如何使用Spring Security和Basic身份验证保护Jersey REST服务

于 2020-05-27 12:13:03 发布
阅读量332 收藏
点赞数
文章标签: 数据库 spring java maven spring boot

在我之前的博客文章“ 检查REST API是否有效的快速方法–从清单文件中获取GET详细信息”中 ,我展示了如何开发REST资源以轻松检查开发的REST API是否可用。 在本文中,我将介绍如何使用Spring Security和基本身份验证来保护此资源的安全性– “在HTTP事务的上下文中,基本访问身份验证是HTTP用户代理在发出请求时提供用户名和密码的方法。”

此处介绍的受保护的REST资源是更大项目的一部分,在教程中进行了广泛介绍-REST API设计和Java以及Jersey和Spring的实现

使用的软件

  1. 泽西岛JAX-RS实现2.14
  2. Spring4.1.4
  3. Spring Security 3.2.5
  4. Maven 3.1.1
  5. JDK 7

Spring安全配置

图书馆

为了通过基本身份验证保护REST服务,在类路径中需要以下Spring安全性库。 因为我使用的是Maven,所以它们在pom.xml中被列为Maven依赖项:

Spring安全性库 

<!-- Spring security -->
<dependency>
	<groupId>org.springframework.security</groupId>
	<artifactId>spring-security-core</artifactId>
	<version>${spring.security.version}</version>
</dependency>
<dependency>
	<groupId>org.springframework.security</groupId>
	<artifactId>spring-security-web</artifactId>
	<version>${spring.security.version}</version>
</dependency>
<dependency>
	<groupId>org.springframework.security</groupId>
	<artifactId>spring-security-config</artifactId>
	<version>${spring.security.version}</version>
</dependency>

安全应用程序上下文

Spring安全配置 

<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
    xmlns:beans="http://www.springframework.org/schema/beans"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns:security="http://www.springframework.org/schema/security"    
    xsi:schemaLocation="
    	http://www.springframework.org/schema/beans 
    	http://www.springframework.org/schema/beans/spring-beans.xsd
                
        http://www.springframework.org/schema/security 
        http://www.springframework.org/schema/security/spring-security.xsd">
	
	<!-- Stateless RESTful services use BASIC authentication -->
    <security:http create-session="stateless" pattern="/manifest/**">
        <security:intercept-url pattern="/**" access="ROLE_REST"/>
        <security:http-basic/>
    </security:http>

    <security:authentication-manager>
        <security:authentication-provider>
            <security:user-service>
                <security:user name="rest" password="rest" authorities="ROLE_REST"/>
            </security:user-service>
        </security:authentication-provider>
    </security:authentication-manager>

</beans:beans>

如您所见, “剩余”用户和角色在内存中定义。 这些定义在元素<security:user-service>及其子元素<security:user> 。 这样可以确保只有具有ROLE_REST角色的用户才能访问:

具有内存设置的身份验证管理器 

<security:authentication-manager>
	<security:authentication-provider>
		<security:user-service>
			<security:user name="rest" password="rest" authorities="ROLE_REST"/>
		</security:user-service>
	</security:authentication-provider>
</security:authentication-manager>

下一步是保护/manifest/* URL,仅允许访问新定义的休息用户:

通过基于角色的访问保护URL 

<security:http create-session="stateless" pattern="/manifest/**">
	<security:intercept-url pattern="/**" access="ROLE_REST"/>
	<security:http-basic/>
</security:http>

在我们的应用程序中,通过<security:http-basic/>行启用了基本HTTP身份验证。

注意:

您不能在applicationContext.xml文件中定义Spring Security的安全性约束,因为它们需要与Servlet侦听器和过滤器链一起加载。 它们需要位于由Servlet侦听器定义的适当的WebApplicationContext中,而不是与Servlet相关的侦听器中。 这是因为DelegatingFilterProxy将查找ContextLoaderListener加载的ServletContext中定义的根应用程序上下文。 如果仅定义applicationContext.xml,因为过滤器首先加载,则在servlet之前加载,筛选器将无法找到任何应​​用程序上下文,因此将无法正确加载。

Web.xml

现在扩展contextConfigLocation上下文参数,以了解新的spring安全配置文件security-context.xml

web.xml –上下文参数扩展 

<context-param>
	<param-name>contextConfigLocation</param-name>
	<param-value>
		classpath:spring/applicationContext.xml
		classpath:spring/security-context.xml
	</param-value>
</context-param>

仅针对与清单相关的URL钩住Spring安全性:

钩住Spring安全 

<servlet>
	<servlet-name>jersey-servlet</servlet-name>
	<servlet-class>
		org.glassfish.jersey.servlet.ServletContainer
	</servlet-class>
	<init-param>
		<param-name>javax.ws.rs.Application</param-name>
		<param-value>org.codingpedia.demo.rest.RestDemoJaxRsApplication</param-value>			
	</init-param>		
	<load-on-startup>1</load-on-startup>
</servlet>

<servlet-mapping>
	<servlet-name>jersey-servlet</servlet-name>
	<url-pattern>/*</url-pattern>
</servlet-mapping>

