08-搭建Rest服务 - 04权限管理

最新推荐文章于 2023-04-25 10:46:52 发布
最新推荐文章于 2023-04-25 10:46:52 发布
阅读量3.4k 收藏
点赞数
分类专栏: Quarkus 文章标签: java spring boot jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Tong_Rui/article/details/114487205
版权

Using JWT RBAC

jwt和RBAC 相信大家都已经有理解,本章就直接看一下Quarkus框架下如何使用JWT 实现权限校验。

本章目标

  • 创建项目
  • 实现一个简单的角色校验
  • 如何生成和校验 Jwt Token
  • 自定义校验

1 创建项目

本章只以简单的Rest 服务来验证权限校验,不涉及数据库操作。

1.1 加入如下依赖:

<dependency>
    <groupId>io.quarkus</groupId>
    <artifactId>quarkus-smallrye-jwt</artifactId>
</dependency>
<dependency>
    <groupId>io.quarkus</groupId>
    <artifactId>quarkus-smallrye-jwt-build</artifactId>
</dependency>

<dependency>
    <groupId>io.quarkus</groupId>
    <artifactId>quarkus-resteasy-reactive</artifactId>
</dependency>

1.2 一个简单的Rest接口

@Path("jwt")
@RequestScoped
public class JwtResource {


    @Inject
    JsonWebToken jwt;

    @GET
    @Path("unsecured")
    public String unsecured(@Context SecurityContext context){

        return getResponseString(context);
    }
    /**
     * @Description: 
     * @param @param 从JWT中获取返回值
     * @return @return 
     * @author TongRui乀
     * @throws
     * @date 2021/3/7 9:43 上午
     */
    private String getResponseString(SecurityContext ctx) {
        String name;
        if (ctx.getUserPrincipal() == null) {
            name = "anonymous";
        } else if (!ctx.getUserPrincipal().getName().equals(jwt.getName())) {
            throw new InternalServerErrorException("Principal and JsonWebToken names do not match");
        } else {
            name = ctx.getUserPrincipal().getName();
        }
        return String.format("hello + %s,"
                        + " isHttps: %s,"
                        + " authScheme: %s,"
                        + " hasJWT: %s",
                name, ctx.isSecure(), ctx.getAuthenticationScheme(), hasJwt());
    }

    private boolean hasJwt() {
        return jwt.getClaimNames() != null;
    }
}
  • JsonWebToken 是Quarkus封装好的Principal Bean, 直接注入即可使用。
  • @RequestScoped 这里使用Request的作用域,Jwt的有效作用域,仅在当前请求可用。
  • @Context SecurityContext context 上下文中封装了本次请求的Principal信息。
  • getResponseString() 简单封装了权限信息 用于返回值。

1.3 测试一下在这里插入图片描述

这个接口我们没有添加任何的权限限制,所以获取的数据基本都是默认值。

2. 加入角色限制

2.1 加入权限限制

@GET
@Path("hasRole")
@RolesAllowed({"User", "Admin"})
public String hasRole(@Context SecurityContext context){
    return getResponseString(context);
}

注意 这里的方法还是在上面的Resource里写的。 使用@RolesAllowed 指定有权限的角色来访问这个接口。这里只允许User 和 Admin 这两个角色可以访问这个接口。
同时为了对比再加入一个不设置权限的接口。

@GET
@Path("permitAll")
@PermitAll
public String permitAll(@Context SecurityContext context){
    return getResponseString(context);
}
  • @PermitAll 允许所有人调用,无论是否认证。

上面的代码仅仅是在代码中指定了我的接口是否需要认证权限,但想要验证还需要两步。

  • 由于Quarkus的JWT认证默认的加密方式是RSA256,所以需要指定秘钥对的公钥用于解析Token。
  • 基于秘钥对私钥 生成认证需要的JWT token

2.2 配置公钥

token的校验Quarkus已经封装好,我们只需要配置校验需要的配置即可。这里我们只需要配置一下公钥地址。

mp.jwt.verify.publickey.location=META-INF/resources/publicKey.pem

所以我们需要在项目目录下创建这个文件。至于公私秘钥的生成,一般使用openssl 工具生成即可,多种方式都可以生成,大家自行选择。
在这里插入图片描述
如果嫌麻烦,这里贴一个官网的公钥:

