感谢您阅读这篇文章!
我正在尝试改编布莱恩·德默斯的这篇出色的风暴路径帖子-https://stormpath.com/blog/protecting-jax-rs-resources-rbac-apache-shiro-为了我自己的目的,到目前为止它运行得很好-除了现在我想添加stormpath用于用户/角色管理,而不是将用户放在shiro.ini文件中。
我使用Apache Shiro Shiro jaxrs 1.4.0-RC来使用jax-rs保护REST端点。它运行良好。我可以使用@RequiresPermissions标签来选择性地保护端点,比如:
@Path("/scan")
@Produces("application/json")
public class ScanService {
final static Logger logger = Logger.getLogger(ScanService.class);
@GET
@Path("/gettest")
@RequiresPermissions("troopers:read")
public List<Barcode> gettest() throws Exception {
ArrayList<Barcode> listofstrings = new ArrayList<Barcode>();
Barcode b = new Barcode();
b.setBarcode("this is a big barcode");
listofstrings.add(b );
return listofstrings;
}
@GET
@Produces( MediaType.APPLICATION_JSON )
@Path("/gettest2")
public List<Barcode> gettest2() throws Exception {
ArrayList<Barcode> listofstrings = new ArrayList<Barcode>();
Barcode b = new Barcode();
b.setBarcode("this is a BIGGER barcode");
listofstrings.add(b );
return listofstrings;
}
我还有一个应用程序类来添加我的资源和ShiroFeature类,如下所示:
package ca.odell.erbscan;
import ca.odell.erbscan.ws.ScanService;
import javax.ws.rs.ApplicationPath;
import javax.ws.rs.core.Application;
import java.util.HashSet;
import java.util.Set;
import org.apache.shiro.web.jaxrs.ShiroFeature;
import com.stormpath.shiro.jaxrs.StormpathShiroFeature;
@ApplicationPath("/")
public class ERBApplication extends Application {
@Override
public Set<Class<?>> getClasses() {
Set<Class<?>> classes = new HashSet<Class<?>>();
// register Shiro
classes.add( ShiroFeature.class);
// register resources
classes.add(ScanService.class);
return classes;
}
}
和我的web.xml来初始化我的应用程序类,如下所示:
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/javaee" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd" id="WebApp_ID" version="3.0">
<display-name>ERBSCAN</display-name>
<servlet>
<servlet-name>ERBRest</servlet-name>
<servlet-class>org.glassfish.jersey.servlet.ServletContainer</servlet-class>
<init-param>
<param-name>jersey.config.server.provider.packages</param-name>
<param-value>ca.odell.erbscan</param-value>
</init-param>
<init-param>
<param-name>javax.ws.rs.Application</param-name>
<param-value>ca.odell.erbscan.ERBApplication</param-value>
</init-param>
<load-on-startup>1</load-on-startup>
</servlet>
<servlet-mapping>
<servlet-name>ERBRest</servlet-name>
<url-pattern>/rest/*</url-pattern>
</servlet-mapping>
<listener>
<listener-class>org.apache.shiro.web.env.EnvironmentLoaderListener</listener-class>
</listener>
<filter>
<filter-name>ShiroFilter</filter-name>
<filter-class>org.apache.shiro.web.servlet.ShiroFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>ShiroFilter</filter-name>
<url-pattern>/*</url-pattern>
<dispatcher>REQUEST</dispatcher>
<dispatcher>FORWARD</dispatcher>
<dispatcher>INCLUDE</dispatcher>
<dispatcher>ERROR</dispatcher>
</filter-mapping>
</web-app>
最后是我的shiro.ini
[main]
cacheManager = org.apache.shiro.cache.MemoryConstrainedCacheManager
securityManager.cacheManager = $cacheManager
sessionManager = org.apache.shiro.web.session.mgt.DefaultWebSessionManager
securityManager.sessionManager = $sessionManager
securityManager.sessionManager.sessionIdCookieEnabled = false
securityManager.sessionManager.sessionIdUrlRewritingEnabled = false
[urls]
/** = noSessionCreation, authcBasic[permissive]
[users]
# format: username = password, role1, role2, ..., roleN
root = secret,admin
emperor = secret,admin
officer = secret,officer
guest = secret
[roles]
admin = *
officer = troopers:create, troopers:read, troopers:update
我接下来要做的是为RBAC添加Stormpath,而不是在文件中包含用户和角色。我的感觉是有一个简单的方法可以做到这一点,而且我想得太多了。
我认为在我的shiro.ini中添加是一种相当简单的方式
stormpathClient = com.stormpath.shiro.client.ClientFactory
stormpathClient.cacheManager = $cacheManager
stormpath.application.href=http://....
