Resteasy 授权设计——检查一个用户是否拥有一个资源
Resteasy Authorization design - check a user owns a resource
我在 Wildfly 上有一个使用 Resteasy 和 运行 的网络服务。
身份验证的工作原理是让用户通过每个请求的授权 header。理想情况下,我需要检查用户是否拥有他们试图访问的资源,但我想知道最好或最简洁的方法是什么。
例如,一个用户拥有多个"gift lists"。我有一个端点 www.example.com/api/giftlist/7,它应该检索 ID 为 7 的礼物列表,但前提是授权 header 来自该列表的所有者。在代码中,它看起来像这样:
/**
* Retrieve a list by it's ID and return in JSON format.
* @param id the ID of the list to return
* @return the list.
*/
@GET
@Path("/{id}")
@ApiOperation(value = "Get a gift list by ID.", response = GiftList.class)
@Produces(MediaType.APPLICATION_JSON)
public GiftList getGiftListById(@HeaderParam("Authorization") String authorization, @PathParam("id") Long id){
User user = null;
AccessToken token = dao.find(AccessToken.class, authorization);
if(token !=null){
user = token.getUser();
}
GiftList giftList = dao.find(GiftList.class, id);
if(giftList == null){
throw new WebApplicationException(Response.Status.NOT_FOUND);
}
if(!giftList.isOwnedBy(user)) {
throw new WebApplicationException(Response.Status.FORBIDDEN);
}
return giftList;
}
请注意,几乎所有此方法都与识别用户是否存在以及他们是否拥有他们尝试访问的资源有关。然后需要为 PUT、POST 和 DELETE 重复此逻辑,这一切都变得相当混乱。
我尝试使用拦截器,这样做我能够检查用户的角色,但我无法访问他们尝试访问的资源的类型或 ID。请注意,GiftLists 不是此应用程序中的唯一资源。我正在寻找一种更简洁的方法来避免对大多数资源的每个操作都执行此操作。也许使用拦截器,但我不确定如何访问 @PathParam 值并获取正确的类型,然后从数据库中检索它并检查所有权。
这一定是一个常见问题,所以我确定有一些常用的约定或模式?我对身份验证和使用拦截器进行了无休止的谷歌搜索,但 none 似乎实际上有助于解决这种 "ownership" 类问题。
一种减少一些但不是所有混乱的方法是使用拦截器接收请求并在拦截器中找到用户,但我不确定如何将该用户 object 从那里传递到方法本身以节省再次查找它。
另一个想法是我可以将用户或授权 header 传递给 DAO 并让 DAO 在用户未被授权访问特定资源时抛出异常,但执行安全逻辑住在 DAO 区域——这似乎也不对(对我来说)——例如 dao.findGiftList(authorization, ID)——但是处理这个授权是 DAO 的责任吗?
要在您的 RESTful 网络服务中启用身份验证和授权,您可以使用 JAAS
要在 wildfly 上执行此操作,您可以:
在您的 Wildfly 配置中配置一个安全域,例如下面使用数据库登录模块的配置(如果您 运行 作为独立服务器,则在 standalone.xml 配置中)
<security-domain name="test" cache-type="default">
<authentication>
<login-module code="Database" flag="required">
<module-option name="dsJndiName" value="java:/TestDS"/>
<module-option name="principalsQuery" value="select password from User where login = ? and (disabled is null or disabled = 0) and activated = 1"/>
<module-option name="rolesQuery" value="select name,'Roles' from Role r, User_Role ur, User u where u.login=? and u.id = ur.userId and r.id = ur.roleId"/>
<module-option name="hashAlgorithm" value="SHA-256"/>
<module-option name="hashEncoding" value="base64"/>
<module-option name="unauthenticatedIdentity" value="guest"/>
</login-module>
</authentication>
</security-domain>
在 jboss-ejb3(如果您使用 RESTful EJB web 服务)或 webapp/WEB-INF 目录中的 jboss-web.xml 文件中引用它。
jboss-web.xml
<?xml version="1.0" encoding="UTF-8"?>
<!-- Configure usage of the security domain "other" -->
<jboss-web>
<security-domain>test</security-domain>
</jboss-web>
jboss-ejb3.xml
<jboss:ejb-jar xmlns:jboss="http://www.jboss.com/xml/ns/javaee"
xmlns="http://java.sun.com/xml/ns/javaee"
xmlns:s="urn:security"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.jboss.com/xml/ns/javaee http://www.jboss.org/j2ee/schema/jboss-ejb3-2_0.xsd
http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/ejb-jar_3_1.xsd"
version="3.1"
impl-version="2.0">
<assembly-descriptor>
<s:security>
<ejb-name>*</ejb-name>
<s:security-domain>test</s:security-domain>
</s:security>
</assembly-descriptor>
</jboss:ejb-jar>
配置安全约束和登录配置,如下例所示,在 webapp 中启用 BASIC 身份验证:(有关详细信息,请参阅 this link)
<security-constraint>
<web-resource-collection>
<web-resource-name>REST services</web-resource-name>
<url-pattern>/rs/user/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>*</role-name>
</auth-constraint>
</security-constraint>
<login-config>
<auth-method>BASIC</auth-method>
<realm-name>TestRealm</realm-name>
</login-config>
...
