个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
27
4
TLDR我开发的Java Web应用程序需要在REST服务上实现用户区分。我知道有一些注释(@RolesAllowed、@PermitAll、@DenyAll)可以描述哪个角色可以使用该服务。我的问题是,如何将 @RolesAllowed 中的角色与用户角色枚举相匹配,该用户是存储在数据库中的持久对象?
许多教程都解释了@RolesAllowed,但我发现没有一个与这些角色匹配,以及已经创建的角色
说明
如何通过自动检查用户的角色(通过 session ID 找到)来验证用户?我知道 Jersey 已经通过注册 RolesAllowedDynamicFeature.class 来做到这一点。我已经设法通过将 @DenyAll 注释放入方法中来检查此 RolesAllowedDynamicFeature.class 是否有效,并返回 403 错误。
首先我们先来了解一下什么是用户。用户是数据库实体,使用 Ebean 将它们保存在 Java 对象中或保存到 Java 对象中。以下是来自 User.class 的示例:
/*
* A sample that describes the fields that I ask for and to understand the concept
*/
@Entity
@Table(name = "users")
public class User extends Model
{
@Id
@GeneratedValue
@Column(name = "id")
private long id;
@Enumerated(EnumType.STRING)
@Column(name = "role", nullable = false)
private UserRole role;
// contructors getters setters helper methods etc
/**
* Fetch a user from DB
*
* @param id the id to search for
* @return a Person.class object or may return null
*/
public static User getUserById(Long id)
{
return Ebean.find(User.class, id);
}
/* and here is the UserRole enum that define the roles every user can have */
public static enum UserRole
{
Administrator, User, Manager;
}
}
以上所有代码都工作正常,用户存储正确,我可以轻松获取它们。
每个用户在登录时都会使用类似的服务进行身份验证,并为每个用户创建一个具有唯一 session ID(使用 UUID)的 ConnectedUser 对象。每次服务调用后,都会运行一个身份验证,如果该 session 有连接的用户条目(存储为 cookie),则验证用户是否可以通过搜索使用该服务:
@Secured
@Provider
@Priority(Priorities.AUTHENTICATION)
public class AuthenticationFilter implements ContainerRequestFilter
{
@Context
private HttpServletRequest request;
/**
* Authenticates a user's access with every request that is made via a token.
*
* @param requestContext The request that is sent to the server.
* @throws IOException
*/
@Override
public void filter(ContainerRequestContext requestContext) throws IOException
{
boolean isValidated;
Cookie sessionCookie = null;
Cookie[] cookies = request.getCookies();
if (cookies.length != 0) {
for (Cookie cookie : cookies) {
if (cookie.getName().equals("CookieName")) {
sessionCookie = cookie;
}
}
}
if (sessionCookie != null) {
// UserValidationHandler checks if user is in connected_users table
isValidated = UserValidationHandler.validateUser(sessionCookie.getValue(), request.getRemoteAddr());
}
else {
MultivaluedMap pathParameters = requestContext.getUriInfo().getQueryParameters();
// UserValidationHandler checks if user is in connected_users table
isValidated = UserValidationHandler.validateUser((String)pathParameters.getFirst("token"), request.getRemoteAddr());
}
if (!isValidated) {
LOGGER.warn("[Authorization filter] Unauthorized user.");
URI indexURI = URI.create("http://login.jsp");
requestContext.setRequestUri(indexURI);
}
}
}
注释:
注1:大多数实现建议将角色应用到 web.xml 文件中。但我认为,就我的情况而言,这是不可行的。
注2:另外,授权用户使用服务的正确位置在哪里?我发现我可以使用 @Priority(Priorities.AUTHORIZATION) 创建 ContainerRequestFilter 类。做什么比较好?
