使用OAuth保護jax-rs

Question

我有以下問題：

我有JAX-RS服務，它有一個get操作：

@Path("/unsecure/")
@Produces("application/json")
public class MyUnsecureService {
    public MyUnsecureService() {

    }

    @GET
    @Path("/get/{id}")
    @Produces("application/json")
    public User get(@PathParam("id") String id) {
        return User.get(id);
    }
}

現在，我打算為移動設備打開這個API，我需要身份驗證和授權機制來訪問API。

我的問題是我有可信賴的應用程序（內部作業，在我的主機上運行的網站）應該能夠根據需要公開這個API，沒有任何限制，移動設備應該能夠只暴露這個API他們有一個令牌，使用真實用戶的加密登錄/傳遞形成，可以在服務端用於確定：

1. 如果允許對該方法的請求。
2. 如果參數正確（因此，用戶無法獲得其他用戶的信息）。

這可以使用OAuth1或OAuth2嗎？

Answer 1

這是一個非常有效的問題。

你可能想看看Oz（ 背景 ），AFAIU會對你的用例有很大幫助。 就個人而言，我有興趣解決Java的問題，並跟蹤Eran與Java實現（ jiron ， hawkj ）的工作。 最后用Java做Oz（或類似的東西 ）。

現在發布還不成熟，但如果你願意，可以聯系我們。

JAX-RS現在的具體問題似乎是SecurityContext 。

Answer 2

答案是：

使用客戶端憑據和資源所有者授權授予，這些授權在Apache CXF的OAuth2實現中實現。