受JAAS保护的JAX-RS端点

随着RESTFUL(JAX-RS)作为创建Web服务端点的“首选”方式的问世,很长一段时间以来,我一直想知道人们如何围绕它实现安全机制。

归根结底,我假设JAX-RS的基础实现是servlet,因此其安全性也可能围绕容器(即JAAS)已经提供的安全性。

这篇文章将涵盖我在Glassfish 3上如何使用JDBC领域,JAX-RS逐步实现基于FORM的安全性以及如何使用cURL对其进行测试的发现。

设置JDBC领域

首先,由于我们使用的是JDBC领域,所以我们假设我们已经在JNDI jdbc/test下创建了到基础数据库的JDBC连接。

下一步是创建一个新领域。 您可以通过以下方法执行此操作:转到服务器配置>安全性>领域,然后添加一个新领域。 选择领域类型com.sun.enterprise.security.auth.realm.jdbc.JDBCRealm ,然后填充必填字段。

  • 首先给您的新领域起一个名字。
  • 对于JAAS上下文,将jdbcRealm
  • 填充JNDI名称,最好以"jndi/"开头

接下来,请注意其余字段。 Glassfish似乎希望看到两个表。 第一个表包含用户列表,其中用户名是其唯一标识符。 第二张表列出了每个用户所属的组。 用户名是两个表之间的外键链接。 (下一节应该让您更好地了解表格的外观,毕竟它们非常简单)。

一旦创建了这些表,我们就可以相应地填充必填字段。

填充数据库以进行测试

下一步是填充表以进行测试。 假设我们将使用用户名hpotter和password test 。 但是,对于密码,请注意,Glassfish默认情况下的摘要为SHA-256,如以下屏幕截图所示。

sha-256

因此,您需要在插入之前对密码test进行编码。 您可以通过technipixel使用编码器,这将为您提供字符串9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08

下一步是编写一些INSERT语句:

INSERT INTO person (id, password, username) VALUES (1, '9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08', 'hpotter');
COMMIT;
INSERT INTO person_role (username, user_group) VALUES ('hpotter', 'User');
INSERT INTO person_role (username, user_group) VALUES ('hpotter', 'Admin');
COMMIT;

让我们继续下一步。

使用JAAS保护Web应用程序的安全

关于JAAS的很多使用FORM认证方法的教程。 但是,我想我再把它放在这里,希望有人会发现它更简单。

web.xml

对您的web.xml进行以下修改

<welcome-file-list>
        <welcome-file>/index.jsp</welcome-file><!-- 1 -->
    </welcome-file-list>
    <security-constraint><!-- 2 -->
        <display-name>TestConstraint</display-name>
        <web-resource-collection>
            <web-resource-name>TestResource</web-resource-name>
            <description/>
            <url-pattern>/*</url-pattern>
        </web-resource-collection>
        <auth-constraint>
            <description/>
            <role-name>User</role-name>
            <role-name>Admin</role-name>
        </auth-constraint>
    </security-constraint>
    <login-config><!-- 3 -->
        <auth-method>FORM</auth-method>
        <realm-name>testRealm</realm-name>
        <form-login-config>
            <form-login-page>/login.html</form-login-page>
            <form-error-page>/error.html</form-error-page>
        </form-login-config>
    </login-config>
    <security-role><!-- 4 -->
        <description/>
        <role-name>User</role-name>
    </security-role>
    <security-role><!-- 5 -->
        <description/>
        <role-name>Admin</role-name>
    </security-role>

让我们一一讲解它们。

  1. 这是成功登录后将显示的文件。 您也可以将此文件用作重定向。 例如,假设您有一个名为index.xhtml的文件(一个JSF页面),则可以使用response.sendRedirect("index.jsf");
  2. 这是实际的约束,即如何保护应用程序。 该部分基本上可以保护所有对应用程序的访问,以/* url模式表示,并且仅允许以UserAdmin角色访问用户。
  3. 这部分表示我们正在使用的是FORM身份验证方法(我将在下一节中对其进行详细说明)。 重要的部分是确保所使用的安全领域的名称正确,在这种情况下,该名称为testRealm ,即与我们通过Glassfish管理页面进行设置时提供的相同领域名称。 另一部分是设置包含j_security_check的页面,如果尚未验证请求访问权限,则应用程序将自动重定向到该页面。
  4. 已知角色
  5. 与上一节相同。
glassfish-web.xml

