JAX-RS (Jersey 2)安全性，@PermitAll和@RolesAllowed未按预期工作

Question

JAX-RS (Jersey 2)安全性，@PermitAll和@RolesAllowed未按预期工作

6

我有一个 REST-API，其中包含三个资源。第一个资源名为 PublicResource，该资源中的方法应该对任何人（即匿名访问者）都是可访问的；第二个资源名为 SecretResource，该资源中的方法仅限特定用户组访问；最后一个资源名为 MixedResource，这个资源设置了混合访问权限，其中一些方法需要受保护，一些方法对公众开放。

虽然 PublicResource 使用了 @PermitAll 标注，但是我仍然被要求进行授权才能访问它。同样的情况出现在 MixedResource 中使用 @PermitAll 标注的方法上。实际上，在我的所有资源中，包括应该允许匿名访问的地方，我都被要求授权。

我正在 Payara 4.1 上运行，非常困惑，因为我在另一个运行于 WebLogic 12.1.3 上的应用程序中拥有非常相似的设置，并且那里的注释按照预期工作。我错过了什么或做错了什么？请看下面的完整代码。

PublicResource.java:

    import javax.annotation.security.PermitAll;
    import javax.ws.rs.GET;
    import javax.ws.rs.Path;
    import javax.ws.rs.Produces;
    import javax.ws.rs.core.MediaType;

    @Path("public")
    @PermitAll
    public class PublicResource {

        @GET
        @Produces(MediaType.TEXT_PLAIN)
        public String itsPublic() {
            return "public";
        }

    }

SecretResource.java:

    import javax.annotation.security.RolesAllowed;
    import javax.ws.rs.GET;
    import javax.ws.rs.core.MediaType;
    import javax.ws.rs.Path;
    import javax.ws.rs.Produces;

    @Path("secret")
    @RolesAllowed({ "SECRET" })
    public class SecretResource {

        @GET
        @Produces(MediaType.TEXT_PLAIN)
        public String itsSecret() {
            return "secret";
        }

    }

MixedResource.java:

    import javax.annotation.security.PermitAll;
    import javax.annotation.security.RolesAllowed;
    import javax.ws.rs.GET;
    import javax.ws.rs.Path;
    import javax.ws.rs.Produces;
    import javax.ws.rs.core.MediaType;

    @Path("mixed")
    @PermitAll
    public class MixedResource {

        @GET
        @Path("public")
        @Produces(MediaType.TEXT_PLAIN)
        public String itsPublic() {
            return "public";
        }

        @GET
        @Path("secret")
        @RolesAllowed({ "SECRET" })
        @Produces(MediaType.TEXT_PLAIN)
        public String itsSecret() {
            return "secret";
        }

    }

JAXRSConfiguration.java:

    import javax.ws.rs.ApplicationPath;
    import javax.ws.rs.core.Application;

    @ApplicationPath("resources")
    public class JAXRSConfiguration extends Application {

    }

web.xml:

    <?xml version="1.0" encoding="UTF-8"?>
    <web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee
             http://xmlns.jcp.org/xml/ns/javaee/web-app_3_1.xsd"
         version="3.1">
        <session-config>
            <session-timeout>30</session-timeout>
        </session-config>
        <security-constraint>
            <web-resource-collection>
                <web-resource-name>Basic Authorization</web-resource-name>
                <description/>
                <url-pattern>/resources/*</url-pattern>
            </web-resource-collection>
            <auth-constraint>
                <role-name>SECRET</role-name>
            </auth-constraint>
        </security-constraint>
        <login-config>
            <auth-method>BASIC</auth-method>
            <realm-name>file</realm-name>
        </login-config>
        <error-page>
            <exception-type>java.lang.Throwable</exception-type>
            <location>/error/internal</location>
        </error-page>
        <security-role>
            <role-name>SECRET</role-name>
        </security-role>
    </web-app>

glassfish-web.xml:

    <?xml version="1.0" encoding="UTF-8"?>
    <!DOCTYPE glassfish-web-app PUBLIC "-//GlassFish.org//DTD GlassFish Application Server 3.1 Servlet 3.0//EN" "http://glassfish.org/dtds/glassfish-web-app_3_0-1.dtd">
    <glassfish-web-app error-url="">
        <class-loader delegate="true"/>
        <security-role-mapping>
            <role-name>SECRET</role-name>
            <group-name>cia</group-name>
        </security-role-mapping>
        <jsp-config>
            <property name="keepgenerated" value="true">
                <description>Keep a copy of the generated servlet class' java code.</description>
            </property>
        </jsp-config>
    </glassfish-web-app>

beans.xml:

    <?xml version="1.0" encoding="UTF-8"?>
    <beans xmlns="http://xmlns.jcp.org/xml/ns/javaee"
   xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
   xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee http://xmlns.jcp.org/xml/ns/javaee/beans_1_1.xsd"
   bean-discovery-mode="all">
    </beans>

- FighterHayabusa

1个回答

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Paul Samsotha · Accepted Answer

从表面上看，这不是Jersey的问题。你配置的唯一真正安全性是在servlet容器级别。你没有配置任何Jersey安全注解的效果，因为你甚至没有为其配置Jersey特定的支持。

首先查看你的web.xml配置

<security-constraint>
    <web-resource-collection>
        <web-resource-name>Basic Authorization</web-resource-name>
        <description/>
        <url-pattern>/resources/*</url-pattern>
    </web-resource-collection>
    <auth-constraint>
        <role-name>SECRET</role-name>
    </auth-constraint>
</security-constraint>

第一部分设置了每个资源都需要进行身份验证。因此，你认为@PermitAll无法使用的问题实际上是由于你配置了servlet不允许未经身份验证的任何人通过所导致的。

然后，你在servlet容器级别设置授权，只允许拥有SECRET角色的用户。因此，所有的安全配置都在web.xml中配置。与Jersey无关。

你需要理解解决这个问题的另一个事情是身份验证和授权之间的区别，以及谁在其中扮演什么角色（与servlet容器和Jersey相关）。 @PermitAll、@RolesAllowed等都是Jersey处理授权的方式。它预期已经有了经过身份验证的用户。Jersey检查的方法是从servlet请求获取主体。如果没有主体，则假定没有经过身份验证的用户，并且即使你有@PermitAll，也不会允许任何人通过，因为即使@PermitAll也需要经过身份验证的用户。

话虽如此，我不知道是否有办法在服务器上设置匿名用户。这就是需要获得所需行为的方法。请记住，Jersey仍然要求有经过身份验证的用户。因此，除非你可以在容器中以某种方式设置匿名用户，否则我认为你无法使其工作。

如果您的路径不同，其中一些受保护，一些不受保护，那么您可以仅在web.xml中配置安全路径，并释放其他所有内容。这样做，甚至不需要@PermitAll。请记住，使用@PermitAll时需要经过身份验证的用户。但是，如果只删除@PermitAll，那么所有请求都会直接通过。如果您将路径分开为受保护和不受保护的，请参考上述操作。

如果您想更好地控制所有这些内容，最好实现自己的安全而不是使用servlet容器的安全。通常我不会推荐这样做，但基本身份验证可能是最容易实现的安全协议。您可以查看这个示例，在这个示例中，使用Jersey过滤器完成了所有操作。

最后需要注意的是，您甚至还没有配置Jersey的授权支持。您仍然需要注册RolesAllowedDynamicFeature到应用程序。由于您正在使用类路径扫描（空应用程序类）进行JAX-RS配置，则需要从Feature中注册它，如此帖子所述。