Java-JAX-RS(Jersey 2)安全性,@ PermitAll和@RolesAllowed无法正常工作

最新推荐文章于 2023-11-25 21:48:01 发布
最新推荐文章于 2023-11-25 21:48:01 发布
阅读量1.4k 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44109689/article/details/103116216
版权

我有一个具有三种资源的REST-API.第一个中的方法称为PublicResource,任何人都应该可以访问(即匿名访问).第二个方法中的方法称为SecretResource,只应允许特定的用户组访问.最后,第三个资源(称为MixedResource)具有混合设置,其中一些方法受到保护,而另一些则开放给公众访问.

 

注解@PermitAll和@RolesAllowed不能正常工作,尽管我期望它们如此.尽管PublicResource带有@PermitAll批注,但在尝试访问它时仍会被要求授权.用@PermitAll注释的MixedResource中的方法也是如此.因此,基本上,即使我应该具有匿名访问权限,我在所有资源中的任何地方都被要求授权.

我在Payara 4.1上运行,我感到非常困惑,因为我在运行于WebLogic 12.1.3上的另一个应用程序中进行了非常相似的设置,并且注释按预期工作.我想念什么或弄错了什么?请参阅下面的完整代码.

PublicResource.java

 

    import javax.annotation.security.PermitAll;
    import javax.ws.rs.GET;
    import javax.ws.rs.Path;
    import javax.ws.rs.Produces;
    import javax.ws.rs.core.MediaType;

    @Path("public")
    @PermitAll
    public class PublicResource {

        @GET
        @Produces(MediaType.TEXT_PLAIN)
        public String itsPublic() {
            return "public";
        }

    }

SecretResource.java:

 

    import javax.annotation.security.RolesAllowed;
    import javax.ws.rs.GET;
    import javax.ws.rs.core.MediaType;
    import javax.ws.rs.Path;
    import javax.ws.rs.Produces;

    @Path("secret")
    @RolesAllowed({ "SECRET" })
    public class SecretResource {

        @GET
        @Produces(MediaType.TEXT_PLAIN)
        public String itsSecret() {
            return "secret";
        }

    }

MixedResource.java:

 

    import javax.annotation.security.PermitAll;
    import javax.annotation.security.RolesAllowed;
    import javax.ws.rs.GET;
    import javax.ws.rs.Path;
    import javax.ws.rs.Produces;
    import javax.ws.rs.core.MediaType;

    @Path("mixed")
    @PermitAll
    public class MixedResource {

        @GET
        @Path("public")
        @Produces(MediaType.TEXT_PLAIN)
        public String itsPublic() {
            return "public";
        }

        @GET
        @Path("secret")
        @RolesAllowed({ "SECRET" })
        @Produces(MediaType.TEXT_PLAIN)
        public String itsSecret() {
            return "secret";
        }

    }

JAXRSConfiguration.java:

 

    import javax.ws.rs.ApplicationPath;
    import javax.ws.rs.core.Application;

    @ApplicationPath("resources")
    public class JAXRSConfiguration extends Application {

    }

web.xml:

 

    <?xml version="1.0" encoding="UTF-8"?>
    <web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee
             http://xmlns.jcp.org/xml/ns/javaee/web-app_3_1.xsd"
         version="3.1">
        <session-config>
            <session-timeout>30</session-timeout>
        </session-config>
        <security-constraint>
            <web-resource-collection>
                <web-resource-name>Basic Authorization</web-resource-name>
                <description/>
                <url-pattern>/resources/*</url-pattern>
            </web-resource-collection>
            <auth-constraint>
                <role-name>SECRET</role-name>
            </auth-constraint>
        </security-constraint>
        <login-config>
            <auth-method>BASIC</auth-method>
            <realm-name>file</realm-name>
        </login-config>
        <error-page>
            <exception-type>java.lang.Throwable</exception-type>
            <location>/error/internal</location>
        </error-page>
        <security-role>
            <role-name>SECRET</role-name>
        </security-role>
    </web-app>

glassfish-web.xml:

 

    <?xml version="1.0" encoding="UTF-8"?>
    <!DOCTYPE glassfish-web-app PUBLIC "-//GlassFish.org//DTD GlassFish Application Server 3.1 Servlet 3.0//EN" "http://glassfish.org/dtds/glassfish-web-app_3_0-1.dtd">
    <glassfish-web-app error-url="">
        <class-loader delegate="true"/>
        <security-role-mapping>
            <role-name>SECRET</role-name>
            <group-name>cia</group-name>
        </security-role-mapping>
        <jsp-config>
            <property name="keepgenerated" value="true">
                <description>Keep a copy of the generated servlet class' java code.</description>
            </property>
        </jsp-config>
    </glassfish-web-app>

beans.xml:

 

    <?xml version="1.0" encoding="UTF-8"?>
    <beans xmlns="http://xmlns.jcp.org/xml/ns/javaee"
   xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
   xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee http://xmlns.jcp.org/xml/ns/javaee/beans_1_1.xsd"
   bean-discovery-mode="all">
    </beans>

Inm小程序商店 | Vultr中文网

最佳答案

从表面上看,泽西岛不是问题.您配置的唯一真正的安全性是在servlet容器级别.您的Jersey安全性注释都没有任何作用,因为您甚至都没有为其配置特定于Jersey的支持.

