java - 使用 RESTlet 的细粒度身份验证

Question

我想使用带有细粒度身份验证的 RESTlet 公开资源。MyServerResource应该只能通过经过GET身份验证的成员访问（使用 BASIC 身份验证）。但是，请求 usingPOST也应该可用于没有任何身份验证的调用者。

为了清楚起见： http://path/myapp/user应该允许任何人使用注册POST，但只有注册成员才能获得GET所有用户的列表。

不幸的是，我对 RESTlet 不太了解，我只找到对整个Restlets 或Routers 使用粗略身份验证的示例。

那么如何为资源启用可选身份验证并在每个方法级别检查它们？

提前致谢！

score 16 · Accepted Answer

要在 RESTlet 2.0 中进行基本身份验证（我假设您使用的是 2.0，因为您提到ServerResource了），您需要使用ChallengeAuthenticator. 如果配置了此项，optional = true则仅当您调用时才会请求身份验证ChallengeAuthenticator.challenge()。

您可以使用方法创建应用程序authenticate()，并在需要访问要保护的资源时调用它：

应用：

package example;

import org.restlet.*;
import org.restlet.data.ChallengeScheme;
import org.restlet.routing.Router;
import org.restlet.security.*;

public class ExampleApp extends Application {

    private ChallengeAuthenticator authenticatior;

    private ChallengeAuthenticator createAuthenticator() {
        Context context = getContext();
        boolean optional = true;
        ChallengeScheme challengeScheme = ChallengeScheme.HTTP_BASIC;
        String realm = "Example site";

        // MapVerifier isn't very secure; see docs for alternatives
        MapVerifier verifier = new MapVerifier();
        verifier.getLocalSecrets().put("user", "password".toCharArray());

        ChallengeAuthenticator auth = new ChallengeAuthenticator(context, optional, challengeScheme, realm, verifier) {
            @Override
            protected boolean authenticate(Request request, Response response) {
                if (request.getChallengeResponse() == null) {
                    return false;
                } else {
                    return super.authenticate(request, response);
                }
            }
        };

        return auth;
    }

    @Override
    public Restlet createInboundRoot() {
        this.authenticatior = createAuthenticator();

        Router router = new Router();
        router.attach("/user", UserResource.class);

        authenticatior.setNext(router);
        return authenticatior;
    }

    public boolean authenticate(Request request, Response response) {
        if (!request.getClientInfo().isAuthenticated()) {
            authenticatior.challenge(response, false);
            return false;
        }
        return true;
    }

}

资源：

package example;

import org.restlet.data.MediaType;
import org.restlet.representation.EmptyRepresentation;
import org.restlet.representation.Representation;
import org.restlet.representation.StringRepresentation;
import org.restlet.resource.ServerResource;

public class UserResource extends ServerResource {

    @Override
    public Representation get() {
        ExampleApp app = (ExampleApp) getApplication();
        if (!app.authenticate(getRequest(), getResponse())) {
            // Not authenticated
            return new EmptyRepresentation();
        }

        // Generate list of users
        // ...
    }     

    @Override
    public Representation post(Representation entity) {
        // Handle post
        // ...
    }

}

score 5 · Accepted Answer

我目前正在使用 Restlet v2.0.10。

问题ChallengeAuthenticator.isOptional()在于它全有或全无。上面@sea36 提供的答案的替代方法是覆盖ChallengeAuthenticator.beforeHandle()以执行身份验证或根据请求方法跳过它。例如，下面的资源仅在使用 GET 方法时才需要身份验证。

应用：

package example;

import org.restlet.*;
import org.restlet.data.ChallengeScheme;
import org.restlet.routing.Router;
import org.restlet.security.ChallengeAuthenticator;
import org.restlet.security.MapVerifier;

public class ExampleApp extends Application {

    private ChallengeAuthenticator createAuthenticator() {
        Context context = getContext();
        ChallengeScheme challengeScheme = ChallengeScheme.HTTP_BASIC;
        String realm = "Example site";

        // MapVerifier isn't very secure; see docs for alternatives
        MapVerifier verifier = new MapVerifier();
        verifier.getLocalSecrets().put("user", "password".toCharArray());

        ChallengeAuthenticator authOnGet = new ChallengeAuthenticator(context, challengeScheme, realm) {
            @Override
            protected int beforeHandle(Request request, Response response) {
                if (request.getMethod() == Method.GET)
                    return super.beforeHandle(request, response);

                response.setStatus(Status.SUCCESS_OK);
                return CONTINUE;
            }
        };

        return authOnGet;
    }

    @Override
    public Restlet createInboundRoot() {
        ChallengeAuthenticator userResourceWithAuth = createAuthenticator();
        userResourceWithAuth.setNext(UserResource.class);

        Router router = new Router();
        router.attach("/user", userResourceWithAuth);

        return router;
    }

}

资源：

package example;

import org.restlet.resource.Get;
import org.restlet.resource.Post;
import org.restlet.representation.Representation;
import org.restlet.resource.ServerResource;

public class UserResource extends ServerResource {

    @Get
    public Representation listUsers() {
        // retrieve list of users and generate response
        // ...
    }     

    @Post
    public void register(Representation entity) {
        // handle post
        // ...
    }
}

请注意，此示例仅将 GET 上的身份验证策略应用于UserResource路由器处理的其他资源，而不是其他资源。

java - 使用 RESTlet 的细粒度身份验证

2 回答 2

Related

Reference