jetty_嵌入式Jetty和Apache CXF:借助Spring Security来保护REST服务

最新推荐文章于 2023-03-15 10:46:22 发布
最新推荐文章于 2023-03-15 10:46:22 发布
阅读量136 收藏
点赞数
文章标签: 嵌入式 spring java mysql spring boot
原文链接:https://www.javacodegeeks.com/2014/09/embedded-jetty-and-apache-cxf-secure-rest-services-with-spring-security.html
版权
jetty

jetty

最近,我遇到了一个非常有趣的问题,我认为只需几分钟即可解决:使用Spring Security (当前稳定版本3.2.5 )保护Apache CXF (当前版本3.0.1 )/ JAX-RS REST服务。在嵌入式Jetty容器(当前版本9.2 )中运行的应用程序。 最后,一旦您了解了事物如何协同工作并了解了细微的内在细节,这将变得非常容易。 这篇博客文章将试图揭示这一点。

我们的示例应用程序将公开一个简单的JAX-RS / REST服务来管理人员。 但是,我们不希望所有人都这样做,因此需要HTTP基本身份验证才能访问部署在http:// localhost:8080 / api / rest / people的端点。 让我们看一下PeopleRestService类: 

package com.example.rs;

import javax.json.Json;
import javax.json.JsonArray;
import javax.ws.rs.GET;
import javax.ws.rs.Path;
import javax.ws.rs.Produces;

@Path( "/people" ) 
public class PeopleRestService {
    @Produces( { "application/json" } )
    @GET
    public JsonArray getPeople() {
        return Json.createArrayBuilder()
            .add( Json.createObjectBuilder()
                .add( "firstName", "Tom" )
                .add( "lastName", "Tommyknocker" )
                .add( "email", "a@b.com" ) )
            .build();
    }
}

如您在上面的代码片段中所见,没有任何迹象表明该REST服务是安全的,只是几个熟悉的JAX-RS批注。

现在,让我们根据出色的Spring Security文档声明所需的安全配置。 有很多方法可以配置Spring Security,但我们将展示其中两种:使用内存内身份验证和使用用户详细信息服务,两者均基于WebSecurityConfigurerAdapter构建。 让我们从内存中身份验证开始,因为它是最简单的一种: 

package com.example.config;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity( securedEnabled = true )
public class InMemorySecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
            .withUser( "user" ).password( "password" ).roles( "USER" ).and()
            .withUser( "admin" ).password( "password" ).roles( "USER", "ADMIN" );
    }

    @Override
    protected void configure( HttpSecurity http ) throws Exception {
        http.httpBasic().and()
            .sessionManagement().sessionCreationPolicy( SessionCreationPolicy.STATELESS ).and()
            .authorizeRequests().antMatchers("/**").hasRole( "USER" );
    }
}

在上面有该段两个用户定义:用户与角色用户管理员用户的角色,ADMIN。 我们还通过将授权策略设置为仅允许访问角色为USER的用户来保护所有URL( / ** )。 作为应用程序配置的一部分,让我们使用@Import批注将其插入AppConfig类。 

package com.example.config;

import java.util.Arrays;

import javax.ws.rs.ext.RuntimeDelegate;

import org.apache.cxf.bus.spring.SpringBus;
import org.apache.cxf.endpoint.Server;
import org.apache.cxf.jaxrs.JAXRSServerFactoryBean;
import org.apache.cxf.jaxrs.provider.jsrjsonp.JsrJsonpProvider;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.context.annotation.DependsOn;
import org.springframework.context.annotation.Import;

import com.example.rs.JaxRsApiApplication;
import com.example.rs.PeopleRestService;

@Configuration
@Import( InMemorySecurityConfig.class )
public class AppConfig { 
    @Bean( destroyMethod = "shutdown" )
    public SpringBus cxf() {
        return new SpringBus();
    }
 
    @Bean @DependsOn ( "cxf" )
    public Server jaxRsServer() {
        JAXRSServerFactoryBean factory = RuntimeDelegate.getInstance().createEndpoint( jaxRsApiApplication(), JAXRSServerFactoryBean.class );
        factory.setServiceBeans( Arrays.< Object >asList( peopleRestService() ) );
        factory.setAddress( factory.getAddress() );
        factory.setProviders( Arrays.< Object >asList( new JsrJsonpProvider() ) );
        return factory.create();
    }
 
