我有一个 JAX-RS 项目,我需要使用 OAuth 保护 1 个特定页面,如果可能的话,我希望将所有内容都放在 1 个类中。
我搜索的内容似乎没有合适的指南或教程。
这是我到目前为止尝试过的:
原班:
@Path("/topsecret")
@Produces(MediaType.TEXT_PLAIN)
public class TopSecretRestService extends AbstractRestService {
@GET
@Path("/")
public Response getSecret() {
String output = "This is TOP secret: " + configuration.getValue(Configuration.Key.TOPSECRET);
return Response.status(200).entity(output).build();
}
}
Steeplesoft的解决方案:(不断给出所有错误(
@Path("/topsecret")
@Produces(MediaType.TEXT_PLAIN)
public class TopSecretRestService extends AbstractRestService {
@Path("/")
@GET
public Response authorize(@Context HttpServletRequest request)
throws URISyntaxException, OAuthSystemException {
try {
OAuthAuthzRequest oauthRequest =
new OAuthAuthzRequest(request);
OAuthIssuerImpl oauthIssuerImpl =
new OAuthIssuerImpl(new MD5Generator());
//build response according to response_type
String responseType =
oauthRequest.getParam(OAuth.OAUTH_RESPONSE_TYPE);
OAuthASResponse.OAuthAuthorizationResponseBuilder builder =
OAuthASResponse.authorizationResponse(request,
HttpServletResponse.SC_FOUND);
// 1
if (responseType.equals(ResponseType.CODE.toString())) {
final String authorizationCode =
oauthIssuerImpl.authorizationCode();
database.addAuthCode(authorizationCode);
builder.setCode(authorizationCode);
}
String redirectURI =
oauthRequest.getParam(OAuth.OAUTH_REDIRECT_URI);
final OAuthResponse response = builder
.location(redirectURI)
.buildQueryMessage();
URI url = new URI(response.getLocationUri());
return Response.status(response.getResponseStatus())
.location(url)
.build();
String output = "This is TOP secret: " + configuration.getValue(Configuration.Key.TOPSECRET);
return Response.status(200).entity(output).build();
} catch (OAuthProblemException e) {
// ...
}
}
}
谷歌的解决方案(看似最简单,但找不到合适的罐子(
@GET
@Path("/")
public Response getSecret() {
OAuthService oauth = OAuthServiceFactory.getOAuthService();
String scope = "https://www.googleapis.com/auth/userinfo.email";
Set<String> allowedClients = new HashSet<>();
allowedClients.add("407408718192.apps.googleusercontent.com"); // list your client ids here
try {
User user = oauth.getCurrentUser(scope);
String tokenAudience = oauth.getClientId(scope);
if (!allowedClients.contains(tokenAudience)) {
throw new OAuthRequestException("audience of token '" + tokenAudience
+ "' is not in allowed list " + allowedClients);
}
// proceed with authenticated user
String output = "This is TOP secret: " + configuration.getValue(Configuration.Key.TOPSECRET);
return Response.status(200).entity(output).build();
} catch (OAuthRequestException ex) {
// handle auth error
// ...
} catch (OAuthServiceFailureException ex) {
// optionally, handle an oauth service failure
// ...
}
}
网站和其他问题调查了:
使用 OAuth 保护 jax-rs -- 由 asker 提供的答案,非常简短且没有细节
Jax RS REST API - OAuth 2.0 和 Control Origin -- 由 asker 提供的答案,不是同一个问题
http://cxf.apache.org/docs/jax-rs-oauth2.html 关于带有 OAuth2 的 jax-rs 的教程
注意:我对OAuth和jax-rs都很陌生
使用 JAX-RS 编写的最简单的工作示例是 java-oauth-server。它是一个授权服务器实现,不仅支持OAuth 2.0(RFC 6749等(,还支持OpenID Connect。
如果要查找的不是授权服务器实现,而是资源服务器实现,请参阅 java-resource-server。
授权服务器是颁发访问令牌的服务器。资源服务器是引用访问令牌并返回请求数据的服务器。这两个服务器在逻辑上是不同的东西,但如果您愿意,它们可以在一台服务器上实现。我无法弄清楚您要实现哪个服务器。
回答者是java-oauth-server和java-resource-server的作者。