Как сделать Аутентификацию Отдыха с JAX-RS - PullRequest
Новая
       27

Как сделать Аутентификацию Отдыха с JAX-RS

9 голосов
/ 08 ноября 2010

Я ищу несколько советов о том, как защитить мой корневой ресурс отдыха 

@Path("/employee")
public class EmployeeResource {

    @GET
    @Produces("text/html")
    public String get(
        @QueryParam("name") String empname,
        @QueryParam("sn") String sn) {

         // Return a data back.
    }
}

Я прочитал пост о базовой аутентификации и OAuth, я знаю эту концепцию, но я ищу способы, как реализовать ее в коде.

Спасибо

Ответы [ 2 ]

6 голосов
/ 04 января 2011

Объявите перехватчик: 

 <bean id="securityInterceptor" class="AuthenticatorInterceptor">
<property name="users">
  <map>
<entry key="someuser" value="somepassword"/>
  </map>
</property>

Затем используйте его: 

  <jaxrs:server address="/">
      <jaxrs:inInterceptors>
          <ref bean="securityInterceptor"/>
      </jaxrs:inInterceptors>
      (etc)

Затем ваш AuthenticationInterceptor, например: 

import java.util.Map;

import org.apache.cxf.message.Message;
import org.apache.cxf.phase.PhaseInterceptor;
import org.apache.cxf.phase.AbstractPhaseInterceptor;
import org.apache.cxf.phase.Phase;
import org.apache.cxf.configuration.security.AuthorizationPolicy;
import org.apache.cxf.interceptor.Interceptor;

import org.springframework.beans.factory.annotation.Required;

public class AuthenticatorInterceptor extends AbstractPhaseInterceptor<Message> {

    private Map<String,String> users;

    @Required
    public void setUsers(Map<String, String> users) {
        this.users = users;
    }

    public AuthenticatorInterceptor() {
        super(Phase.RECEIVE);
    }

    public void handleMessage(Message message) {

        AuthorizationPolicy policy = message.get(AuthorizationPolicy.class);

    if (policy == null) {
        System.out.println("User attempted to log in with no credentials");
        throw new RuntimeException("Denied");
        }

    String expectedPassword = users.get(policy.getUserName());
    if (expectedPassword == null || !expectedPassword.equals(policy.getPassword())) {
        throw new RuntimeException("Denied");
    }
    }

}

Определение приемлемых учетных данных более удобным способом оставлено читателю в качестве упражнения.

2 голосов
/ 09 ноября 2010

Я знаю, как добавить к вашему веб-приложению web.xml.Как минимум, я думаю, вам нужно добавить: 

<!-- Specifies what and how to protect *part* of a webapp -->
<security-constraint>

    <!-- WHAT TO PROTECT -->
    <web-resource-collection>
         <web-resource-name>employee-related-urls</web-resource-name>
         <!-- You might need to list other patterns too with more of these -->
         <url-pattern>/employee/*</url-pattern>
    </web-resource-collection>

    <!-- WHO IS ALLOWED IN -->
    <auth-constraint>
         <!-- I assume something sensible here! -->
         <role-name>employee</role-name>
    </auth-constraint>

    <!-- HOW TO PROTECT THE REQUESTS AND RESPONSES -->
    <user-data-constraint>
         <!-- Force HTTPS (or equivalent, in a formal sense) -->
         <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
</security-constraint>

<!-- HOW TO WORK OUT WHO IS ASKING -->
<login-config>
    <!-- This is how to specify BASIC HTTP auth; look up docs for OAuth yourself -->
    <auth-method>BASIC</auth-method>
    <!-- Omit the next element to use the container's default -->
    <realm-name>site</realm-name>
</login-config>
...