Java-JAX-RS(Jersey 2)安全性,@ PermitAll和@RolesAllowed无法正常工作
作者:互联网
我有一个具有三种资源的REST-API.第一个中的方法称为PublicResource,任何人都应该可以访问(即匿名访问).第二个方法中的方法称为SecretResource,只应允许特定的用户组访问.最后,第三个资源(称为MixedResource)具有混合设置,其中一些方法受到保护,而另一些则开放给公众访问.
注解@PermitAll和@RolesAllowed不能正常工作,尽管我期望它们如此.尽管PublicResource带有@PermitAll批注,但在尝试访问它时仍会被要求授权.用@PermitAll注释的MixedResource中的方法也是如此.因此,基本上,即使我应该具有匿名访问权限,我在所有资源中的任何地方都被要求授权.
我在Payara 4.1上运行,我感到非常困惑,因为我在运行于WebLogic 12.1.3上的另一个应用程序中进行了非常相似的设置,并且注释按预期工作.我想念什么或弄错了什么?请参阅下面的完整代码.
PublicResource.java:
import javax.annotation.security.PermitAll;
import javax.ws.rs.GET;
import javax.ws.rs.Path;
import javax.ws.rs.Produces;
import javax.ws.rs.core.MediaType;
@Path("public")
@PermitAll
public class PublicResource {
@GET
@Produces(MediaType.TEXT_PLAIN)
public String itsPublic() {
return "public";
}
}
SecretResource.java:
import javax.annotation.security.RolesAllowed;
import javax.ws.rs.GET;
import javax.ws.rs.core.MediaType;
import javax.ws.rs.Path;
import javax.ws.rs.Produces;
@Path("secret")
@RolesAllowed({ "SECRET" })
public class SecretResource {
@GET
@Produces(MediaType.TEXT_PLAIN)
public String itsSecret() {
return "secret";
}
}
MixedResource.java:
import javax.annotation.security.PermitAll;
import javax.annotation.security.RolesAllowed;
import javax.ws.rs.GET;
import javax.ws.rs.Path;
import javax.ws.rs.Produces;
import javax.ws.rs.core.MediaType;
@Path("mixed")
@PermitAll
public class MixedResource {
@GET
@Path("public")
@Produces(MediaType.TEXT_PLAIN)
public String itsPublic() {
return "public";
}
@GET
@Path("secret")
@RolesAllowed({ "SECRET" })
@Produces(MediaType.TEXT_PLAIN)
public String itsSecret() {
return "secret";
}
}
JAXRSConfiguration.java:
import javax.ws.rs.ApplicationPath;
import javax.ws.rs.core.Application;
@ApplicationPath("resources")
public class JAXRSConfiguration extends Application {
}
web.xml:
<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee
http://xmlns.jcp.org/xml/ns/javaee/web-app_3_1.xsd"
version="3.1">
<session-config>
<session-timeout>30</session-timeout>
</session-config>
<security-constraint>
<web-resource-collection>
<web-resource-name>Basic Authorization</web-resource-name>
<description/>
<url-pattern>/resources/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>SECRET</role-name>
</auth-constraint>
</security-constraint>
<login-config>
<auth-method>BASIC</auth-method>
<realm-name>file</realm-name>
</login-config>
<error-page>
<exception-type>java.lang.Throwable</exception-type>
<location>/error/internal</location>
</error-page>
<security-role>
<role-name>SECRET</role-name>
</security-role>
</web-app>
glassfish-web.xml:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE glassfish-web-app PUBLIC "-//GlassFish.org//DTD GlassFish Application Server 3.1 Servlet 3.0//EN" "http://glassfish.org/dtds/glassfish-web-app_3_0-1.dtd">
<glassfish-web-app error-url="">
<class-loader delegate="true"/>
<security-role-mapping>
<role-name>SECRET</role-name>
<group-name>cia</group-name>
</security-role-mapping>
<jsp-config>
<property name="keepgenerated" value="true">
<description>Keep a copy of the generated servlet class' java code.</description>
</property>
</jsp-config>
</glassfish-web-app>
beans.xml:
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://xmlns.jcp.org/xml/ns/javaee"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee http://xmlns.jcp.org/xml/ns/javaee/beans_1_1.xsd"
bean-discovery-mode="all">
</beans>
解决方法:
从表面上看,泽西岛不是问题.您配置的唯一真正的安全性是在servlet容器级别.您的Jersey安全性注释都没有任何作用,因为您甚至都没有为其配置特定于Jersey的支持.
首先看看你的web.xml配置
<security-constraint>
<web-resource-collection>
<web-resource-name>Basic Authorization</web-resource-name>
<description/>
<url-pattern>/resources/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>SECRET</role-name>
</auth-constraint>
</security-constraint>
第一部分设置每个资源都需要身份验证.因此,您认为@PermitAll不起作用的问题实际上是由于您将servlet配置为不允许未经身份验证的任何人通过而导致的.
然后,您在Servlet容器级别上设置授权,以仅允许具有SECRET角色的用户.因此,所有安全配置都在web.xml中进行了配置.与泽西岛无关.
要解决此问题,您需要了解的另一件事是身份验证和授权之间的区别,以及谁在其中扮演什么角色(关于servlet容器和Jersey).
@ PermitAll,@ RolesAllowed等只是Jersey处理授权的方式.预期已经有一个经过身份验证的用户.泽西如何通过从servlet请求中获取主体来检查这一点.如果没有主体,则假定没有经过身份验证的用户,并且即使您具有@PermitAll,也不会允许任何人通过,因为即使@PermitAll也要求对用户进行身份验证.
话虽这么说,我不知道有没有一种方法可以在您的服务器中设置匿名用户.这是获得所需行为所需要的.请记住,泽西岛仍然需要有一个经过身份验证的用户.因此,除非您能以某种方式在容器上设置匿名用户,否则我看不到您可以使该工作正常进行.
如果您为安全和非安全设置了不同的路径,则只需在web.xml中配置安全的路径,然后放开其他所有内容.这样,甚至不需要@PermitAll.请记住,使用@PermitAll,它需要一个经过身份验证的用户.但是,如果只删除@PermitAll,则所有请求都将通过.如果您将安全路径与非安全路径分开,这将是可能的.
如果要对所有这些进行更多控制,则最好实现自己的安全性,而不要使用Servlet容器的安全性.通常我不建议这样做,但是基本身份验证可能是最容易实现的安全协议.您可以检出this example,其中所有操作都使用Jersey过滤器完成.
最后要注意的事实是,您甚至尚未配置对Jersey的授权支持.您仍然需要向该应用程序注册RolesAllowedDynamicFeature.由于您正在对JAX-RS配置使用类路径扫描(空的应用程序类),因此您将需要从功能中注册它,如this post中所述
标签:rest,security,jax-rs,jersey,java 来源: https://codeday.me/bug/20191118/2024482.html