java - 使用通用 URL 模式保护 REST 资源-6ren

java - 使用通用 URL 模式保护 REST 资源

转载作者：行者123 更新时间：2023-11-30 07:40:21

25

4

我正在使用 REST WS 开发 JEE 应用程序，我想为 web.xml 中的特定角色保护一些特定的 REST 资源

举例来说:我有四个角色:“Role1”、“Role2”、“Role3”和“RoleEdit”

我希望只有角色“RoleEdit”可以访问这些特定资源:

rest/SomePATH/0/Edit
rest/SomePATH/1/Edit
rest/SomePATH/2/Edit
...
rest/SomePATH/10/Edit

和

rest/SomeOtherPATH/0/Edit
rest/SomeOtherPATH/1/Edit
rest/SomeOtherPATH/2/Edit
...
rest/SomeOtherPATH/10/Edit

其他角色可以访问:

rest/SomePATH/0/query
...
rest/SomeOtherPATH/0/getInfo
...
rest/SomeOtherPATH/0/query
...
rest/SomeOtherPATH/0/getInfo
...

我将以下 URL 模式添加到 RoleEdit 的 web.xml 中:

<security-constraint>
    <display-name>EditRessources</display-name>
    <web-resource-collection>
        <web-resource-name>Edit</web-resource-name>
        <description/>
        <url-pattern>/rest/*/*/Edit</url-pattern>
    </web-resource-collection>
    <auth-constraint>
        <description/>
        <role-name>RoleEdit</role-name>
    </auth-constraint>
</security-constraint>

安全容器似乎无法识别 "/rest/*/*/Edit" ，因此所有其他角色可以访问最后一个。

有什么方法可以防止在 web.xml 中写入所有资源(只需使用通用模式)。

提前致谢

最佳答案

我解决了问题，感谢@SteveC

第一个 url-pattern 规范是:

A string beginning with a '/' character and ending with a '/*' suffix is used for path mapping.

A string beginning with a '*.' prefix is used as an extension mapping.

A string containing only the '/' character indicates the "default" servlet of the application. In this case the servlet path is the request URI minus the context path and the path info is null.

All other strings are used for exact matches only.

来源=> Url pattern spec ，因此 rest/*/*/path 无法识别

我建议那些使用 jersy RESTFUL API 的人:

1- 在 jersey servlet 容器内的 web.xml 中添加以下配置:

    <init-param>
        <param-name>com.sun.jersey.spi.container.ResourceFilters</param-name> 
        <param-value>
            com.sun.jersey.api.container.filter.RolesAllowedResourceFilterFactory
        </param-value>
    </init-param>

2- 在 WS(保护方法或服务)中使用 javax.annotation.security.RolesAllowed :举例来说:

@Path("SomePATH")
public class SampleWS{
   ...

   @POST
   @Path("{layer}/Edit")
   @Produces("application/json")
   @RolesAllowed({"RoleEdit"})
   public String edit(@PathParam("layer")String layer){
       //some code
   }
}

仅此而已。

关于java - 使用通用 URL 模式保护 REST 资源，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/34783929/

25

4

0

文章推荐： java - 测试打印结果通过/失败

文章推荐： java - 带有 java11 的 Openliberty 有警告

文章推荐： java - java.sql.date 的 getter 和 setter

ruby-on-rails - 资源 vs 资源 rails 3
有人告诉我，如果我只有一个“东西”，比如家(不是多个家)，我应该在 routes.rb 中使用资源 :home，而不是资源 :home。但是当我查看路由时，POST 函数似乎想要 home#creat
java - 资源 <资源 ID 的编号> 类型 0x12 无效
Activity 开始。这些代码框架顺利通过。 // Initialize array adapters. One for already paired devices and //
183、故障排除和调试HBase：资源
资源 search-hadoop.com search-hadoop.com索引所有邮件列表，非常适合历史搜索。当你遇到问题时首先在这里搜索，因为很可能有人已经遇到了你的问题。邮件列表在A
WPF - 使用来自另一个程序集的样式/资源
我是 WPF 的新手，正在努力使用位于单独程序集中的样式。这就是我正在做的:- 我有一个带有\Themes 文件夹的类库项目，其中包含一个“generic.xaml”，它合并了\Themes 内的子文
Eclipse - "Virtual"资源
我正在编写一个使用虚拟树状文件结构的插件。基本上它就像一个包含文件的标准文件系统，区别在于这些文件实际上并不存在于文件系统中的特定位置，而只是 java 对象。这些当前由使用 SettingProv
找不到 WPF 资源
如果我在 XAML 中使用以下内容，我会收到错误消息: 错
Laravel 资源 - 如何检查给定值是否存在？
我正在使用 laravel 资源来获取 api 的数据: return [ 'id' => $this->id, 'unread' =>
使用配置文件属性过滤 Maven 资源
我有以下 pom.xml: 4.0.0 mycompany resource-fail 0.0.1-SNAPSHOT BazBat
.net - 您何时处置GDI +资源？
许多GDI +类都实现IDisposable，但是我不确定何时应该调用Dispose。对于使用new或静态方法(例如Graphics.CreateGraphics)创建的实例来说，这很明显。但是，由属
RESTful 资源 - 接受对象列表
我正在构建一组 RESTful 资源，其工作方式如下:(我将使用“people”作为示例): 获取/people/{key} - 返回一个人对象 (JSON) GET/people?first_nam
iphone - Cocos2d 资源
已关闭。此问题不符合Stack Overflow guidelines 。目前不接受答案。要求我们推荐或查找工具、库或最喜欢的场外资源的问题对于 Stack Overflow 来说是偏离主题的，因为
AngularJS 资源 promise
我有一个使用 $resource 的简单 Controller : var Regions = $resource('mocks/regions.json'); $scope.regions =
使用存储的 Azure 资源
在 Azure 门户中，如何查看不同资源之间的依赖关系。我特别想查看哪些资源正在使用我要删除的存储。最佳答案您可以使用应用程序洞察应用程序 map 来执行此操作: 您还可以打开存储帐户的日志记录:
Cordova / ionic 资源
我正在使用 ionic 生成资源(图标和启动画面)。我正在使用 ionic v2.1.0 和 cordova v6.4.0。到目前为止我一直在使用(它在以前的版本中工作): cordova plat
子文件夹中的 FuelPHP 资源
是否可以使用 Assets 包含子文件夹中的文件？示例:[base_url]/assets/css/pepper-grinder/jquery-ui-1.8.11.custom.min.css 最佳
java - 资源/目录树
我正在阅读一些尝试教授 Android 开发的书。在书中，作者概述了 res/下的一些目录。他提到 res/menu 包含基于 XML 的菜单规范。他还提到了保存“通用文件”的 res/raw。当我创
java - JDBC 资源
关闭。这个问题是opinion-based 。目前不接受答案。想要改进这个问题吗？更新问题，以便 editing this post 可以用事实和引文来回答它。 . 已关闭 9 年前。 Improv
AngularJS 资源 : how to update
我在服务器上使用 express-resource。在我的 AngularJS Controller 中: var User = $resource('/services/users/:use
java - 资源$NotFoundException
因此，每当我运行我的应用程序时，它都会立即崩溃并给出以下错误: No package identifier when getting value for resource number 0x00000
使用基本身份验证加载 UIWebView 资源
对于我正在创建的(网络)应用程序，我需要使用基本身份验证在我的 UIWebView 中加载页面。现在设置我使用的授权 header : NSString *result = [NSString st

首页

博学

6Ren·AI

商城

java - 使用通用 URL 模式保护 REST 资源