0

我正在使用 Apache CXF,我想使用注释SecureAnnotationsInterceptor来保护我的端点。@RolesAllowed

据我了解,我必须通过将引用传递给setSecuredObject方法来告诉拦截器要保护哪个对象。

不幸的是,代码不是为处理 bean 列表而设计的。

然后我想知道如何使用这个拦截器保护多个端点。

我是否必须创建自己的拦截器版本或创建它的多个实例(每个端点一个以确保安全)或其他?

4

2 回答 2

2

抱歉,这是一个答案,因为我没有足够的代表来评论 Ahmed M Farghali 的答案。通过上述实现,我们遇到了一个问题,我们使用@RolesAllowed 注释了接口,但并非所有端点都受到保护。事实证明,如果 rolesMap 为空,findRoles() 将检查超类。在第一次运行时,这会正确发生,但由于角色映射被重用,其他服务将不会受到保护。我们通过将 setSecuredObject 方法更改为:

public void setSecuredObject(Object object, Map<String, String> rolesMap) {
    Class<?> cls = ClassHelper.getRealClass(object);
    Map<String, String> instanceRoleMap = new HashMap<>();
    findRoles(cls, instanceRoleMap);
    if (instanceRoleMap.isEmpty()) {
        LOG.warning("The roles map is empty, the service object is not protected");
    } else if (LOG.isLoggable(Level.FINE)) {
        for (Map.Entry<String, String> entry : instanceRoleMap.entrySet()) {
            LOG.fine("Method: " + entry.getKey() + ", roles: " + entry.getValue());
        }
    }
    rolesMap.putAll(instanceRoleMap);
}
于 2017-06-15T21:24:11.717 回答
0

不知道你有没有找到答案。对我来说,我修改了这个拦截器的setSecuredObject方法如下:

public void setSecuredObjectsList(Object[] objects) {

    Map<String, String> rolesMap = new HashMap<String, String>();
    for (Object o:objects ) {
        setSecuredObject(o, rolesMap);
    }

    super.setMethodRolesMap(rolesMap);
}


public void setSecuredObject(Object object, Map<String, String> rolesMap) {
    Class<?> cls = ClassHelper.getRealClass(object);
    findRoles(cls, rolesMap);
    if (rolesMap.isEmpty()) {
        LOG.warning("The roles map is empty, the service object is not protected");
    } else if (LOG.isLoggable(Level.FINE)) {
        for (Map.Entry<String, String> entry : rolesMap.entrySet()) {
            LOG.fine("Method: " + entry.getKey() + ", roles: " + entry.getValue());
        }
    }
}
于 2014-02-23T06:31:40.560 回答