-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAlivFI8qB4D0y2jy0CfEq
Fyy46R0o7S8TKpsx5xbHKoU1VWg6QkQm+ntyIv1p4kE1sPEQO73+HY8+Bzs75XwR
TYL1BmR1w8J5hmjVWjc6R2BTBGAYRPFRhor3kpM6ni2SPmNNhurEAHw7TaqszP5e
UF/F9+KEBWkwVta+PZ37bwqSE4sCb1soZFrVz/UT/LF4tYpuVYt3YbqToZ3pZOZ9
AX2o1GCG3xwOjkc4x0W7ezbQZdC9iftPxVHR8irOijJRRjcPDtA6vPKpzLl6CyYn
sIYPd99ltwxTHjr3npfv/3Lw50bAkbT4HeLFxTx4flEoZLKO/g0bAoV2uqBhkA9x
nQIDAQAB
-----END PUBLIC KEY-----

2.3 生成Token

实际上生成Token的方式多种多样,只要是加密使用的私钥和我们配置的公钥是一个秘钥对就行了。
方式一:

public class GenerateTokenResource {

    public static void main(String[] args) {

        Jwt.issuer("https://example.com/issuer")
                .upn("jdoe@quarkus.io")
                .groups(new HashSet<>(Arrays.asList("User", "Admin")))
                .claim(Claims.birthdate.name(), "2021-03")
                .sign(); 
    }
}

在项目的resource包下创建这么一个类,位置无所谓。

  • Jwt 是jwt-build 提供的一个工具类,用来生成JWT token的。
  • 而 upn、groups等等都是Jwt封装的方法而已,本质还是设置 claim。
  • sign 方法 根据默认的 RS256算法计算签名。 无参方法需要在执行时需要指定smallrye.jwt.sign.key-location"
    属性来指定秘钥位置。 也可以在重载方法sign(String keyLocation)中指定秘钥位置。
mvn exec:java -Dexec.mainClass=org.acme.security.jwt.GenerateToken -Dexec.classpathScope=test -Dsmallrye.jwt.sign.key-location=privateKey.pem

或者

System.setProperty("smallrye.jwt.sign.key-location", "privateKey.pem");
var token = Jwt.issuer("https://example.com/issuer")
        .upn("jdoe@quarkus.io")
        .groups(new HashSet<>(Arrays.asList("User", "Admin")))
        .claim(Claims.birthdate.name(), "2021-03")
        .sign();

System.out.println(token);

直接执行方法即可

eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiJ9.eyJpc3MiOiJodHRwczovL2V4YW1wbGUuY29tL2lzc3VlciIsInVwbiI6Impkb2VAcXVhcmt1cy5pbyIsImdyb3VwcyI6WyJVc2VyIiwiQWRtaW4iXSwiYmlydGhkYXRlIjoiMjAyMS0wMyIsImlhdCI6MTYxNTYzOTczMiwiZXhwIjoxNjE1NjQwMDMyLCJqdGkiOiJhYjFjYWEzZi0yNzBhLTRkMTgtODJhMy1lNGUyNjdmMGY1OWYifQ.dSsSB7TRC4BVv3EF8-kF06hoOUEE11j8FN4YOigxKPF1zDJYnksmGOdIW2jEqk7wsKRYDgDuIGunZZfzyY8-Z7uQaBLA_92FdqT25LFbvk5-wTIwjC-q_IXQEQfxaV6Y-vmJir22QS4BtK9_grydoYTcDdItgHWbWeWHqoj4fbVxipnBYrRAt7Jz79h3y79Ag3Y7l8ZiF6QNv3OjggpCIBmxpkZRah9tZMC1Br0BBAapPTrJ-ImFfZqOzjYkLw3X8OmHb-1Qg0Omt3J2htcRApwkzkBTjJO5oKBR9lcISP_CJ_8yhR8qF2GassJRxXvva0oHXfiNIVT0c6Jp_wo5Tw

方式二:
使用第三方工具,jjwt

<dependency>
	<groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.0</version>
</dependency>

private String secret = "AyM1SysPpbyDfgZld3umj1qzKObwVMko";

    public static void main(String[] args) {

        var pub = FileUtil.readString(new File("/Users/gengmei/IdeaProjects/getting-start-quarkus/getting-started-jwt/src/test/resources/privateKey.pem"), "utf-8");

