我试图找到一种简单、灵活的方式将 JaaS 身份验证添加到 REST。我发现了一篇我认为引导我走向正确方向的帖子(参见 StevenC 的回答)。听起来 servlet 容器负责安全性,而不是 Jersey 代码本身。我喜欢这个想法,但需要一些关于实施的指导。
Grizzly 是我的 servlet 容器,我想将其配置为使用 JaaS 进行身份验证。现在,一个简单的用户名/密码组合就可以了,直接在代码中硬编码用户名/密码对就可以了。只要它使用 JaaS,我们就可以稍后细化这些细节。
至于通过 HTTP 发送的内容,我认为存储 cookie 将是使这一切正常工作的最简单方法。不惜一切代价让身份验证垃圾远离我的泽西代码。
到目前为止,这是启动 Grizzly 的代码:
final String baseUri = "http://localhost:9998/";
final Map initParams = new HashMap();
initParams.put("com.sun.jersey.config.property.packages",
"my.jersey.Service");
System.out.println("Starting grizzly...");
SelectorThread threadSelector = GrizzlyWebContainerFactory.create(baseUri, initParams);
System.out.println(String.format(
"Jersey app started with WADL available at %sapplication.wadl\n"
+ "Try out %shelloworld\nHit enter to stop it...", baseUri, baseUri));
System.in.read();
threadSelector.stopEndpoint();
System.exit(0);
如果整个过程有效,检查用户权限的最佳方法是什么?我可能希望我的 REST 代码在某些点实际验证权限。我什至走在正确的轨道上吗?有没有更简单的方法?指向教程的链接将是一个很好的答案。即使是像“我做到了,而且奏效了”这样的回答也会给我一个温暖的模糊感,我正朝着正确的方向前进。
谢谢你的帮助。
编辑:对 StevenC 评论的一些澄清:
- 您还想使用 servlet 过滤器来保护您的资源吗?我将使用任何可以将身份验证细节与泽西代码分开的方法。它不必是 servlet 过滤器。
- “将其配置为使用 JaaS”是什么意思?最初的计划是使用 JaaS 保护当前的 API。下一阶段将是使整个 API 在线可用。围绕 API 调用使用 Jersey 包装器似乎是有意义的,但让 Grizzly 处理身份验证。我相信,那时灰熊必须与 JaaS 进行交互。
- 您是否认为应该有一些配置可以简单地导致 grizzly 保护您的资源?我正在考虑对用户进行身份验证和基于角色授权用户访问资源的两步过程。这个想法是让 Grizzly 处理身份验证(使用 JaaS)和 Jersey 处理授权。
- “我认为没有必要在 RESTful 资源中使用 cookie。” 删除 cookie 的使用会很棒,但是如何实现呢?系统需要知道用户是否经过身份验证。我宁愿不要求他们为每次通话传递用户名/密码/等。甚至每次调用都将会话令牌作为参数传递似乎“丑陋”。
另外,请注意我对 REST 还很陌生。我已经做 SOAP 几年了,所以我可能有一种“SOAP 偏见”,这可能使我对每个人都使用的一些明显、简单的解决方案视而不见。如果有更简单的方法,欢迎分享。我只是想尽可能多地学习。