<security-role>
<role-name>*</role-name>
</security-role>
然后使用@PermitAll 或@RolesAllowed 注释您的 REST 方法,以允许 public 访问或仅对某些角色授权访问,如本例所示:
@Path("/giftlists")
public class GiftLists{
@Resource
private SessionContext sessionContext;
@GET
@Consumes(MediaType.APPLICATION_JSON)
@RolesAllowed(USER) // Allow only authenticated users to access this
@Path("/{giftListId}")
public void getGiftListById(@NotNull @PathParam("giftListId") Long giftListId) {
User user = userDAO.findUserByLogin(sessionContext.getCallerPrincipal().getName());
GiftList giftList = giftListDAO.findGiftListByIdAndUser(giftListId, user); // user is provided to your DAO method / query, so giftList is returned only when User owns it. (No FORBIDDEN error)
if(giftList == null){
throw new WebApplicationException(Response.Status.NOT_FOUND);
}
}
}
所以对于这个例子,你有两个改进:
- 您可以将此服务的访问限制为只有经过身份验证的用户才能访问,示例中角色为 "USER"。
- 您可以使用 sessionContext 以编程方式检索用户和相关角色。您最终可以对您的 giftLists 进行分类,以便特定角色可以使用它们。
我在 Wildfly 上有一个使用 Resteasy 和 运行 的网络服务。
身份验证的工作原理是让用户通过每个请求的授权 header。理想情况下,我需要检查用户是否拥有他们试图访问的资源,但我想知道最好或最简洁的方法是什么。
例如,一个用户拥有多个"gift lists"。我有一个端点 www.example.com/api/giftlist/7,它应该检索 ID 为 7 的礼物列表,但前提是授权 header 来自该列表的所有者。在代码中,它看起来像这样:
/**
* Retrieve a list by it's ID and return in JSON format.
* @param id the ID of the list to return
* @return the list.
*/
@GET
@Path("/{id}")
@ApiOperation(value = "Get a gift list by ID.", response = GiftList.class)
@Produces(MediaType.APPLICATION_JSON)
public GiftList getGiftListById(@HeaderParam("Authorization") String authorization, @PathParam("id") Long id){
User user = null;
AccessToken token = dao.find(AccessToken.class, authorization);
if(token !=null){
user = token.getUser();
}
GiftList giftList = dao.find(GiftList.class, id);
if(giftList == null){
throw new WebApplicationException(Response.Status.NOT_FOUND);
}
if(!giftList.isOwnedBy(user)) {
throw new WebApplicationException(Response.Status.FORBIDDEN);
}
return giftList;
}
请注意,几乎所有此方法都与识别用户是否存在以及他们是否拥有他们尝试访问的资源有关。然后需要为 PUT、POST 和 DELETE 重复此逻辑,这一切都变得相当混乱。
我尝试使用拦截器,这样做我能够检查用户的角色,但我无法访问他们尝试访问的资源的类型或 ID。请注意,GiftLists 不是此应用程序中的唯一资源。我正在寻找一种更简洁的方法来避免对大多数资源的每个操作都执行此操作。也许使用拦截器,但我不确定如何访问 @PathParam 值并获取正确的类型,然后从数据库中检索它并检查所有权。
这一定是一个常见问题,所以我确定有一些常用的约定或模式?我对身份验证和使用拦截器进行了无休止的谷歌搜索,但 none 似乎实际上有助于解决这种 "ownership" 类问题。
一种减少一些但不是所有混乱的方法是使用拦截器接收请求并在拦截器中找到用户,但我不确定如何将该用户 object 从那里传递到方法本身以节省再次查找它。
另一个想法是我可以将用户或授权 header 传递给 DAO 并让 DAO 在用户未被授权访问特定资源时抛出异常,但执行安全逻辑住在 DAO 区域——这似乎也不对(对我来说)——例如 dao.findGiftList(authorization, ID)——但是处理这个授权是 DAO 的责任吗?