<!--Hook into spring security-->
<filter>
	<filter-name>springSecurityFilterChain</filter-name>
	<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>

<filter-mapping>
  <filter-name>springSecurityFilterChain</filter-name>
  <url-pattern>/manifest/*</url-pattern>
</filter-mapping>

Spring安全过滤器链需要激活。

测试中

浏览器

如果您通过浏览器访问受保护的位置,则会显示一个标准HTTP身份验证弹出窗口,询问身份验证详细信息:

标准弹出浏览器

放置休息/休息 ,您应该会收到JSON响应。

SoapUI

通过soapUI使用基本身份验证测试安全的REST相当容易。 观看以下视频以了解更多信息:

请求

使用基本身份验证请求资源 

GET http://localhost:8888/demo-rest-jersey-spring/manifest HTTP/1.1
Accept-Encoding: gzip,deflate
Accept: application/json
Host: localhost:8888
Connection: Keep-Alive
User-Agent: Apache-HttpClient/4.1.1 (java 1.5)
Authorization: Basic cmVzdDpyZXN0

请注意Authorization标头,其结构如下:

  1. 用户名和密码合并为字符串“ username:password”
  2. 然后,使用Base64的RFC2045-MIME变体对结果字符串进行编码,但不限于76个字符/行
  3. 然后将授权方法和一个空格(即“ Basic”)放置在编码字符串之前。

响应

回应–清单明细 

HTTP/1.1 200 OK
Date: Tue, 03 Feb 2015 15:47:32 GMT
Content-Type: application/json
Access-Control-Allow-Origin: *
Access-Control-Allow-Methods: GET, POST, DELETE, PUT
Access-Control-Allow-Headers: X-Requested-With, Content-Type, X-Codingpedia
Vary: Accept-Encoding
Content-Encoding: gzip
Content-Length: 196
Server: Jetty(9.2.6.v20141205)

{"Implementation-Title":"DemoRestWS","Implementation-Version":"0.0.1-SNAPSHOT","Implementation-Vendor-Id":"org.codingpedia","Built-By":"Matei1.Adrian","Build-Jdk":"1.7.0_40","Manifest-Version":"1.0","Created-By":"Apache Maven 3.1.1","Specification-Title":"DemoRestWS","Specification-Version":"0.0.1-SNAPSHOT"}

摘要

好吧,就是这样。 Spring Security是一个非常强大的框架,带有大量的配置选项。 在本文中,我仅演示了其中之一,即如何使用基本身份验证来保护REST资源。 当然,在更现实的情况下,您可以将用户和角色存储在LDAP目录或数据库中……

注意:如果您决定使用基本身份验证来保护REST资源,请确保通过HTTPS调用它们。 如今,保护REST资源安全的首选方法是使用OAuth 。 有关更多信息,请参见稍后的文章。

翻译自: https://www.javacodegeeks.com/2015/02/secure-jersey-rest-services-spring-security-basic-authentication.html