    @Bean 
    public JaxRsApiApplication jaxRsApiApplication() {
        return new JaxRsApiApplication();
    }
 
    @Bean 
    public PeopleRestService peopleRestService() {
        return new PeopleRestService();
    }  
}

到目前为止,除了最有趣的部分,我们还有所有其他部分:运行嵌入式Jetty实例并创建正确的servlet映射,侦听器,传递我们创建的配置的代码。 

package com.example;

import java.util.EnumSet;

import javax.servlet.DispatcherType;

import org.apache.cxf.transport.servlet.CXFServlet;
import org.eclipse.jetty.server.Server;
import org.eclipse.jetty.servlet.FilterHolder;
import org.eclipse.jetty.servlet.ServletContextHandler;
import org.eclipse.jetty.servlet.ServletHolder;
import org.springframework.web.context.ContextLoaderListener;
import org.springframework.web.context.support.AnnotationConfigWebApplicationContext;
import org.springframework.web.filter.DelegatingFilterProxy;

import com.example.config.AppConfig;

public class Starter {
    public static void main( final String[] args ) throws Exception {
        Server server = new Server( 8080 );
          
        // Register and map the dispatcher servlet
        final ServletHolder servletHolder = new ServletHolder( new CXFServlet() );
        final ServletContextHandler context = new ServletContextHandler();   
        context.setContextPath( "/" );
        context.addServlet( servletHolder, "/rest/*" );  
        context.addEventListener( new ContextLoaderListener() );
   
        context.setInitParameter( "contextClass", AnnotationConfigWebApplicationContext.class.getName() );
        context.setInitParameter( "contextConfigLocation", AppConfig.class.getName() );
   
        // Add Spring Security Filter by the name
        context.addFilter(
            new FilterHolder( new DelegatingFilterProxy( "springSecurityFilterChain" ) ), 
                "/*", EnumSet.allOf( DispatcherType.class )
        );
         
        server.setHandler( context );
        server.start();
        server.join(); 
    }
}

除了过滤器部分,大多数代码不需要任何说明。 这就是我所说的微妙的固有细节: DelegatingFilterProxy应该配置为过滤器名称,该名称必须完全是springSecurityFilterChain ,因为Spring Security为其命名。 这样,我们配置的安全规则将适用于任何JAX-RS服务调用(安全过滤器在Apache CXF Servlet之前执行),需要完全认证。 让我们通过构建和运行项目来快速检查: 

mvn clean package   
java -jar target/jax-rs-2.0-spring-security-0.0.1-SNAPSHOT.jar

在不提供用户名和密码的情况下发出HTTP GET调用不会成功,并返回HTTP状态代码401

> curl -i http://localhost:8080/rest/api/people

HTTP/1.1 401 Full authentication is required to access this resource
WWW-Authenticate: Basic realm="Realm"
Cache-Control: must-revalidate,no-cache,no-store
Content-Type: text/html; charset=ISO-8859-1
Content-Length: 339
Server: Jetty(9.2.2.v20140723)

提供的用户名和密码相同的HTTP GET调用返回成功响应(服务器生成一些JSON)。 

> curl -i -u user:password http://localhost:8080/rest/api/people

HTTP/1.1 200 OK
Date: Sun, 28 Sep 2014 20:07:35 GMT
Content-Type: application/json
Content-Length: 65
Server: Jetty(9.2.2.v20140723)

[{"firstName":"Tom","lastName":"Tommyknocker","email":"a@b.com"}]

太好了,它就像一个魅力! 事实证明,这确实非常容易。 另外,如前所述,内存身份验证可以用用户详细信息服务代替,这是一个示例,该示例说明了如何进行: 

package com.example.config;

import java.util.Arrays;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(securedEnabled = true)
public class UserDetailsSecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService( userDetailsService() );
    }
    
