Jersey 2.x安全上下文不起作用?
[英]Jersey 2.x Security context does not work?
问题描述
虽然我正在尝试创建java jersey应用程序身份验证角色对我不起作用。
Java代码: -
package org.student.resource;
import javax.annotation.security.PermitAll;
import javax.annotation.security.RolesAllowed;
import javax.ws.rs.GET;
import javax.ws.rs.POST;
import javax.ws.rs.Path;
import javax.ws.rs.ext.Provider;
@Path("/resource")
@PermitAll
public class Resource {
@GET
public String get(){
return "GET";
}
@RolesAllowed("admin")
@POST
public String post(){
return "Post content.";
}
}
部署描述符: -
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns="http://xmlns.jcp.org/xml/ns/javaee"
xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee http://xmlns.jcp.org/xml/ns/javaee/web-app_3_1.xsd"
id="WebApp_ID" version="3.1">
<display-name>JerseyAuthentication</display-name>
<servlet>
<servlet-name>Application</servlet-name>
<servlet-class>org.glassfish.jersey.servlet.ServletContainer</servlet-class>
</servlet>
<servlet-mapping>
<servlet-name>Application</servlet-name>
<url-pattern>/*</url-pattern>
</servlet-mapping>
<security-constraint>
<web-resource-collection>
<web-resource-name>Resource</web-resource-name>
<url-pattern>/resource/*</url-pattern>
<http-method>GET</http-method>
</web-resource-collection>
</security-constraint>
<welcome-file-list>
<welcome-file>login.html</welcome-file>
</welcome-file-list>
</web-app>
标题: -
Cache-Control →private
Content-Language →en
Content-Length →1010
Content-Type →text/html;charset=utf-8
Date →Sat, 19 Sep 2015 08:14:18 GMT
Expires →Thu, 01 Jan 1970 05:30:00 IST
Server →Apache-Coyote/1.1
请帮助我做一些帮助。我想知道为资源分配角色。
1 个解决方案
解决方案1
3 已采纳 2015-09-19 11:24:10
所以你需要做三件事
第一..
在Tomcat中设置安全领域(我假设服务器是Server →Apache-Coyote/1.1 )。 您可以在Realm Configuration HOW-TO中阅读有关创建领域的更多信息。
最简单的配置领域是UserDatabaseRealm ,但绝不建议用于生产。 这只是让你在开发中运行起来。 您需要做的就是转到${TOMCAT_HOME}/conf的tomcat-users.xml文件。 然后只需编辑它应该看起来像的文件
<tomcat-users>
<user username="Murugesan" password="secret" roles="admin" />
<user username="peeskillet" password="superSecret" roles="user" />
</tomcat-users>
第二..
您仍需要稍微配置web.xml。 你需要做一些事情
声明允许使用该应用程序的角色。 你可以将它放在
</security-contraint><security-role> <role-name>user</role-name> </security-role> <security-role> <role-name>admin</role-name> </security-role>声明允许访问
<security-constraint>定义的路径的角色<security-constraint> <web-resource-collection> <web-resource-name>Protected Area</web-resource-name> <url-pattern>/api/protected/*</url-pattern> <http-method>GET</http-method> </web-resource-collection> <auth-constraint> <role-name>*</role-name> </auth-constraint> </security-constraint>这里我们说任何带有一个声明角色的经过身份验证的用户(
*)都可以通过servlet容器安全控制直到Jersey应用程序。 或者,您可以定义角色而不是*。 这将导致servlet容器处理访问控制。 但是如果你想要更细粒度的控制,只需让所有经过身份验证的用户进入,并使用你当前正在做的注释处理Jersey内部的访问控制。您需要定义
<login-config>以声明什么类型的身份验证。 只有三个。FORM,DIGEST,BASIC。 这里我们将使用BASIC,并声明用户所在的领域。<login-config> <auth-method>BASIC</auth-method> <realm-name>UserDatabaseRealm</realm-name> </login-config>你可以将它放在
</security-role>
最后..
您只需要通过注册RolesAllowedDynamicFeature来配置Jersey来处理安全注释。 您可以在web.xml中执行此操作
<servlet>
<servlet-name>Application</servlet-name>
<servlet-class>org.glassfish.jersey.servlet.ServletContainer</servlet-class>
<init-param>
<param-name>jersey.config.server.provider.packages</param-name>
<param-value>org.student.resource</param-value>
</init-param>
<init-param>
<param-name>jersey.config.server.provider.classnames</param-name>
<param-value>
org.glassfish.jersey.server.filter.RolesAllowedDynamicFeature
</param-value>
</init-param>
<load-on-startup>1</load-on-startup>
</servlet>
也可以看看:
- 保护Web应用程序以获取有关在web.xml中配置安全性的更多信息
Swagger是否也适用于Jersey 2.x?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.