        HashMap<String, Object> claims = new HashMap<>();

        claims.put("upn", "jdoe@quarkus.io");
        claims.put("Birthday", "2021-03");
        claims.put("groups", new HashSet<>(Arrays.asList("User", "Admin")));
        claims.put("iss", "https://example.com/issuer");

        System.out.println(Jwts.builder()
                .setClaims(claims)
                .signWith(SignatureAlgorithm.HS256, Base64.getEncoder().encodeToString(pub.getBytes()))
                .compact());
    }
  • 上面说过Jwt.upn 或者groups都是对 clamis的封装 这里我们直接使用clamis就行。
  • 算法的话,这里如果使用RS256会报错,所以这里改用HS256。
  • 还有一个可能的坑是,我使用的是Java11,在这里执行的时候会使用低版本的api报错,这里可以加以下依赖解决。
<dependency>
    <groupId>javax.xml.bind</groupId>
    <artifactId>jaxb-api</artifactId>
    <version>2.3.0</version>
</dependency>
<dependency>
    <groupId>com.sun.xml.bind</groupId>
    <artifactId>jaxb-impl</artifactId>
    <version>2.3.0</version>
</dependency>
<dependency>
    <groupId>com.sun.xml.bind</groupId>
    <artifactId>jaxb-core</artifactId>
    <version>2.3.0</version>
</dependency>
<dependency>
    <groupId>javax.activation</groupId>
    <artifactId>activation</artifactId>
    <version>1.1.1</version>
</dependency>

token 如下:

eyJhbGciOiJIUzI1NiJ9.eyJNUC1KV1Qgc3BlY2lmaWMgdW5pcXVlIHByaW5jaXBhbCBuYW1lIjoiamRvZUBxdWFya3VzLmlvIiwiQmlydGhkYXkiOiIyMDIxLTAzIiwiTVAtSldUIHNwZWNpZmljIGdyb3VwcyBwZXJtaXNzaW9uIGdyYW50IjpbIlVzZXIiLCJBZG1pbiJdfQ.Xd1tFwW6BRNpq0dlYfJiQxg-L37Fgvp9Yj-J_5qo9ow

2.4 验证

此时我们的hasRole接口需要的权限是,只允许有User和Admin角色的用户可以访问,之前我们生成的token是拥有这两个权限的。
在这里插入图片描述
测试是可以访问接口的。接下来重新生成一个token 用户Test权限。
在这里插入图片描述
结果是被拦住了。
在这里插入图片描述

3 JWTParser

JWTParser 是Quarkus提供的Token解析工具类,在我们的测试Demo中都是直接注入Token,这是因为Quarkus已经帮我们解析好了,但是由于它的生命周期是当前请求,当一些特殊情况下不能直接注入Token那我们可以通过JWTParser来解析Token。

import org.eclipse.microprofile.jwt.JsonWebToken;
import io.smallrye.jwt.auth.principal.JWTParser;
...
@Inject JWTParser parser;

String token = getTokenFromOidcServer();

// Parse and verify the token
JsonWebToken jwt = parser.parse(token);

4 自定义Token解析

上面一节说过,Quarkus会自动帮助我们解析Token,其实是通过io.smallrye.jwt.auth.principal.DefaultJWTCallerPrincipalFactory 这个工具来实现的。同时我们也可以自己实现。

@ApplicationScoped
@Alternative
@Priority(1)
public class TestJWTCallerPrincipalFactory extends JWTCallerPrincipalFactory {

    @Override
    public JWTCallerPrincipal parse(String token, JWTAuthContextInfo authContextInfo) throws ParseException {
        try {
            // Token has already been verified, parse the token claims only
            String json = new String(Base64.getUrlDecoder().decode(token.split("\\.")[1]), StandardCharsets.UTF_8);
            System.out.println(json);
            return new DefaultJWTCallerPrincipal(JwtClaims.parse(json));
        } catch (InvalidJwtException ex) {
            throw new ParseException(ex.getMessage());
        }
    }
}

