我在这里读到了关于如何保护REST服务的非常好的答案,但所有这些都只是纯粹的理论,没有太大帮助。使用REST时,如何实现JDBCRealm FORM身份验证?
登录表单
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<title>Login Form</title>
</head>
<body>
<form method="post" action="j_security_check">
<p>You need to log in to access protected information.</p>
<table>
<tr>
<td>User name:</td>
<td><input type="text" name="j_username" /></td>
</tr>
<tr>
<td>Password:</td>
<td><input type="password" name="j_password" /></td>
</tr>
</table>
<p><input type="submit" value="Login" /></p>
</form>
</body>
</html>
web.xml
<security-constraint>
<web-resource-collection>
<web-resource-name>How to protect REST</web-resource-name>
<url-pattern>/protected/*</url-pattern>----> What is that in case of rest?
<http-method>GET</http-method>
<http-method>POST</http-method>
<http-method>HEAD</http-method>
<http-method>PUT</http-method>
<http-method>OPTIONS</http-method>
<http-method>TRACE</http-method>
<http-method>DELETE</http-method>
</web-resource-collection>
<auth-constraint>
<role-name>admin</role-name>
<role-name>customer</role-name>
<role-name>user</role-name>
</auth-constraint>
</security-constraint>
<login-config>
<auth-method>FORM</auth-method>
<realm-name>jdbcRealm</realm-name>
</login-config>
<security-role>
<role-name>admin</role-name>
</security-role>
<security-role>
<role-name>user</role-name>
</security-role>
<security-role>
<description/>
<role-name>customer</role-name>
</security-role>
问题:
1( 我在Glassfish中创建了JDBCRealm,它正在运行。我用另一个jsf应用程序测试了它。在clien REST服务的情况下,例如:<url-pattern>/protected/*</url-pattern>在正常情况下,它指的是受保护的jsp/jsf/xhtml等页面所在的"文件夹",但现在在哪里?
2( 会话怎么样?我认为在无状态上下文中使用会话是不可能的
3( 是否可以将基于FORM的身份验证与REST一起使用?
4( 教程的任何链接,其中有比我更聪明的人解释如何保护客户端-服务器休息应用程序。
您不能使用REST进行FORM身份验证,因为每个请求本身都必须完整且无状态。带有重定向的窗体不是。您需要使用标准的基于HTTP标头的机制,如Basic、Digest等。
1( 我在Glassfish中创建了JDBCRealm,它正在运行。我测试过它与另一个jsf应用程序。在clien REST服务的情况下实例:/protected/*在正常情况下它指的是受保护的jsp/jsf/xhtml等页面所在的"文件夹",但是现在在哪里?
您可以选择保护整个REST服务子域或其一部分。假设您将根配置为/rest,则这就是您将在url模式中放入的内容。
2( 会话怎么样?我认为不可能在中使用会话无状态上下文
取决于您的REST实现。对于JAX-RS(Jersey(,答案是肯定的,您可以使用HTTP会话。您可以通过@Context注释将其注入到资源类中:
@Path("/echo")
public class EchoServiceImpl {
@Context
private HttpSession session;
}
在确认可以使用会话后,我强烈建议不要使用它,因为RESTful调用应该是无状态的。
3( 是否可以将基于FORM的身份验证与REST一起使用?
对REST使用基于表单的身份验证是没有意义的。你设计的服务是供其他计算机系统使用的,而不是供人类使用的。该过程中不应包含交互式UI。
4( 教程的任何链接,其中有比我更聪明的人解释如何安全的客户端-服务器rest应用程序。
这是一个困难的问题,有很多指南,但其中很多都是针对REST实现中使用的特定技术堆栈的。首先,我建议您将当前配置从FORM更改为BASIC,并考虑使用SSL保护端点。请记住,当您使用基本身份验证时,您需要在Authorization标头中包含用户凭据:
Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==
你可以在这里阅读如何计算标题
一旦熟悉了基本/摘要式身份验证,您就可以开始考虑更高级的安全选项,如OAuth。