[英]Jersey 2.x Security context does not work?
虽然我正在尝试创建java jersey应用程序身份验证角色对我不起作用。
Java代码: -
package org.student.resource;
import javax.annotation.security.PermitAll;
import javax.annotation.security.RolesAllowed;
import javax.ws.rs.GET;
import javax.ws.rs.POST;
import javax.ws.rs.Path;
import javax.ws.rs.ext.Provider;
@Path("/resource")
@PermitAll
public class Resource {
@GET
public String get(){
return "GET";
}
@RolesAllowed("admin")
@POST
public String post(){
return "Post content.";
}
}
部署描述符: -
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns="http://xmlns.jcp.org/xml/ns/javaee"
xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee http://xmlns.jcp.org/xml/ns/javaee/web-app_3_1.xsd"
id="WebApp_ID" version="3.1">
<display-name>JerseyAuthentication</display-name>
<servlet>
<servlet-name>Application</servlet-name>
<servlet-class>org.glassfish.jersey.servlet.ServletContainer</servlet-class>
</servlet>
<servlet-mapping>
<servlet-name>Application</servlet-name>
<url-pattern>/*</url-pattern>
</servlet-mapping>
<security-constraint>
<web-resource-collection>
<web-resource-name>Resource</web-resource-name>
<url-pattern>/resource/*</url-pattern>
<http-method>GET</http-method>
</web-resource-collection>
</security-constraint>
<welcome-file-list>
<welcome-file>login.html</welcome-file>
</welcome-file-list>
</web-app>
标题: -
Cache-Control →private
Content-Language →en
Content-Length →1010
Content-Type →text/html;charset=utf-8
Date →Sat, 19 Sep 2015 08:14:18 GMT
Expires →Thu, 01 Jan 1970 05:30:00 IST
Server →Apache-Coyote/1.1
请帮助我做一些帮助。我想知道为资源分配角色。
所以你需要做三件事
在Tomcat中设置安全领域(我假设服务器是Server →Apache-Coyote/1.1
)。 您可以在Realm Configuration HOW-TO中阅读有关创建领域的更多信息。
最简单的配置领域是UserDatabaseRealm ,但绝不建议用于生产。 这只是让你在开发中运行起来。 您需要做的就是转到${TOMCAT_HOME}/conf
的tomcat-users.xml
文件。 然后只需编辑它应该看起来像的文件
<tomcat-users>
<user username="Murugesan" password="secret" roles="admin" />
<user username="peeskillet" password="superSecret" roles="user" />
</tomcat-users>
您仍需要稍微配置web.xml。 你需要做一些事情
声明允许使用该应用程序的角色。 你可以将它放在</security-contraint>
<security-role> <role-name>user</role-name> </security-role> <security-role> <role-name>admin</role-name> </security-role>
声明允许访问<security-constraint>
定义的路径的角色
<security-constraint> <web-resource-collection> <web-resource-name>Protected Area</web-resource-name> <url-pattern>/api/protected/*</url-pattern> <http-method>GET</http-method> </web-resource-collection> <auth-constraint> <role-name>*</role-name> </auth-constraint> </security-constraint>
这里我们说任何带有一个声明角色的经过身份验证的用户( *
)都可以通过servlet容器安全控制直到Jersey应用程序。 或者,您可以定义角色而不是*
。 这将导致servlet容器处理访问控制。 但是如果你想要更细粒度的控制,只需让所有经过身份验证的用户进入,并使用你当前正在做的注释处理Jersey内部的访问控制。
您需要定义<login-config>
以声明什么类型的身份验证。 只有三个。 FORM
, DIGEST
, BASIC
。 这里我们将使用BASIC
,并声明用户所在的领域。
<login-config> <auth-method>BASIC</auth-method> <realm-name>UserDatabaseRealm</realm-name> </login-config>
你可以将它放在</security-role>
您只需要通过注册RolesAllowedDynamicFeature
来配置Jersey来处理安全注释。 您可以在web.xml中执行此操作
<servlet>
<servlet-name>Application</servlet-name>
<servlet-class>org.glassfish.jersey.servlet.ServletContainer</servlet-class>
<init-param>
<param-name>jersey.config.server.provider.packages</param-name>
<param-value>org.student.resource</param-value>
</init-param>
<init-param>
<param-name>jersey.config.server.provider.classnames</param-name>
<param-value>
org.glassfish.jersey.server.filter.RolesAllowedDynamicFeature
</param-value>
</init-param>
<load-on-startup>1</load-on-startup>
</servlet>
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.