    @Bean
    public UserDetailsService userDetailsService() {
        return new UserDetailsService() {
            @Override
            public UserDetails loadUserByUsername( final String username ) 
                    throws UsernameNotFoundException {
                if( username.equals( "admin" ) ) {
                    return new User( username, "password", true, true, true, true,
                        Arrays.asList(
                            new SimpleGrantedAuthority( "ROLE_USER" ),
                            new SimpleGrantedAuthority( "ROLE_ADMIN" )
                        )
                    );
                } else if ( username.equals( "user" ) ) {
                    return new User( username, "password", true, true, true, true,
                        Arrays.asList(
                            new SimpleGrantedAuthority( "ROLE_USER" )
                        )
                    );
                } 
                    
                return null;
            }
        };
    }

    @Override
    protected void configure( HttpSecurity http ) throws Exception {
        http
           .httpBasic().and()
           .sessionManagement().sessionCreationPolicy( SessionCreationPolicy.STATELESS ).and()
           .authorizeRequests().antMatchers("/**").hasRole( "USER" );
    }
}

AppConfig类中的@Import(InMemorySecurityConfig.class)替换为@Import( UserDetailsS​​ecurityConfig.class)会得到相同的结果,因为两个安全配置都定义了相同的用户及其角色集。

我希望,此博客文章可以节省您一些时间,并为您提供一个良好的起点,因为Apache CXFSpring SecurityJetty的保护下相处得很好!

翻译自: https://www.javacodegeeks.com/2014/09/embedded-jetty-and-apache-cxf-secure-rest-services-with-spring-security.html