我有点迷失在这里。我读了很多 Q/As 或示例,但没有任何解释透彻。
最佳答案
您应该将关注点分开,并在一个过滤器中进行身份验证,并在一个过滤器中进行授权。一般来说,这是通过从身份验证过滤器内部设置 SecurityContext 来实现的,然后从授权过滤器内部检索它。
SecurityContext 有一个您可以重写的 isUserInRole 方法。应在授权过滤器中调用此方法。通常,您将拥有作为 SecurityContext 成员的角色,并且只需迭代角色
static class MySecurityContext implements SecurityContext {
private final String[] userRoles;
public MySecurityContext(String[] roles, String user) {
this.userRoles = roles;
}
@Override
public Principal getUser() {
return new Principal() {
@Override
public String getName() {
return name;
}
}
}
public boolean isUserInRole(String role) {
for (String userRole: userRoles) {
if (role.equals(userRole) {
return true;
}
}
return false;
}
// more methods to override
}
在身份验证过滤器中,您只需调用传入新的 SecurityContext 的 requestContext.setSecurityContext 方法即可。
在授权过滤器中,您可以使用ResourceInfo 获取@RolesAllowed 注释。例如
class AuthorizationFilter implement ContainerRequestContext {
@Context
private ResourceInfo info;
@Override
public void filter(ContainerRequestContext request) {
SecurityContext sc = request.getSecurityContext();
RolesAllowed anno = info.getResourceMethod().getAnnotation(RolesAllowed.class);
String rolesAllowed = anno.value();
for (role: rolesAllowed) {
if (sc.isUserInRole(role)) {
return;
}
}
request.abortWith(Response.status(403).build());
}
}
或者类似的东西。
如果您使用 Jersey2,则不需要自己实现授权。这已经在 RolesAllowedDynamicFeature 中实现了。您只需在您的应用程序中注册该功能即可。它的工作原理与我之前提到的相同; SecurityContext 预计在到达授权过滤器之前被填充,过滤器将检查角色并授权或拒绝。
关于java - 将 @RolesAllowed 注释应用于数据库中存储的现有用户,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/46359880/
27
4
0
我的问题是如何在 python 中创建一个简单的数据库。我的例子是: User = { 'Name' : {'Firstname', 'Lastname'}, 'Address' : {'Street
我需要创建一个与远程数据库链接的应用程序! mysql 是最好的解决方案吗? Sqlite 是唯一的本地解决方案吗? 我使用下面的方法,我想知道它是否是最好的方法! NSString *evento
给定两台 MySQL 服务器,一台本地,一台远程。两者都有一个包含表 bohica 的数据库 foobar。本地服务器定义了用户 'myadmin'@'%' 和 'myadmin'@'localhos
我有以下灵活的搜索查询 Select {vt:code},{vt:productcode},{vw:code},{vw:productcode} from {abcd AS vt JOIN wxyz
好吧,我的电脑开始运行有点缓慢,所以我重置了 Windows,保留了我的文件。因为我的大脑还没有打开,所以我忘记事先备份我的 MySQL 数据库。我仍然拥有所有原始文件,因此我实际上仍然拥有数据库,但
如何将我的 Access 数据库 (.accdb) 转换为 SQLite 数据库 (.sqlite)? 请,任何帮助将不胜感激。 最佳答案 1)如果要转换 db 的结构,则应使用任何 DB 建模工具:
系统检查发现了一些问题: 警告:?:(mysql.W002)未为数据库连接“默认”设置 MySQL 严格模式 提示:MySQL 的严格模式通过将警告升级为错误来修复 MySQL 中的许多数据完整性问题
系统检查发现了一些问题: 警告:?:(mysql.W002)未为数据库连接“默认”设置 MySQL 严格模式 提示:MySQL 的严格模式通过将警告升级为错误来修复 MySQL 中的许多数据完整性问题
我想在相同的 phonegap 应用程序中使用 android 数据库。 更多说明: 我创建了 phonegap 应用程序,但 phonegap 应用程序不支持服务,所以我们已经在 java 中为 a
Time Tracker function clock() { var mytime = new Date(); var seconds
我需要在现有项目上实现一些事件的显示。我无法更改数据库结构。 在我的 Controller 中,我(从 ajax 请求)传递了一个时间戳,并且我需要显示之前的 8 个事件。因此,如果时间戳是(转换后)
我有一个可以收集和显示各种测量值的产品(不会详细介绍)。正如人们所期望的那样,显示部分是一个数据库+建立在其之上的网站(使用 Symfony)。 但是,我们可能还会创建一个 API 来向第三方公开数据
我们将 SQL Server 从 Azure VM 迁移到 Azure SQL 数据库。 Azure VM 为 DS2_V2、2 核、7GB RAM、最大 6400 IOPS Azure SQL 数据
我正在开发一个使用 MongoDB 数据库的程序,但我想问在通过 Java 执行 SQL 时是否可以使用内部数据库进行测试,例如 H2? 最佳答案 你可以尝试使用Testcontainers Test
已关闭。此问题不符合Stack Overflow guidelines 。目前不接受答案。 已关闭 9 年前。 此问题似乎与 a specific programming problem, a sof
我正在尝试使用 MSI 身份验证(无需用户名和密码)从 Azure 机器学习服务连接 Azure SQL 数据库。 我正在尝试在 Azure 机器学习服务上建立机器学习模型,目的是我需要数据,这就是我
我在我的 MySQL 数据库中使用这个查询来查找 my_column 不为空的所有行: SELECT * FROM my_table WHERE my_column != ""; 不幸的是,许多行在
我有那个基地:http://sqlfiddle.com/#!2/e5a24/2这是 WordPress 默认模式的简写。我已经删除了该示例不需要的字段。 如您所见,我的结果是“类别 1”的两倍。我喜欢
我有一张这样的 table : mysql> select * from users; +--------+----------+------------+-----------+ | userid
我有表: CREATE TABLE IF NOT EXISTS `category` ( `id` int(11) NOT NULL, `name` varchar(255) NOT NULL
我是一名优秀的程序员,十分优秀!