要在您的 RESTful 网络服务中启用身份验证和授权,您可以使用 JAAS
要在 wildfly 上执行此操作,您可以:
在您的 Wildfly 配置中配置一个安全域,例如下面使用数据库登录模块的配置(如果您 运行 作为独立服务器,则在 standalone.xml 配置中)
<security-domain name="test" cache-type="default">
<authentication>
<login-module code="Database" flag="required">
<module-option name="dsJndiName" value="java:/TestDS"/>
<module-option name="principalsQuery" value="select password from User where login = ? and (disabled is null or disabled = 0) and activated = 1"/>
<module-option name="rolesQuery" value="select name,'Roles' from Role r, User_Role ur, User u where u.login=? and u.id = ur.userId and r.id = ur.roleId"/>
<module-option name="hashAlgorithm" value="SHA-256"/>
<module-option name="hashEncoding" value="base64"/>
<module-option name="unauthenticatedIdentity" value="guest"/>
</login-module>
</authentication>
</security-domain>
在 jboss-ejb3(如果您使用 RESTful EJB web 服务)或 webapp/WEB-INF 目录中的 jboss-web.xml 文件中引用它。
jboss-web.xml
<?xml version="1.0" encoding="UTF-8"?>
<!-- Configure usage of the security domain "other" -->
<jboss-web>
<security-domain>test</security-domain>
</jboss-web>
jboss-ejb3.xml
<jboss:ejb-jar xmlns:jboss="http://www.jboss.com/xml/ns/javaee"
xmlns="http://java.sun.com/xml/ns/javaee"
xmlns:s="urn:security"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.jboss.com/xml/ns/javaee http://www.jboss.org/j2ee/schema/jboss-ejb3-2_0.xsd
http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/ejb-jar_3_1.xsd"
version="3.1"
impl-version="2.0">
<assembly-descriptor>
<s:security>
<ejb-name>*</ejb-name>
<s:security-domain>test</s:security-domain>
</s:security>
</assembly-descriptor>
</jboss:ejb-jar>
配置安全约束和登录配置,如下例所示,在 webapp 中启用 BASIC 身份验证:(有关详细信息,请参阅 this link)
<security-constraint>
<web-resource-collection>
<web-resource-name>REST services</web-resource-name>
<url-pattern>/rs/user/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>*</role-name>
</auth-constraint>
</security-constraint>
<login-config>
<auth-method>BASIC</auth-method>
<realm-name>TestRealm</realm-name>
</login-config>
...
<security-role>
<role-name>*</role-name>
</security-role>
然后使用@PermitAll 或@RolesAllowed 注释您的 REST 方法,以允许 public 访问或仅对某些角色授权访问,如本例所示:
@Path("/giftlists")
public class GiftLists{
@Resource
private SessionContext sessionContext;
@GET
@Consumes(MediaType.APPLICATION_JSON)
@RolesAllowed(USER) // Allow only authenticated users to access this
@Path("/{giftListId}")
public void getGiftListById(@NotNull @PathParam("giftListId") Long giftListId) {
User user = userDAO.findUserByLogin(sessionContext.getCallerPrincipal().getName());
GiftList giftList = giftListDAO.findGiftListByIdAndUser(giftListId, user); // user is provided to your DAO method / query, so giftList is returned only when User owns it. (No FORBIDDEN error)
if(giftList == null){
throw new WebApplicationException(Response.Status.NOT_FOUND);
}
}
}
所以对于这个例子,你有两个改进:
- 您可以将此服务的访问限制为只有经过身份验证的用户才能访问,示例中角色为 "USER"。
- 您可以使用 sessionContext 以编程方式检索用户和相关角色。您最终可以对您的 giftLists 进行分类,以便特定角色可以使用它们。