Restlet框架中的AwsVerifier中可能存在的錯誤

Question

在嘗試使Amazon S3身份驗證適用於我的RESTful Web服務時，我的測試清除了Verifier for S3身份驗證中的可能錯誤。 如果您指定服務器機密中不存在的訪問密鑰，則AwsVerifier會引發NullPointerException，這將導致HTTP 500 Internal Server Error。 該問題開始於AwsVerifier.java的第233行：

char[] userSecret = getLocalSecret(userId);

如果本地機密中不存在userId（即服務器機密映射中不存在訪問密鑰），則沒有關聯的機密，因此userSecret變為null。 當AwsVerifier在第235行調用getS3Signature（）時：

String sigToCompare = AwsUtils.getS3Signature(request, userSecret);

您會收到NullPointerException。 對我來說，這似乎是個錯誤……任何人都同意/不同意？

Answer 1

我相信這是一個錯誤。 但是，我找到了一種解決方法：僅將AwsVerifier子類化，並覆蓋verify（）方法。 確保將代碼從超類verify（）復制到子類中，但是按如下所示進行更改：

public class NewAwsVerifier extends AwsVerifier {
    public NewAwsVerifier(LocalVerifier wrappedVerifier) {
        super(wrappedVerifier);
    }
    ...
    @Override
    public int verify(Request request, Response response) {
    ...
        char[] userSecret = getLocalSecret(userId);
        if (userSecret == null) {
            // If there is no userSecret for the given userId then the
            // request probably specified a user that doesn't exist
            // and using that userID in the getS3Signature call
            // will result in a NullPointerException, so we intercept it here
            return RESULT_INVALID;
        }
        char[] signature = getSecret(request, response);
        String sigToCompare = AwsUtils.getS3Signature(request, userSecret);
    ...
    }
}

然后確保您使用此新的驗證程序：

MapVerifier verifier = new MapVerifier();
NewAwsVerifier newVerifier = new NewAwsVerifier(verifier);

// Get passwords from a more secure source (only here for illustration)!
verifier.getLocalSecrets().put("accessKey", "secretKey".toCharArray());
auth.setVerifier(newVerifier);

現在，如果您指定了服務器機密中不存在的訪問密鑰，則將被拒絕正常訪問，而不是收到HTTP 500 Internal Server Error。