java - 如何在 Dropwizard 中对资源进行基本身份验证

Question

我相信我有基本的身份验证工作，但我不确定如何保护资源，以便它们只能在用户登录时访问。

public class SimpleAuthenticator implements Authenticator<BasicCredentials, User> {
    UserDAO userDao;

    public SimpleAuthenticator(UserDAO userDao) {this.userDao = userDao;}

    @Override
    public Optional<User> authenticate(BasicCredentials credentials) throws AuthenticationException    
    {
        User user = this.userDao.getUserByName(credentials.getUsername());
        if (user!=null &&
                user.getName().equalsIgnoreCase(credentials.getUsername()) &&
                BCrypt.checkpw(credentials.getPassword(), user.getPwhash())) {
            return Optional.of(new User(credentials.getUsername()));
        }
        return Optional.absent();
    }
}

我的登录资源是这样的:

@Path("/myapp")
@Produces(MediaType.APPLICATION_JSON)
public class UserResource {
    @GET
    @Path("/signin")
    public User signin(@Auth User user) {
        return user;
    }
}

然后我给用户签名:

~/java/myservice $ curl -u "someuser" http://localhost:8080/myapp/signin
Enter host password for user 'someuser':
{"name":"someuser"}

问题

假设用户使用 /myapp/signin 端点从浏览器或 native 移动应用程序前端登录。那么我如何保护另一个端点，例如 /myapp/{username}/getstuff，它需要用户登录

@GET
@Path("/myapp/{username}/getstuff")
public Stuff getStuff(@PathParam("username") String username) {
    //some logic here
    return new Stuff();
}

Answer 1

当您尝试实现 REST 时，有两件事。一个是身份验证(看起来你已经让它工作了)，另一个是授权(我相信你的问题是)。

我之前在 dropwizard 中处理它的方式是，每次用户登录时，您都会将某种 access_token(这证明他们已通过身份验证)返回给客户端，他们必须在他们作为某些 header 的一部分(通常这是通过“授权” header 完成的)。在服务器端，您必须将此 access_token 保存/映射到该用户，然后再将其返回给客户端，并且当使用该 access_token 进行所有连续调用时，您查找与该 access_token 映射的用户并确定该用户是否是否有权访问该资源。现在举个例子:

1) 用户使用/myapp/signin 登录

2) 您对用户进行身份验证并发回 access_token 作为响应，同时在您这边保存它，例如 access_token --> userIdABCD

3) 客户端返回/myapp/{username}/getstuff。如果客户端没有使用您提供给他们的 access_token 提供“授权” header ，您应该立即返回 401 Unauthorized 代码。

4) 如果客户端确实提供了 access_token，您可以根据您在步骤 # 2 中保存的 access_token 查找用户，并检查该 userId 是否可以访问该资源。如果没有，返回 401 unauthorized code，如果它有访问权限，返回实际数据。

现在是“授权”标题部分。您可以使用“@Context HttpServletRequest hsr”参数在所有调用中访问“Authoroziation” header ，但在每次调用中添加该参数是否有意义？不，它没有。这是安全过滤器在 dropwizard 中提供帮助的地方。下面是如何添加安全过滤器的示例。

public class SecurityFilter extends OncePerRequestFilter{
@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException{
String accessToken = request.getHeader("Authorization");
// Do stuff here based on the access token (check for user's authorization to the resource ...
}

现在，这个安全过滤器真正保护了哪些资源？为此，您需要将此过滤器添加到您想要保护的特定资源中，具体操作如下:

environment.addFilter(SecurityFilter, "/myapp/*");

请记住，您的 url/myapp/signin 和/myapp/{username}/getstuff 都将通过此安全过滤器，但是，/myapp/signin 将没有 access_token，显然是因为您没有还没有给客户任何东西。这将必须在过滤器本身中得到处理，例如:

String url = request.getRequestURL().toString();
if(url.endsWith("signin"))
{
// Don't look for authorization header, and let the filter pass without any checks
}
else
{
// DO YOUR NORMAL AUTHORIZATION RELATED STUFF HERE
}

您要保护的 URL 取决于您的 URL 的结构方式和您要保护的内容。您设计的 URL 越好，编写安全过滤器来保护它们就越容易。添加此安全过滤器后，流程将如下所示:

1) 用户转到/myapp/signin。该调用将通过过滤器，并且由于该“if”语句，它将继续到您的/myapp/signin 的 ACTUAL 资源，并且您将根据成功的身份验证分配 access_token

2) 用户使用 access_token 调用/myapp/{username}/mystuff。此调用将通过相同的安全过滤器，并将通过您实际进行授权的“else”语句。如果授权通过，调用将继续到您实际的资源处理程序，如果未授权，则应返回 401。

public class SecurityFilter extends OncePerRequestFilter
{

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException
    {
        String url = request.getRequestURL().toString();
        String accessToken = request.getHeader("Authorization");
        try
        {
            if (accessToken == null || accessToken.isEmpty())
            {
                throw new Exception(Status.UNAUTHORIZED.getStatusCode(), "Provided access token is either null or empty or does not have permissions to access this resource." + accessToken);
            }
            if (url.endsWith("/signin"))
            {
    //Don't Do anything
                filterChain.doFilter(request, response);
            }
            else
            {
    //AUTHORIZE the access_token here. If authorization goes through, continue as normal, OR throw a 401 unaurhtorized exception

                filterChain.doFilter(request, response);
            }
        }
        catch (Exception ex)
        {
            response.setStatus(401);
            response.setCharacterEncoding("UTF-8");
            response.setContentType(MediaType.APPLICATION_JSON);
            response.getWriter().print("Unauthorized");
        }
    }
}

希望对您有所帮助!我花了大约 2 天时间自己弄明白了!