 

首先看看你的web.xml配置

 

<security-constraint>
    <web-resource-collection>
        <web-resource-name>Basic Authorization</web-resource-name>
        <description/>
        <url-pattern>/resources/*</url-pattern>
    </web-resource-collection>
    <auth-constraint>
        <role-name>SECRET</role-name>
    </auth-constraint>
</security-constraint>

第一部分设置每个资源都需要身份验证.因此,您认为@PermitAll不起作用的问题实际上是由于您将servlet配置为不允许未经身份验证的任何人通过而导致的.

然后,您在Servlet容器级别上设置授权,以仅允许具有SECRET角色的用户.因此,所有安全配置都在web.xml中进行了配置.与泽西岛无关.

要解决此问题,您需要了解的另一件事是身份验证和授权之间的区别,以及谁在其中扮演什么角色(关于servlet容器和Jersey).

@ PermitAll,@ RolesAllowed等只是Jersey处理授权的方式.预期已经有一个经过身份验证的用户.泽西如何通过从servlet请求中获取主体来检查这一点.如果没有主体,则假定没有经过身份验证的用户,并且即使您具有@PermitAll,也不会允许任何人通过,因为即使@PermitAll也要求对用户进行身份验证.

话虽这么说,我不知道有没有一种方法可以在您的服务器中设置匿名用户.这是获得所需行为所需要的.请记住,泽西岛仍然需要有一个经过身份验证的用户.因此,除非您能以某种方式在容器上设置匿名用户,否则我看不到您可以使该工作正常进行.

如果您为安全和非安全设置了不同的路径,则只需在web.xml中配置安全的路径,然后放开其他所有内容.这样,甚至不需要@PermitAll.请记住,使用@PermitAll,它需要一个经过身份验证的用户.但是,如果只删除@PermitAll,则所有请求都将通过.如果您将安全路径与非安全路径分开,这将是可能的.

如果要对所有这些进行更多控制,则最好实现自己的安全性,而不要使用Servlet容器的安全性.通常我不建议这样做,但是基本身份验证可能是最容易实现的安全协议.您可以检出this example,其中所有操作都使用Jersey过滤器完成.

最后要注意的事实是,您甚至尚未配置对Jersey的授权支持.您仍然需要向该应用程序注册RolesAllowedDynamicFeature.由于您正在对JAX-RS配置使用类路径扫描(空的应用程序类),因此您将需要从功能中注册它,如this post中所述