5 总结

本章主要简单介绍了Quarkus中的权限管理,使用起来也非常简单,仅仅通过几个配置和几个注解即可完成。
对于如何整合到已有业务的权限系统后期可以考虑下。

TongRui乀
关注
专栏目录
Django-Rest-Swagger搭建前后端分离API文档
a18612039484的博客
11-01 2553
Django-Rest-Swagger搭建前后端分离API文档 前沿:最近工作需要,做项目需要前后端分离,那么前段与后端的“沟通”就成了项目执行效率的一大障碍。我们尝试过去写API说明文档,但试想一下,作为一个后端工程师,你不光需要修改后端代码,还要去撰写API文档,使得你的工作量剧增,WTF?作为一个能省事儿绝不多敲一行字的鞋狗程序员,希望吧更多的时间投入球鞋“冲冲冲”中,就尝试搭建一个Djan...
rest framework之权限组件
weixin_30398227的博客
09-09 138
一、权限组件的使用 1、自定义权限 要实现自定义权限,需要重写BasePermission并实现以下方法中的一个或两个 .has_permission(self, request, view) .has_object_permission(self, request, view, obj) 如果请求被授予访问权限,方法应该返回True,否则返回False。 @...
RESTEasy身份验证
guoyiqi
11-09 164
因为Resteasy随着servlet容器运行,所以你可以使用大多数在servlet容器中可用的身份验证机制。基本和摘要身份验证可能是最容易的一种设置方式,也正好符合REST的无状态的原则。方式安全可以使用,但是需要通过每一次请求的session的cookie值。我们已经做了基于OAuth(开发性验证)的准备工作,也计划在未来做OpenID和SAML(Security Assertion Ma...
Quarkus框架入门之一:Quarkus框架介绍及简单示例
z69183787的专栏
08-23 1981
开篇 最近几年,Spring全家桶横扫其它Java框架,已然成为事实标准,单体应用使用Spring Framework+Spring Boot服务治理Spring Cloud,生态完善,各种组件层出不穷。曾经还玩过JFinal和Nutz等国内的开发框架,但是仅仅是私下玩玩,实际工作过程中,还是Spring的天下,很少会选择其它小众的框架(谁知道会不会有填不完的大坑)。 最近在社区闲逛的时候,发现一个Red Hat开源的Java框架Quarkus,定位为GraalVM和OpenJDK HotSpot量身定
集成JWT 结合验证码实现登录
最新发布
ZeroJcA的博客
04-25 499
若返回结果不为null:则将对应的key和value 存入redis缓存中,即:key: sys_config:sys.account.captchaEnabled -> value: true(false);若返回结果为null: 则返回结果为“” (空字符串),在利用Convert.toBool(captchaEnabled)返回boolean类型的值。集成jwt (注入jwt实现 三种模式:简单模式,混入模式,无状态模式;第二步调用了获取验证码开关的方法 返回值是true 或者false。
51.日常问题整理[2022/12/09]Quarkus拦截器
weixin_46876034的博客
12-09 205
Quarkus拦截器
Go-go-json-rest一种快速和容易的方式来搭建一个RESTfulJSONAPI
08-13
本篇文章将深入探讨如何使用`go-json-rest`来搭建RESTful JSON API,并介绍相关的关键知识点。 首先,`go-json-rest`的核心理念是提供简洁的API接口,使得开发者可以快速定义HTTP路由并处理JSON数据。在Go中,我们...
kotlin-spring-boot-rest-jpa-jwt-starter:kotlinSpring引导2 restjpajwt入门
02-05
标题中的"kotlin-spring-boot-rest-jpa-jwt-starter"是一个项目名称,它结合了多个技术,用于构建基于Kotlin、Spring Boot、JPA、JWTRESTful API服务。让我们详细了解一下这些技术及其在项目中的作用。 1. **...
employeems-with-spring-and-rest:使用Spring BootREST API进行员工管理
03-11
在本项目"employeems-with-spring-and-rest"中,我们探索了如何使用Spring Boot框架和RESTful API来构建一个员工管理系统。这个系统允许高效地管理和检索员工信息,利用现代Web服务技术,使得数据交互更加便捷。以下...
spring-crm-rest:客户关系管理的CRUD API
03-14
总结来说,"spring-crm-rest"项目是一个使用Spring MVC、Hibernate和MySQL搭建的CRUD API,专注于提供客户关系管理功能的后端服务。它展现了如何运用现代Java技术栈来构建高效、可扩展的Web服务,并为其他前端应用...
