10

我正在开发两种类型的 REST 服务。

  • 在登录之前,不会将会话令牌传递给 HTTP 标头。
  • 登录后会话令牌将在每个请求中传递。

我不想在每个 REST 方法中都包含 @HeaderParam。我想先拦截它,并在此基础上检查会话的有效性。请告诉我

  1. 我如何根据 RESTEasy 中的标头进行拦截
  2. 如何避免拦截少数方法

谢谢。

4

2 回答 2

9

我使用 PreProcessInterceptor 解决了这个问题

@Retention(RetentionPolicy.RUNTIME)
@Target(ElementType.METHOD)
public @interface Securable {
  String header() default "session-token";
}

@Provider
@ServerInterceptor
public class ValidationInterceptor implements PreProcessInterceptor, AcceptedByMethod {

  @Context
  private HttpServletRequest servletRequest;

  @Override
  public boolean accept(Class clazz, Method method) {
    return method.isAnnotationPresent(Securable.class);
  }

  @Override
  public ServerResponse preProcess(HttpRequest httpRequest, ResourceMethod resourceMethod) throws Failure,
      WebApplicationException {

    Securable securable =  resourceMethod.getMethod().getAnnotation(Securable.class);
    String headerValue = servletRequest.getHeader(securable.header());

    if (headerValue == null){
      return (ServerResponse)Response.status(Status.BAD_REQUEST).entity("Invalid Session").build();
    }else{
      // Validatation logic goes here
    }

    return null;
  }
}

注释 @Securable 将用于需要验证的 REST 服务。

@Securable
@PUT
public Response updateUser(User user)
于 2012-08-31T10:03:59.097 回答
4

有两种方法

  1. 使用JAX-RS 拦截器- 您可以访问拦截器中的请求对象,因此您可以读取标头

  2. 使用好的旧 JavaServlet 过滤器 - 使用 JAX-RS 不是问题,您也可以过滤 REST 请求。与拦截器类似,过滤器可以访问具有标头信息的请求对象

在这两种情况下,您都可以检查 HttpSession 是否存在(request.getSession()方法)并且它具有必需的属性。

查看请求路径,您可以包含/排除在配置中过滤或在 Java 代码中以编程方式过滤的请求。

于 2012-07-26T21:06:44.517 回答