在RESTeasy中基於HTTP標頭進行攔截

Question

我正在開發兩種類型的REST服務。

• 在登錄之前，沒有會話令牌將傳遞給HTTP標頭。
• 登錄后會話令牌將在每個請求中傳遞。

我不想在每個REST方法中包含@HeaderParam。 我想首先攔截它，並根據我想檢查會話的有效性。 請告訴我

1. 我如何根據RESTEasy中的標題進行攔截
2. 如何避免攔截少數方法

謝謝。

Answer 1

我使用PreProcessInterceptor解決了這個問題

@Retention(RetentionPolicy.RUNTIME)
@Target(ElementType.METHOD)
public @interface Securable {
  String header() default "session-token";
}

@Provider
@ServerInterceptor
public class ValidationInterceptor implements PreProcessInterceptor, AcceptedByMethod {

  @Context
  private HttpServletRequest servletRequest;

  @Override
  public boolean accept(Class clazz, Method method) {
    return method.isAnnotationPresent(Securable.class);
  }

  @Override
  public ServerResponse preProcess(HttpRequest httpRequest, ResourceMethod resourceMethod) throws Failure,
      WebApplicationException {

    Securable securable =  resourceMethod.getMethod().getAnnotation(Securable.class);
    String headerValue = servletRequest.getHeader(securable.header());

    if (headerValue == null){
      return (ServerResponse)Response.status(Status.BAD_REQUEST).entity("Invalid Session").build();
    }else{
      // Validatation logic goes here
    }

    return null;
  }
}

@Securable注釋將用於需要驗證的REST服務。

@Securable
@PUT
public Response updateUser(User user)

Answer 2

有兩種方法

1. 使用JAX-RS攔截器 - 您可以訪問攔截器中的請求對象，因此您可以讀取標頭

2. 使用好的舊JavaServlet過濾器 - 使用JAX-RS不是問題，您也可以過濾REST請求。 與攔截器類似，過濾器可以訪問具有頭信息的請求對象

在這兩種情況下，您都可以檢查HttpSession是否存在（ request.getSession()方法）並且它具有必需屬性。

您可以在配置中以編程方式或以編程方式在Java代碼中包含/排除請求，查看請求路徑。