我(仍然(在研究JASPIC,通过简单的项目做一些实验:这个。当我调用受保护的资源时,ServerAuthModule通过validateRequest检查凭据并返回AuthStatus.SUCCESS.HTTP 响应为 200,但它为空。我使用这两个curl命令来测试:
curl -H "Content-Type: application/json" -X POST -d '{"username":"xxx","password":"xxx"}' http://localhost:8080/JaspicWeb/services/user/login
curl -H "Authorization: Bearer eyJhbGciOiJIUzI1NiJ9.eyJleHAiOjE0NzE0NzE1ODcsInN1YiI6InVzZXJBIn0.Gyf7w2192vlz3uSwjwtf8z1p9n9k3IqtQMQrubA7oYI" -X GET http://localhost:8080/JaspicWeb/services/user/userA
第一个命令是获取第二个命令中使用的令牌。我将Jaspic与Wildfly10和RestEasy一起使用。
更新:我更新了链接的项目。现在它是一个完整的工作Jaspic示例。
的CallbackHandler是造成你麻烦的原因。
首先it.jaspic.sec.TokenConfigProvider忽略运行时传递给它的处理程序:
public ServerAuthConfig getServerAuthConfig(String layer, String appContext, CallbackHandler handler) throws AuthException {
return serverAuthConfig;
}
然后it.jaspic.sec.TokenServerConfig使用自己的处理程序,它基本上什么都不做:
public TokenServerConfig() throws AuthException {
// ...
handler = new CallbackHandler() {
@Override
public void handle(Callback[] callbacks) throws IOException, UnsupportedCallbackException {
// just logs its arguments
}
};
}
因此,it.jaspic.sec.TokenSAM#validateRequest无法将调用方的标识传达给运行时。由于它仍然错误地返回AuthStatus.SUCCESS,因此从那时起,至少就JASPIC而言,它几乎是未定义的行为。有趣的是,在这种情况下,Servlet 容器试图让双方都满意,一方面遵守 SAM 的AuthStatus,这表明身份验证消息交换成功,另一方面也尊重应用程序的<security-constraint>。诚然,401,403,或者更好的是,500响应 - 表明身份验证机制不遵守其合同 - 可能不那么令人困惑。
显而易见的解决方案是将运行时提供的处理程序传递给 SAM。API 显然没有多大帮助,但对于单消息层/单个应用/单个身份验证机制用例,当运行时首次通过getServerAuthConfig调用请求时,只需使用处理程序延迟实例化ServerAuthConfig就足够了:
public synchronized ServerAuthConfig getServerAuthConfig(String layer, String appContext, CallbackHandler handler) {
if (serverAuthConfig == null) {
serverAuthConfig = new TokenServerConfig(handler);
}
return serverAuthConfig;
}
而且,当然,上面调用的新构造函数(只需要存储处理程序参数(必须引入it.jaspic.sec.TokenServerConfig。
这两项更改应使/services/user/userA终结点可访问。