере Tomcat 6.0.24. Я хотел бы сохранить аутентификацию с базовой аутентификацией, используя файл tomcat-users.xml для определения пользователей и ролей (это пока, как я уже сказал, это мало).

Теперь для авторизации я бы хотел использовать аннотации JSR 250, такие как @RolesAllowed, @PermitAll, @DenyAll и т. Д.

Я не могу на всю жизнь понять, как соединить все это вместе.

Я действительно не хочу идти по пути Spring Security, поскольку мне нужно что-то очень простое в настоящее время.

Может ли кто-нибудь указать мне правильное направление?

Answer 1

Вы можете начать с использования фильтра, который сначала охватывает аутентификацию и управление привилегиями. с реализацией ResourceFilter и ContainerRequestFilter вы можете получить httpRequest, сессии, а затем перенаправить ваше приложение / запросы к связанным методам.

Для управления привилегиями вы можете реализовать фильтр SecurityContext. сначала нужно проверить isUserInRole, чтобы запрос прошел внутри метода.

Вот пример для реализации SecurityContext:

 public class SecurityContextImpl implements SecurityContext {

    private final SessionUser user;

    public SecurityContextImpl(SessionUser user) {
        this.user = user;
    }

    public Principal getUserPrincipal() {
        return user;
    }

    public boolean isUserInRole(String role) {

        if(user == null) {
            throw new AuthenticationException();
        }
        if(ObjectUtil.isNull(user.getPrivileges())){
            throw new AuthenticationException();
        }
        if(!user.getPrivileges().contains(role)) {
            throw new InvalidAuthorizationHeaderException();
        }
        return user.getPrivileges().contains(role);
    }

    public boolean isSecure() {
        return false;
    }

    public String getAuthenticationScheme() {
        return SecurityContext.BASIC_AUTH;
    }
}

Вот базовая реализация SecurityContextFilter:

    public class SecurityContextFilter implements ResourceFilter, ContainerRequestFilter {

    private static final Logger LOG = LoggerFactory.getLogger(SecurityContextFilter.class);

    protected static final String HEADER_AUTHORIZATION = "Authorization";

    protected static final String HEADER_DATE = "x-java-rest-date";

    protected static final String HEADER_NONCE = "nonce";


    private HttpServletRequest httpRequest;




    public SecurityContextFilter() {


    }


    public ContainerRequest filter(ContainerRequest request) {

        SessionUser sessionUser = (SessionUser) httpRequest
                .getSession()
                .getAttribute("sessionUser");

        request.setSecurityContext(new SecurityContextImpl(sessionUser));

        return request;
    }


    public ContainerRequestFilter getRequestFilter() {
        return this;
    }

    public ContainerResponseFilter getResponseFilter() {
        return null;
    }

    public HttpServletRequest getHttpRequest() {
        return httpRequest;
    }

    public void setHttpRequest(HttpServletRequest httpRequest) {
        this.httpRequest = httpRequest;
    }


}

Не забудьте поместить свой фильтр в качестве init-param внутри web.xml,

Затем вы можете обработать запрос с помощью вашей логики ролевой привилегии-аутентификации.