个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
30
4
我有基于 Ktor 的 REST API 应用程序,它使用 jwt token 作为身份验证。然后我必须限制特定角色的某些路由。为了做到这一点,我正在创建主体,其中包含相关信息:
data class UserPrincipal (
val id: Long,
val username: String,
val roleId: Long,
): Princpal {
override fun getName() = username
}
object AuthLogin {
fun Application.auth(jwt: JwtProvider) {
install(Authentication) {
jwt("jwt") {
realm = jwt.realm()
verifier(jwt.verifier())
validate {
val userId = it.payload.getClaim("id").asLong()
val username = it.payload.getClain("name")
val roleId = it.payload.getClaim("roleId").asLong()
UserPrincipal(userId, username, roleId)
}
}
}
}
}
在对正确登录的用户进行签名时,会提供包含 userId 和 roleId 的声明。现在我可以像这样限制 REST 端点:
object RestModule {
fun Application.enititiesOne(userRepo: UserRepo) {
routing {
authenticate("jwt") {
route("/entities1") {
get {
val principal = call.principal<UserPrincipal>()
when(userRepo.hasAccessByRole(principal!!.roleId, "CAN_R_E1") {
false -> call.respond(HttpStatusCode.Forbidden)
true -> // some retrieval logic
}
post {
val principal = call.principal<UserPrincipal>()
when(userRepo.hasAccessByRole(principal!!.roleId, "CAN_W_E1") {
false -> call.respond(HttpStatusCode.Forbidden)
true -> // some update logic
}
}
}
}
}
}
正如您所看到的,即使在一个路由函数中,我也必须重复检查主体角色两次的代码。我可以将其移出以发挥作用,但我想要的是一个定义我的安全角色的地方。类似这样的事情:
authenticate {
val principal = call.principal<UserPrincipal()
val rights = userRepo.rightsByRole(principal.roleId)
when(routes) {
get("/entities1/**") ->
if(rights.contain("CAN_R_E1")) call.proceed
else call.respond(HttpStatusCode.Forbidden)
post("/entites1) -> rights.contain("CAN_W_E1") // similar
get("/entities2/**") -> rights.contain("CAN_R_E2") // similar
else -> call.respond(401)
}
}
然后将其插入其余端点。或者我可以在 Kotlin 的 Ktor 中使用一些类似的方法吗?似乎拦截器是我所需要的,但我不确定如何以预期的方式使用它们。
最佳答案
您可以在 validate block 中检查方法和 uri。
install(Authentication) {
jwt {
validate {
val userId = it.payload.getClaim("id").asLong()
val username = it.payload.getClaim("name").asString()
val roleId = it.payload.getClaim("roleId").asLong()
UserPrincipal(userId, username, roleId)
val requiredRole = when (request.httpMethod) {
HttpMethod.Get -> // get role
HttpMethod.Post -> // get other role
}
// check if role exists in repo
}
}
}
install(Routing) {
get {
val principal = call.principal<UserPrincipal>()!!
call.respond(principal)
}
post {
val principal = call.principal<UserPrincipal>()!!
call.respond(principal)
}
}
顺便说一下,您发布的代码存在几个问题,因此无法编译。
关于kotlin - 如何在 Kotlin 的 Ktor 中提取访问权限验证,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/56300035/
30
4
0
我正在挖掘内置配置支持,并想使用它(而不是仅仅将我自己的配置与 Ktor 的配置一起使用),但我很难弄清楚如何以一种干净的方式来实现它。我有这个,它正在工作,但它真的很难看,我觉得必须有更好的方法:
我目前正在使用 Ktor Netty Engine 创建我的应用程序 当用户向我的服务器发送请求但没有发现任何功能时,我搜索了文档以处理发送电子邮件的任何功能。 post("/api/v1/auth"
KTor 与单元测试配合得很好,但我如何启动我的 ktor 服务器进行集成测试? 我的测试是这样的: @ExperimentalCoroutinesApi class HttpClientTest {
我想弄清楚如何使用 Ktor 检查 http 请求的 http 状态代码 我有一个像这样的简单 GET 请求,其中包含一个 HttpResponseObject 保存服务器返回的数据以及我控制的任何服
我刚刚开始探索 KMM,到目前为止看起来确实不错。 基本上,我想要在一个地方全局处理所有 http 错误代码(如 401、404、500)。 但是,我不确定如何与响应交互。 我在 HttpClient
我刚刚开始探索 KMM,到目前为止看起来确实不错。 基本上,我想要在一个地方全局处理所有 http 错误代码(如 401、404、500)。 但是,我不确定如何与响应交互。 我在 HttpClient
我正在尝试调用一个 twitter 端点,该端点为您提供持续的 json 结果流回客户端 https://documenter.getpostman.com/view/9956214/T1LMiT5U
我正在使用Ktor从Moshi转换为kotlinx序列化的过程,当我尝试提出获取数据的请求时,出现此错误 kotlinx.serialization.MissingFieldException: Fi
我正在将 Ktor 与 kotlin multiplatform 一起使用,我试图弄清楚为什么我没有收到任何抛出的异常。在我的客户端配置中,我使用了 HttpResonseValidator检查返回的
我需要根据正文为请求添加 header 。如何为客户端请求添加拦截器?我试过了 httpClient.requestPipeline.intercept(HttpRequestPipeline.Se
引用Ktor Pool implementation ,有人可以解释一下这个 pop 和 push 实现背后的概念。我试着单步执行代码,但在研究代码后我仍然不聪明。 下面是我难以理解的代码片段:
我是后端开发的新手。基本上,我想创建一个强大而简单的应用程序,它将在参数中接受一个 zip 文件 URL,然后从 URL 下载 zip 文件,最后解压缩 zip 并返回其中的 bin 文件。注意:zi
我想更好地了解Ktor如何处理静态内容的路由。我的静态文件夹(工作目录)中具有以下层次结构: - static - index.html - (some files) - static -
我是 Kotlin 和 Ktor 的新手,所以我尝试做简单的发布请求。正如你在下面看到的,没有什么特别的。 routing { post("/articles/add"){
KTOR中HttpClient的正确用法是什么?我应该在每个应用程序生命周期中像单例一样使用它,还是应该在每个请求中创建它? 最佳答案 我想说,如果您需要连接多个逻辑服务,则每个应用程序可能有多个客户
我做了什么? 在 build.gradle 下添加了依赖项 implementation "io.ktor:ktor:1.3.2" implementation "io.ktor:ktor-serve
我正在使用 ktor v0.9.2,我想根据用户是否通过身份验证为同一路由发送不同的内容。 我遇到的问题是我无法访问 authenticate { } 之外的主体。堵塞。 我的设置是这样的: data
我是 Kotlin 和 Ktor 的新手,想看看身份验证部分,所以我得到了以下代码。 路由“/”和“/bye”工作正常,但路由“登录”给定空白页! package blog import kotlin
当我使用 Retrofit 时,我可以轻松地创建日志记录拦截器以在 logcat 上查看带有正文和 header 的调用: val loggingInterceptor = HttpLoggingI
我一直在关注 ktor tutorial用于制作网站并注意到每次我对资源文件进行更改时,我都必须重新编译才能在浏览器中看到它的更新。有什么方法可以热重载静态文件以加快开发速度吗?如果重要的话,我会使用
我是一名优秀的程序员,十分优秀!