quarkus-ldap-security:quarkus-ldap-security
04-12
quarkus-ldap-security quarkus-ldap-security
quarkus依赖注入之二:bean的作用域
程序员欣宸的博客
03-26 1835
quarkus中的bean,它们的作用域是如何设置的?作用范围又分别是什么?本文给出答案
Quarkus的其他(非标准)CDI功能
最佳 Java 编程
06-16 347
Quarkus支持CDI(上下文和依赖注入)2.0,但并非全部,仅支持最常见的功能。 但是,Quarkus确实包含一些非标准功能,这些功能对于开发人员非常方便,我想在下面的视频中进行展示。 不管您是否熟悉CDI,如果您使用Quarkus,都应该查看“ 上下文和依赖注入 ”指南,该指南很好地解释了Quarkus依赖注入的来龙去脉。 对于Quarkus在CDI方面的特殊性,我看到的最重要...
Quarkus控制层统一异常拦截
myth_g的博客
09-30 1495
直接编写统一异常处理类即可: @Provider public class DefaultExceptionHandler implements ExceptionMapper<Exception> { @Override public Response toResponse(Exception exception) { String msg; if (exception instanceof XException) {
quarkus初试
Flyzz的博客
10-09 1246
Quarkus初试 Quarkus是什么 引用Red Hat官网的话 Quarkus 是一个为 Java 虚拟机(JVM)和原生编译而设计的全堆栈 Kubernetes 原生 Java 框架,用于专门针对容器优化 Java,并使其成为无服务器、云和 Kubernetes 环境的高效平台。 看它的简介,它支持现有常用的java标准,库,框架,另外还支持GraalVM用于进行原生编译。接下来就记录跟着官网的get started在windows操作系统初次尝试Quarkus的过程。 第一个Quarkus程序
一个简单的Quarkus web服务入门
未完成的空间
08-28 4049
Quarkus是一个由Red Hat开源的 Java服务框架,根据2020年8月18日发布的《 2020 年微服务领域开源数字化报告》,Quarkus 作为云原生微服务框架,在微服务框架中活跃度排名第一,全球 GitHub 开源项目活跃度中排名 40,也具有着巨大的影响力。 虽然目前SpringBoot拥有着几乎不可动摇的地位,但对于其他的微服务框架,还是可以了解下的,下面就来看下如何使用Quarkus来构建一个web服务吧。
一文初识 Quarkus 的王者之路,实战杀敌,终成王
m0_67261762的博客
07-03 751
QuarkusQuarkus是红帽面向云原生推出的java技术体系,它已经不能被称为框架了,体系这个词也许更适合它,它有不少非常好的新思路。它侧重于对GraalVM的支持,倾向于使用GraalVM来打包为Native原生应用。Java曾经的优势是Write once run anywhere,但是现在这个优势已经被docker取代,有了docker,只要制作好镜像,其它语言也可以做到Write once run anywhere。而Java庞大的JVM运行时反而就成了它的劣势之一,所以Oracle发布了Gr
Quarkus入门配置
OneSeek的博客
11-11 2035
配置 安装graalvm、docker 并配置环境变量 代码 mvn io.quarkus:quarkus-maven-plugin:1.3.1.Final:create \ -DprojectGroupId=org.acme \ -DprojectArtifactId=getting-started \ -DclassName="org.acme.getting.started.GreetingResource" \ -Dpath="/hello" 或者 git clon
REST API权限控制
leledodo的博客
04-18 6758
前言 有人说,每个人都是平等的;也有人说,人生来就是不平等的;在人类社会中,并没有绝对的公平,一件事,并不是所有人都能去做;一样物,并不是所有人都能够拥有。每个人都有自己的角色,每种角色都有对某种资源的一定权利,或许是拥有,或许只能是远观而不可亵玩。把这种人类社会中如此抽象的事实,提取出来,然后写成程序,还原本质的工作,就是我们程序员该做的事了。有了一个这么有范儿的开头,下面便来谈谈基于REST...
使用AWS无服务器架构搭建REST API的实践指南
文章假设读者已经配置了具有PowerUser权限的AWS命令行接口(CLI),并且对NodeJS及其包管理工具npm有所了解。" AWS无服务器架构是近年来云计算领域非常流行的一种架构模式,它允许开发者专注于编写应用程序代码,而...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值