jetty

cunfen9460
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
jettycxf的支持,简单的cxf实例
hongtaq的专栏
11-21 2037
1、在eclipse中 创建一个java project。 2、把cxf的lib包中的jar文件放入项目的类路径。 3、4个文件如下:(cxf内置了jetty server, 省去了很多发布的麻烦) HelloWorld.java package test; import javax.jws.WebService; @WebServi
springbatch_嵌入式jetty_动态控制的quartz
12-05
支持web接口的批处理框架 在eclipse中导出为可执行的jar,无需部署到任何web容器中。直接通过bat或shell启动即可。...mybatis3.4.1 druid1.0.17 smg3(决策引擎) jetty8.1.5 fastjson1.2.7 springjdbc3.2.14
CXF+Jetty发布WebService
02-11
CXF+Jetty发布WebService
CXF 学习(1,使用内置的jetty服务器发布服务。2,CXFspring集成)
weixin_34146410的博客
08-19 435
2019独角兽企业重金招聘Python工程师标准>>> ...
分布式系统开发实战:基于Spring Security实现安全认证
m0_63437643的博客
03-15 187
本例使用了基于内存的信息管理器InMemory UserDetailsManager,同时初始化了一个用户名为“waylau”、密码为“123”、角色为“USER”的身份信息。AppConfiguration是整个应用的配置类,用于导入Spring Web MVC及Spring Security的配置信息。添加Spring Security的依赖时,由于是使用的snapshot版本,所以,要配置Spring Snapshots仓库。该POJO对象,可以根据消息转换器的设置,来生成不同格式的消息。
Apache CXF使用Jetty发布WebService
weixin_30339969的博客
03-18 329
一、概述 Apache CXF提供了用于方便地构建和开发WebService的可靠基础架构。它允许创建高性能和可扩展的服务,可以部署在Tomcat和基于Spring的轻量级容器中,也可以部署在更高级的服务器上,例如Jboss、WebSphere或WebLogic。CXF提供了以下功能: WebService服务标准支持: Java API for XML Web Service...
spring-cxf:Apache CXFSpring Boot 中运行,具有零 XML 配置
06-19
演示使用 Spring BootApache CXF 以零 XML 配置托管 JAX-WS 服务的能力。 运行服务 在终端中,执行: ./gradlew bootRun 或者,可以通过将demo.spring.service.Application.java作为普通 Java 应用程序运行,...
SpringBootStarter:模板Spring Boot项目演示了使用Spring Security保护REST服务
05-26
该项目旨在通过可用于部署的REST服务使您尽快启动并运行。 它使用以下技术: Java Sprint Boot Gradle 它演示了以下内容: 服务,域对象和测试客户端的单独项目 端到端单元测试 使用Jetty代替Tomcat作为容器 端点...
example-spring-jetty:基于嵌入式JettySpring MVC应用案例
06-17
基于嵌入式JettySpring MVC应用案例 Spring MVC 3.2.x 版本应用,基于嵌入式Jetty实现。 运行 mvn package java -jar target/example-spring-jetty-1.0-SNAPSHOT.jar 查看根信息 查看用户 查看images下面的图片 ...
RestApiService_java:在使用Java嵌入式Jetty服务器上使用Jersey的REST Api Web服务
04-04
Spring相比,Spring Boot旨在简化创建具有Spring动力的生产级应用程序和服务的过程。 它从Spring平台的角度出发,以便新老用户都能快速找到所需的信息。 Spring Boot的主要目标是: 为所有Spring开发提供根本上...
WebServices CXF开发常见异常及解决方法
iteye_16403的博客
07-14 1236
======================================================异常1================================================================= 2011-7-14 9:55:15 org.apache.cxf.service.factory.ReflectionServiceFactoryBean...
Cxf + Jetty发布相同问题
book_fengfeng2005的博客
03-05 165
  用cxf发布了一个webservice服务,silverlight直接访问不了,需要在服务的根目录下放入策略访问配置,但始终未找到cxf发布的这个服务的根目录。   下面是相关资料 a)jetty 1.6 嵌入使用webapps      http://blog.csdn.net/antswallow/article/details/6050101   b)嵌入式jetty的...
CXF系列之用CXF利用内置jetty发布ws
lizhao007
04-24 4854
MAVEN导入这里要导入一个cxf的j包和cxf中内置jetty服务器的包<dependency> <groupId>org.apache.cxf</groupId> <artifactId>cxf-rt-frontend-jaxws</artifactId> <version>3.1.4</version> </dependency>
嵌入式JettyApache CXF借助Spring Security保护REST服务
最佳 Java 编程
05-24 169
最近,我遇到了一个非常有趣的问题,我认为这只需几分钟即可解决:在Linux中使用Spring Security (当前稳定版本3.2.5 )保护Apache CXF (当前版本3.0.1 )/ JAX-RS REST服务。在嵌入式Jetty容器(当前版本9.2 )中运行的应用程序。 最后,一旦您了解了事物如何协同工作并了解了细微的内在细节,这将变得非常容易。 这篇博客文章将试图揭示这一点。 ...
CXF Webservice Using Embedded Jetty
走马观花
04-17 1731
 http://www.javatips.net/blog/2014/06/cxf-webservice-using-embedded-jetty @BeforeClass     public static void setUp() throws Exception {         server = new Server();         Connector
使用Spring启动内嵌Jetty的2种方式
大鸟
09-10 761
在应用程序内使用Spring启动内嵌的Jetty服务总共有2种方式: 1. 一种是启动一个独立运行的Jetty服务,使用独立的Spring配置,跟应用之间完全独立 2. 一种是启动一个与应用共享ApplicationContext的服务,可以访问应用的全部内容   对于第一种独立的Jetty服务:   Server server = new Server(); ...
基于java config的springSecurity(一)--基本搭建
热门推荐
xiejx618的专栏
01-08 2万+
本文主要介绍基于java config的集成配置.spring data jpa等等相关的资料在前面博文有介绍. 1.pom.xml. <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schema
Spring security实现登录验证+权限控制
xiaosongwahaha的博客
01-01 2612
废话不多说,直接上代码 一、pom.xml添加依赖                org.springframework.security          spring-security-core          3.1.4.RELEASE                      org.springframework.security          spr
ERROR com.winning.polaris.container.jetty.server.JettyServer - moduleId:Polaris_hmb_mobile_web For input string: ""
最新发布
06-13
这个错误信息看上去像是一个字符串转换错误。"For input string: """的意思是说,代码尝试将一个空字符串转换为数字或...如果您无法解决该问题,请提供更多的上下文和代码细节,我可以帮助您更好地理解和解决该问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值