关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring-security 方法访问限制,权限控制
hi_你好
07-24 1977
这是篇关于spring-security的权限控制文章,涉及使用多种不同方式进行方法控制和页面控制。 方法控制:1.jsr-250;2.secured 3.spel表达式 页面控制:页面内容控制,可使用spel表达式
jax-rs-pac4j:用于JAX-RSJersey安全性
01-28
jax-rs-pac4j项目是用于JAX-RS Web应用程序和Web服务的简单而强大的安全性库,它支持身份验证和授权,还具有注销和会话固定和CSRF保护等高级功能。 它基于Java 8,Servlet 3(如果有),JAX-RS 2和v4 。 它在Apache ...
想要控制好权限,这8个注解必须知道!
码猿技术专栏
08-07 392
大家好,我是不才陈某~在码猿慢病云管理系统采用的是Spring Cloud 集成Spring Security OAuth2的方式实现认证、鉴权,其中涉及到的一个重要问题则是数据权限的过滤,今天就来介绍一下实现的方案。在之前的文章中曾经介绍过通过自定义的三个注解 @RequiresLogin、 @RequiresPermissions 、 @RequiresRoles 实现微服务的鉴权其实就是参考...
dropwizard-dynamic-role-filter:DynamicFeature和过滤器,允许@RolesAllowed批注接受PathParam,QueryParam和HeaderParam的替换(类似于如何从@Path批注中获取路径参数)
05-03
Dropwizard动态角色过滤器 描述 一个DynamicFeature和过滤器,允许@RolesAllowed批注接受PathParam,QueryParam和HeaderParam的替换(类似于从@Path批注中获取路径参数的方式)。 制作说明 克隆源: git clone https://github.com/sumannewton/dropwizard-dynamic-role-filter.git 建造 mvn install 回购 <repository> <id>clojars</id> <name>Clojars repository</name> <url>https://clojars.org/repo</url> </repository> 依赖信息 <dependency> <groupId>com.sumannewton</gr
@PathParam 和 @QueryParam
小鹰信息技术服务部
04-01 7969
今天调试一个上传功能,客户端手持机发送数据,在URL中附加一个参数,后台用@PathParam接收,但是报错,无法获取这个参数。 url:http://192.168.1.3/web1_service/convert/vict_hj1000?unit=160106 代码: @Path("/vict_hj1000") @POST @Consumes(MediaType.MULTIPAR
spring security提供的注解对方法来进行权限控制
CxOneCom的博客
02-23 762
支持三种类型的注解: JSR-250注解; @Secured注解; 支持表达式的注解。 JSR-250注解 @RolesAllowed:表示访问对象时应该具有的角色 @PermitAll:表示允许所有的角色进行访问,不进行权限控制 @DenyAll:表示什么角色都不能进行访问 @Secured注解 注:必须加上前缀 ROLE_ 支持表达式的注解 @PreAuthorize 在方法调用之前,基于表达式的计算结果来限制对方法的访问 @PostAuthorize 在方法调用之后,基于表达式的计算结果来限制对
说一下Spring Security中@PermitAll和@PreAuthorize的使用
qq_55754838的博客
11-25 1388
本文主要来自于看Java开源项目,方便理解开源项目的代码是怎么实现的,加深自己的基本功。
Spring Security核心组件之授权
clyu的博客
01-01 3511
Spring Security 中对于权限控制默认已经提供了很多了,但是,一个优秀的框架必须具备良好的扩展性,恰好,Spring Security 的扩展性就非常棒,我们既可以使用 Spring Security 提供的方式做授权,也可以自定义授权逻辑。一句话,你想怎么玩都可以! 一、 URL层面的授权 1.1 访问控制url的匹配 在配置类中http.authorizeRequests()主要是对url进行控制。配置顺序会影响之后授权的效果,越是具体的应该放在前面,越是笼统的应该放到后面。 anyRequ
想要控制好权限,这八个注解你必须知道!
麦叔
08-22 1010
在讲数据权限之前,我们有必要先和大家介绍一下 Spring Security 中的权限注解,把这个捋清楚了,再去看 TienChin 项目的权限注解,你就会发现非常容易了。
为什么permitAll()不起作用,并要求在请求中提供认证对象?
小汤圆
08-17 2083
@Configuration @EnableWebSecurity public class SecurityConfiguration extends WebSecurityConfigurerAdapter { @Autowired private CustomUserDetailService userDetailsService; @Bean public PasswordEncoder passwordEncoder() { return new StandardPasswordEnc
springsecurity
zhangsongshan33的博客
11-08 127
securing
java-jaxrs:Java JAX-RS示例集合
04-03
Java JAX-RS示例 根据MIT许可获得许可。 请参阅文件LICENSE。 Java JAX-RS示例的集合。 示例包括用Java编写的代码。 链接 一般的 -用Java测试和验证REST服务 阿帕奇 (实现JAX-RS等)
jackson-jaxrs-json-provider-2.7.8-API文档-中文版.zip
06-26
标签:fasterxml、jackson、jaxrs、json、provider、中文文档、jar包、java; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释...
jackson-jaxrs-providers:包含用于JSON,XML,YAML,Smile,CBOR格式的基于Jackson的JAX-RS提供程序的多模块项目
05-15
概述这是一个多模块项目,包含用于以下数据格式的基于Jackson的JAX-RS提供程序:(二进制JSON) (另一种二进制JSON) 提供程序实现特定数据格式的JAX-RS MessageBodyReader和MessageBodyWriter处理程序。...
jackson-jaxrs-json-provider-2.7.8-API文档-中英对照版.zip
06-19
标签:fasterxml、jackson、jaxrs、json、provider、中英对照文档、jar包、java; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,...
基于matlab实现的一种新型的配电网潮流计算,基于前推回代法
05-03
基于matlab实现的一种新型的配电网潮流计算,基于前推回代法,并附有10kv配电网数据,利用新的判别手段,成功解决配电网不收敛的问题.rar
node-v5.3.0.tar.xz
最新发布
05-03
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
ASP+ACCESS网上园林设计(源代码+设计说明书).zip
05-03
ASP+ACCESS网上园林设计(源代码+设计说明书).zip
2023-04-06-项目笔记 - 第一百二十二阶段 - 4.4.2.120全局变量的作用域-120 -2024.05.03
05-03
2023-04-06-项目笔记-第一百二十二阶段-课前小分享_小分享1.坚持提交gitee 小分享2.作业中提交代码 小分享3.写代码注意代码风格 4.3.1变量的使用 4.4变量的作用域与生命周期 4.4.1局部变量的作用域 4.4.2全局变量的作用域 4.4.2.1全局变量的作用域_1 4.4.2.120全局变量的作用域_120 - 2024-05-03
javaRMIjava-RS
06-02
Java RMIJAX-RS都是Java中实现远程服务调用的方式,但是它们有一些不同点。 Java RMI是一种基于Java虚拟机(JVM)的RPC协议,它允许在不同的JVM进程之间进行通信。Java RMI需要定义远程接口,并实现接口的类需要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值