dnc8371
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring-webmvc-jwt-sample:使用Spring Security和基于JWT令牌的身份验证保护REST API
01-30
在基于Spring的应用程序中,Spring Security是出色的身份验证和授权解决方案,它提供了多种保护REST API的选项。 最简单的方法是利用HTTP Basic,它在引导基于Spring Boot的应用程序时默认情况下被激活。 它适合于...
spring_如何使用Spring SecurityBasic身份验证保护Jersey REST服务
cunfen0516的博客
12-19 187
spring 在我以前的博客文章“ 检查REST API是否有效的快速方法–从清单文件中获取GET详细信息”中,我展示了如何开发REST资源以轻松检查开发的REST API是否可用。 在本文中,我将介绍如何使用Spring Security和基本身份验证保护此资源的安全性– “在HTTP事务的上下文中,基本访问身份验证是HTTP用户代理在发出请求时提供用户名和密码的方法。” 此处介绍的受保护...
Jersey Client基于Https的Basic Authorization
牛奋lch
03-02 3198
当我们使用Jersey客户端进行Https请求的时候,需要一些Basic的认证,例如我们在请求Github开放平台的时候,只有在请求头中带用户名和密码的基本认证,才会返回结果,那么Jersey客户端如何进行Basic的认证了?(Jersey的代理问题一直没有解决,如果有知道的大牛,还请告知,Thanks!) 方式一:基本认证 HttpAuthenticationFeature featur
使用Spring Security和OAuth2实现RESTful服务安全认证
zw456的专栏
11-05 1万+
使用Spring Security和OAuth2实现RESTful服务安全认证    这篇教程是展示如何设置一个OAuth2服务保护REST资源. 源代码下载github. 你能下载这个源码就开始编写一个被OAuth方法保护服务。该源码包含功能: * 用户注册和登录 * Email验证 * Password 丢失 采取的技术有以下: * OAuth2 Protoc
使用Spring SecurityRESTful服务进行身份验证
最佳 Java 编程
05-13 920
1.概述 本文重点介绍如何针对提供安全服务的安全REST API进行身份验证 -主要是RESTful用户帐户和身份验证服务。 2.目标 首先,让我们看一下参与者-典型的启用了Spring Security的应用程序需要针对某些事物进行身份验证-该事物可以是数据库,LDAP或可以是REST服务数据库是最常见的情况。 但是,RESTful UAA(用户帐户和身份验证服务也可以正常工作。...
springboot+jjwt+security完美解决restful接口无状态鉴权
热门推荐
梦想修补师
08-19 1万+
服务大行其道的现在,如果我们还在用wsdl之类的提供接口,给人的感觉就会很low,虽然说不能为了炫技而炫技,但是既然restful接口已经越来越流行,必然有它的道理。 本文我们不讨论restful接口的好处,旨在解决使用restful时候的权限控制问题。 springboot本身已经提供了很好的spring security的支持,我们只需要实现(或者重写)一部分接口来实现我们的...
Spring Boot(四)之使用JWT和Spring Security保护REST API
08-30
主要介绍了Spring Boot(四)之使用JWT和Spring Security保护REST API的相关知识,需要的朋友可以参考下
jersey-jwt-springsecurity:具有JWT身份验证REST API的示例,该示例使用Spring BootSpring SecurityJersey和Jackson
02-06
使用JerseySpring Security的具有JWT身份验证REST API 此示例应用程序演示了如何使用以下方法执行基于令牌的身份验证Spring Boot:用于创建独立Java应用程序的框架。 Spring Security:认证和授权框架。 ...
spring-boot-basic-auth:使用基本身份验证的安全Spring Boot REST API
02-04
弹簧启动基本认证 使用基本身份验证保护Spring Boot REST API
详解Spring Security中的HttpBasic登录验证模式
08-25
HttpBasic登录验证模式是Spring Security实现登录验证最简单的一种方式,也可以说是最简陋的一种方式,这篇文章主要介绍了Spring Security的HttpBasic登录验证模式,需要的朋友可以参考下
extjs+jersey+spring+jpa Security 安全验证
12-29
一个简单的 安全验证的dome 自己看配置文件 在mysql下建库 自动生成表 添加好权限 权限表 role 内容最少如下 id name value 1 admin ROLE_ADMIN 2 user ROLE_USER value值必须以ROLE_开头 配置好 用户与 权限边的关系 userrole
Restful风格服务端应用的Spring Boot + Spring Security配置
06-08
NULL 博文链接:https://357029540.iteye.com/blog/2329730
Spring开发RESTful服务(JSON)
tuolingss的专栏
04-30 1430
最近学习了Spring,学习环境为Spring4.3.8 + Eclipse + JDK1.8。 使用Spring开发了一个简单的RESTful服务,客户端的请求和服务端的答复都是json格式。 步骤如下: 1、建立一网站。路径:File->New->Web->Dynamic Web Project。 2、导入Spring的jar包。红框内的jar包是必须要导入的,其他的...
从零开始学Spring Boot
02-28
<img src="https://img-bss.csdn.net/202002270305259551.jpg" alt="" />
Spring Boot + Jersey
kiwi_coder
06-21 1万+
Jersey是一个非常好的Java REST API库。当你用Jersey实现REST的时候,是非常自然的。同时Spring BootJava世界中另一个很好的工具,它减少了程序的应用配置。这篇博客就介绍下如何将JerseySpring Boot结合起来使用
JerseySpring Boot入门
最佳 Java 编程
05-26 931
除了许多新功能,Spring Boot 1.2还带来了Jersey支持。 这是吸引喜欢标准方法的开发人员的重要一步,因为他们现在可以使用JAX-RS规范构建RESTful API,并将其轻松部署到Tomcat或任何其他Spring's Boot支持的容器中。 带有Spring平台的Jersey可以在mico服务的开发中发挥重要作用。 在本文中,我将演示如何使用Spring Boot(包括:S...
jersey框架应用实践
游离在社会边缘
01-27 9541
本章节在于记录研究某个项目时遇到的restful架构技术jersey框架,这里以自己写的一个简单例子作为切入jersey的参考。本次使用的架构是jersey+guice,jersey作为rest服务框架,guice作为di框架。使用内嵌jetty作为应用容器,舍弃web.xml配置。 进入正题: 一、maven依赖: 以下所列的依赖并非最小集。     org.eclips
Jersey中的基本权限认证及访问程序
大鹏的专栏
08-07 1万+
Jersey 中的基本权限认证程序
Spring Security和OAuth2实现RESTful服务安全认证
yueguanyun的专栏
08-04 2870
Spring Security和OAuth2实现RESTful服务安全认证 转自:http://blog.csdn.net/l241002209/article/details/37518869 这篇教程是展示如何设置一个OAuth2服务保护REST资源. 源代码下载github. (https://github.com/iainporter/oauth2-provider)你能下载
使用Spring Security和MySQL进行身份验证
最新发布
06-10
使用Spring Security和MySQL进行身份验证,您需要完成以下步骤: 1. 添加Spring Security和MySQL的依赖。您可以在Maven或Gradle中添加以下依赖: ```xml <!-- Spring Security --> <groupId>org.spring...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值