我们还需要配置glassfish-web.xml以便容器知道数据库中组之间的映射以及应用程序识别的角色。

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE glassfish-web-app PUBLIC "-//GlassFish.org//DTD GlassFish Application Server 3.1 Servlet 3.0//EN" "http://glassfish.org/dtds/glassfish-web-app_3_0-1.dtd">
<glassfish-web-app error-url="">
    <security-role-mapping>
        <role-name>Admin</role-name>
        <group-name>Admin</group-name>
    </security-role-mapping>
    <security-role-mapping>
        <role-name>User</role-name>
        <group-name>User</group-name>
    </security-role-mapping>
    <class-loader delegate="true"/>
    <jsp-config>
        <property name="keepgenerated" value="true">
            <description>Keep a copy of the generated servlet class' java code.</description>
        </property>
    </jsp-config>
</glassfish-web-app>

注意:如果您使用Netbeans,则可能会为您生成此文件。

登录页面:login.html

如果我们再次参考上面的web.xml ,请注意登录页面指向login.html 。 对于FORM身份验证方法,按照规范,我们需要使用j_security_checkj_usernamej_password (Oracle 2013)。

<!DOCTYPE html>
<html>
    <body>

        <form action="j_security_check" method="post">
            <p>
                <strong>Username</strong>
                <input type="text" name="j_username" size="25" />
            </p>
            <p>
                <strong>Password</strong>
                <input type="password" size="15" name="j_password" />
            </p>
            <p>
                <input type="submit" value="Submit" />
                <input type="reset" value="Reset" />
            </p>
        </form>
    </body>
</html>

完成所有这些操作后,我们可以启动Glassfish,部署我们的应用程序并使用任何浏览器对其进行测试。 访问该应用程序后,应将用户定向到login.html进行登录。 请记住使用hpotter作为用户名并test作为密码。 成功登录后,应将用户重定向到index.jsp (根据您的要求,该重定向又将用户重定向到index.jsfindex.jsp重定向到的任何内容)。

创建一个RESTFUL端点

当然,下一步是创建一个RESTFUL端点,这非常简单。 我在这里写的一篇文章可能也很有用。

首先,假设我们具有以下应用程序路径。

package com.dwuysan;

import javax.ws.rs.ApplicationPath;
import javax.ws.rs.core.Application;

/**
 * @author denywuy
 */
@ApplicationPath(value = "resources")
public class ApplicationConfig extends Application {
}

让我们假设我们具有以下简单的RESTFUL服务。

package com.dwuysan;

import com.dwuysan.entity.Outlet;
import com.dwuysan.service.OutletService;
import javax.annotation.ManagedBean;
import javax.annotation.security.RolesAllowed;
import javax.inject.Inject;
import javax.ws.rs.GET;
import javax.ws.rs.Path;
import javax.ws.rs.PathParam;

@Path(value = "generic")
@RolesAllowed(value = "User")
@ManagedBean
public class GenericResource {

    @Inject
    private OutletService outletService;

    @GET
    @Path("{id}")
    public Outlet get(@PathParam(value = "id") final long id) {
        return this.outletService.getOutlet(id);
    }
}

请注意,我们已使用javax.annotation.security.RolesAllowed批注保护了此服务的安全。

使用curl测试安全的RESTFUL服务

鉴于我们在上面创建的RESTFUL服务,我们应该能够使用CURL通过以下命令对其进行测试:

curl -X GET -H "Accept:application/json" -H "Content-Type:application/json" http://localhost:8080/testApp/resources/generic/101

上面的命令翻译为以下内容:使用GET命中上面的URL,标题为Accept:application / json和Content-Type:application / json(cURL 2013)

由于我们已经保护了我们的应用程序,因此上述调用将无法进行。 用户将被重定向到login.html 。 因此,我们现在的目标是首先登录。 使用cURL,我们可以提交登录参数(即用户名和密码),然后获取cookie。 为此,我们可以使用以下命令:

curl -b cookies.txt -c cookies.txt -d "j_username=hpotter&j_password=test" http://localhost:8080/testApp/j_security_check

该命令将用户名和密码提交给j_security_check (记住我们之前创建的login.html ),并将获得的cookie存储在cookies.txt文件cookies.txt

如果打开cookies.txt,则可能会看到以下内容:

# Netscape HTTP Cookie File
# http://curl.haxx.se/docs/http-cookies.html
# This file was generated by libcurl! Edit at your own risk.

#HttpOnly_localhost     FALSE   /testApp     FALSE   0       JSESSIONID      245a317ab91fbb28244403346770

注意:您可能会收到“文件移动”响应。 这意味着登录已成功。 否则,您将再次获得error.html的原始html。

成功通过身份验证后,我们可以使用从登录名获得的cookie来调用RESTFUL服务。

curl -X GET -H "Accept:application/json" -H "Content-Type:application/json" -b cookies.txt -c cookies.txt http://localhost:8080/testApp/resources/generic/101
参考文献:

参考:dwuysan博客博客中,由我们的JCG合作伙伴 Deny Wuysan提供了JAAS保护的JAX-RS端点

翻译自: https://www.javacodegeeks.com/2013/09/jaas-secured-jax-rs-end-point.html

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值