如何在Dropwizard中进行资源的基本身份验证

Question

我相信我有基本的身份验证工作，但我不知道如何保护资源，以便只有在用户登录时才能访问它们。

public class SimpleAuthenticator implements Authenticator<BasicCredentials, User> {
    UserDAO userDao;

    public SimpleAuthenticator(UserDAO userDao) {this.userDao = userDao;}

    @Override
    public Optional<User> authenticate(BasicCredentials credentials) throws AuthenticationException    
    {
        User user = this.userDao.getUserByName(credentials.getUsername());
        if (user!=null &&
                user.getName().equalsIgnoreCase(credentials.getUsername()) &&
                BCrypt.checkpw(credentials.getPassword(), user.getPwhash())) {
            return Optional.of(new User(credentials.getUsername()));
        }
        return Optional.absent();
    }
}

我的Signin资源是这样的：

@Path("/myapp")
@Produces(MediaType.APPLICATION_JSON)
public class UserResource {
    @GET
    @Path("/signin")
    public User signin(@Auth User user) {
        return user;
    }
}

我签署了用户：

~/java/myservice $ curl -u "someuser" http://localhost:8080/myapp/signin
Enter host password for user 'someuser':
{"name":"someuser"}

题

假设用户使用/myapp/signin端点从浏览器或本机移动应用程序前端/myapp/signin 。 那我怎么能保护另一个端点，比如/myapp/{username}/getstuff ，这需要用户签名

@GET
@Path("/myapp/{username}/getstuff")
public Stuff getStuff(@PathParam("username") String username) {
    //some logic here
    return new Stuff();
}

Answer 1

当您尝试实现REST时，有两件事情。 一个是身份验证（似乎你已经使它工作）而另一个是授权（这是我相信你的问题）。

之前我在dropwizard中处理它的方式是，在每个用户登录的情况下，你将某种access_token（这证明它们经过身份验证）返回给客户端，客户端必须在每次连续调用中返回它们作为某些部分的一部分。标题（通常这是通过“授权”标题完成的）。 在服务器端，您必须将此access_token保存/映射到该用户，然后再将其返回给客户端，并且当使用该access_token进行所有后续调用时，您将查找使用该access_token映射的用户并确定该用户是否有权访问该资源。 现在举个例子：

1）用户使用/ myapp / signin登录

2）您对用户进行身份验证并发送一个access_token作为响应，同时保存在您身边，例如access_token - > userIdABCD

3）客户端返回/ myapp / {username} / getstuff。 如果客户端未提供带有access_token的“Authorization”标头，则应立即返回401 Unauthorized代码。

4）如果客户端确实提供了access_token，您可以根据您在步骤＃2中保存的access_token查找用户，并检查该userId是否可以访问该资源。 如果没有，则返回401未授权代码，如果有访问权限，则返回实际数据。

现在来到“授权”标题部分。 您可以使用“@Context HttpServletRequest hsr”参数访问所有调用中的“Authoroziation”标头，但是在每次调用中添加该参数是否有意义？ 不，不。 这是安全过滤器在dropwizard中的帮助。 这是一个如何添加安全过滤器的示例。

public class SecurityFilter extends OncePerRequestFilter{
@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException{
String accessToken = request.getHeader("Authorization");
// Do stuff here based on the access token (check for user's authorization to the resource ...
}

现在，这个安全过滤器真正保护了哪些资源？ 为此，您需要将此过滤器添加到要保护的特定资源，可以按如下方式完成：

environment.addFilter(SecurityFilter, "/myapp/*");

请记住，你的urls / myapp / signin和/ myapp / {username} / getstuff都将通过这个安全过滤器，但是/ myapp / signin将没有access_token，显然是因为你没有给出任何到了客户端。 必须在过滤器本身中处理，例如：

String url = request.getRequestURL().toString();
if(url.endsWith("signin"))
{
// Don't look for authorization header, and let the filter pass without any checks
}
else
{
// DO YOUR NORMAL AUTHORIZATION RELATED STUFF HERE
}

您保护的URL将取决于您的网址结构以及您想要保护的内容。 您设计的网址越好，编写安全过滤器以保护它们就越容易。添加此安全过滤器后，流程将如下所示：

1）用户转到/ myapp / signin。 该调用将通过过滤器，并且由于该“if”语句，它将继续到/ myapp / signin的ACTUAL资源，您将根据成功的身份验证分配access_token

2）用户使用access_token拨打/ myapp / {username} / mystuff。 此调用将通过相同的安全筛选器，并将通过您实际授权的“else”语句。 如果授权通过，则调用将继续到您的实际资源处理程序，如果未授权，则应返回401。

public class SecurityFilter extends OncePerRequestFilter
{

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException
    {
        String url = request.getRequestURL().toString();
        String accessToken = request.getHeader("Authorization");
        try
        {
            if (accessToken == null || accessToken.isEmpty())
            {
                throw new Exception(Status.UNAUTHORIZED.getStatusCode(), "Provided access token is either null or empty or does not have permissions to access this resource." + accessToken);
            }
            if (url.endsWith("/signin"))
            {
    //Don't Do anything
                filterChain.doFilter(request, response);
            }
            else
            {
    //AUTHORIZE the access_token here. If authorization goes through, continue as normal, OR throw a 401 unaurhtorized exception

                filterChain.doFilter(request, response);
            }
        }
        catch (Exception ex)
        {
            response.setStatus(401);
            response.setCharacterEncoding("UTF-8");
            response.setContentType(MediaType.APPLICATION_JSON);
            response.getWriter().print("Unauthorized");
        }
    }
}

我希望这有帮助！ 我花了大约两天的时间来弄明白这一点！

Answer 2

很抱歉是一个简单的用户。 我相信您可以使用@Auth用户来保护资源

public Service1Bean Service1Method1(
    @Auth User user,
    @QueryParam("name") com.google.common.base.Optional<String> name) {