0

环境:带有 GlassFish 3.1.2.2、JDK 6u31 的 Jersey 1.17。

web.xml安全段:

<security-constraint>
    <display-name>SSL transport</display-name>
    <web-resource-collection>
        <web-resource-name>Secure Area</web-resource-name>
        <description></description>
        <url-pattern>/*</url-pattern>
    </web-resource-collection>
    <auth-constraint>
        <role-name>USER</role-name>
        <role-name>ADMIN</role-name>
    </auth-constraint>
    <user-data-constraint>
        <description></description>
        <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
</security-constraint>
<login-config>
    <auth-method>BASIC</auth-method>
    <realm-name>myRealm</realm-name>
</login-config>

sun-web.xml

<security-role-mapping>
    <role-name>USER</role-name>
    <group-name>USER</group-name>
</security-role-mapping>
<security-role-mapping>
    <role-name>ADMIN</role-name>
    <group-name>ADMIN</group-name>
</security-role-mapping>

我正在使用注入来获取SecurityContext实例:

@Context
private SecurityContext sec;

现在我应该能够使用该方法检查 Web 服务方法中的角色SecurityContext#isUserInRole(String role),但是无论指定什么作为参数,返回的值始终是false.

我可以使用该SecurityContext#getUserPrincipal()方法检索经过身份验证的用户名。

这里可能是什么问题?还有其他方法可以做到这一点吗?

4

1 回答 1

0

我也必须单独指定安全角色web.xml

<!-- after <login-config /> -->
<security-role>
    <role-name>USER</role-name>
</security-role>
<security-role>
    <role-name>ADMIN</role-name>
</security-role>
于 2013-05-06T13:12:44.053 回答