如何在Java Restfull Web服務中添加安全性
[英]How to add security in java restfull webservices
問題描述
我是一個寧靜的Web服務提供商。 我的服務被其他一些第三方使用,因此我決定為我的服務增加安全性。 閑逛時,我發現有些站點提供基於角色的訪問權限。 即認證和授權,而不是JAAS。 有其他選擇嗎?
1 個解決方案
解決方案1
2 2014-05-03 04:03:18
您可以使用以下方法之一保護RESTful Web服務的安全,以支持身份驗證,授權或加密:
- 更新web.xml部署描述符以定義安全性配置。 請參閱使用web.xml保護RESTful Web服務
- 使用javax.ws.rs.core.SecurityContext接口以編程方式實現安全性。 請參閱使用SecurityContext保護RESTful Web服務。
- 將注釋應用於JAX-RS類。 請參閱使用注釋保護RESTful Web服務。
- 使用Jersey OAuth庫簽名和驗證請求。 有關使用和安裝OAuth庫的更多信息,請參見Jersey和OAuth Wiki, 網址為: https : //wikis.oracle.com/display/Jersey/OAuth
使用web.xml保護RESTful Web服務
您可以像其他Java EE Web應用程序一樣,使用web.xml部署描述符來保護RESTful Web服務。 有關完整的詳細信息,請參見《 Oracle WebLogic Server編程安全性》中的“開發安全Web應用程序”。
例如,要使用基本身份驗證保護RESTful Web服務,請執行以下步驟:
為您計划保護的每組RESTful資源(URI)定義一個
<security-constraint>。使用
<login-config>元素定義要使用的身份驗證類型以及將應用安全約束的安全領域。使用
<security-role>標記定義一個或多個安全角色,並將它們映射到步驟1中定義的安全約束。有關更多信息,請參見《 Oracle WebLogic Server編程安全性》中的“ security-role”。要啟用加密,請添加
<user-data-constraint>元素,並將<transport-guarantee>子元素設置為CONFIDENTIAL。 有關更多信息,請參見《 Oracle WebLogic Server編程安全性》中的“用戶數據約束”。
更多細節,
示例5-1使用基本身份驗證保護RESTful Web服務
<web-app>
<servlet>
<servlet-name>RestServlet</servlet-name>
<servlet-class>com.sun.jersey.spi.container.servlet.ServletContainer</servlet-class>
</servlet>
<servlet-mapping>
<servlet-name>RestServlet</servlet-name>
<url-pattern>/*</url-pattern>
</servlet-mapping>
<security-constraint>
<web-resource-collection>
<web-resource-name>Orders</web-resource-name>
<url-pattern>/orders</url-pattern>
<http-method>GET</http-method>
<http-method>POST</http-method>
</web-resource-collection>
<auth-constraint>
<role-name>admin</role-name>
</auth-constraint>
</security-constraint>
<login-config>
<auth-method>BASIC</auth-method>
<realm-name>default</realm-name>
</login-config>
<security-role>
<role-name>admin</role-name>
</security-role>
</web-app>
使用SecurityContext保護RESTful Web服務
示例5-2使用SecurityContext保護RESTful Web服務的安全
package samples.helloworld;
import javax.ws.rs.GET;
import javax.ws.rs.Path;
import javax.ws.rs.Produces;
import javax.ws.rs.core.SecurityContext;
import javax.ws.rs.core.Context;
...
@Path("/stateless")
@Stateless(name = "JaxRSStatelessEJB")
public class StlsEJBApp {
...
@GET
@Produces("text/plain;charset=UTF-8")
@Path("/hello")
public String sayHello(@Context SecurityContext sc) {
if (sc.isUserInRole("admin")) return "Hello World!";
throw new SecurityException("User is unauthorized.");
}
使用注釋保護RESTful Web服務
示例5-3使用SecurityContext保護RESTful Web服務的安全
package samples.helloworld;
import javax.ws.rs.GET;
import javax.ws.rs.Path;
import javax.ws.rs.Produces;
import javax.annotation.Security.RolesAllowed;
@Path("/helloworld")
@RolesAllowed({"ADMIN", "ORG1"})
public class helloWorld {
@GET
@Path("sayHello")
@Produces("text/plain")
@RolesAllows("ADMIN")
public String sayHello() {
return "Hello World!";
}
}
基於Apache Tuscany的Restfull Web服務響應為JSON
[英]Apache tuscany based restfull webservices response as json
java.security.PrivilegedActionException 同時通過 https 訪問 webservices
[英]java.security.PrivilegedActionException while hitting webservices over https
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
如何在RestFull應用程序中實現Spring安全性?
使用SAML(SSO)的Web服務安全性 - 如何?
審核用戶ID和Restfull Web服務中的服務
基於Apache Tuscany的Restfull Web服務響應為JSON
如何將WebServices Server添加到SpringMVC?
Java WebServices-如何調用服務?
如何啟動和使用Java Web服務
java.security.PrivilegedActionException 同時通過 https 訪問 webservices
Java Spring RestFull API
如何調用 RestFull 網絡服務 Java 使用 ajax html
相關標簽