但我错了。有人能给我指正确的方向吗?
我想指出几点:
- 使用此功能
com.stormpath.shiro.jaxrs.StormpathShiroFeature而不是ShiroFeature - 你的shiro.ini可能看起来像:
[main]
cacheManager = org.apache.shiro.cache.MemoryConstrainedCacheManager
securityManager.cacheManager = $cacheManager
sessionManager = org.apache.shiro.web.session.mgt.DefaultWebSessionManager
securityManager.sessionManager = $sessionManager
securityManager.sessionManager.sessionIdCookieEnabled = false
securityManager.sessionManager.sessionIdUrlRewritingEnabled = false
[urls]
/** = noSessionCreation, authcBasic[permissive]
[stormpath]
stormpath.application.href=http://....
- 权限可以存储为用户或角色自定义数据,您可以在Stormpath管理控制台中更新自定义数据:
{
… your other custom data fields …,
"apacheShiroPermissions": [
"troopers:create",
"troopers:read",
"troopers:update"
]
}
这篇博客文章涵盖了自定义数据位,它有点旧,但仍然相关。我会在不久的将来更新文档,所以欢迎反馈。
如果这没有帮助,你也可以ping支持,我们会让你走的!
我将在这里回答我自己的问题。我不认为这是最好的解决方案,但这是我设法做到的。
我在shiro网站上关注了这个网络应用教程。
https://shiro.apache.org/webapp-tutorial.html
我检查了项目的第6步,并复制了shiro.ini的[主]部分如下:注意,我添加了
https://api.stormpath.com/v1/applications/$STORMPATH_APPLICATION_ID
在[主要]部分的底部。
cacheManager = org.apache.shiro.cache.MemoryConstrainedCacheManager
securityManager.cacheManager = $cacheManager
stormpathClient = com.stormpath.shiro.client.ClientFactory
stormpathClient.cacheManager = $cacheManager
# we can disable session tracking completely, and have Stormpath manage it for us.
sessionManager = org.apache.shiro.web.session.mgt.DefaultWebSessionManager
securityManager.sessionManager = $sessionManager
securityManager.sessionManager.sessionIdCookieEnabled = false
securityManager.sessionManager.sessionIdUrlRewritingEnabled = false
stormpathRealm = com.stormpath.shiro.realm.ApplicationRealm
stormpathRealm.client = $stormpathClient
stormpathRealm.groupRoleResolver.modeNames = name
securityManager.realm = $stormpathRealm
stormpathRealm.applicationRestUrl = https://api.stormpath.com/v1/applications/$STORMPATH_APPLICATION_ID
然后我完全删除了shiro.ini的[用户]部分。由于它现在已经连接到Stormpath,我需要在那里添加用户和组。我的ScanService(如上所述)有一个名为gettest的方法,如此修饰:
@GET
@Path("/gettest")
@RequiresPermissions("trooper:read")
public List<Barcode> gettest() throws Exception {
.
.
.
所以我需要在stormpath中添加一个帐户、一个组和权限,以匹配上述资源的权限。为了做到这一点,我需要在我现有的测试应用程序下的Stormpath中添加一个帐户(我已经有了应用程序设置)。我还添加了一个名为officer1的小组。在这个组下,我添加了一个名为apacheShiroPermissions的自定义数据数组-我在apacheShiroPermissions中添加了一对字符串键/值对"士兵:读取"-JSON在下面
{
"apacheShiroPermissions": [
"trooper:read"
]
}
然后我简单地确定了我的账户——在这种情况下,jlpicard是officer1组的一部分。
卷曲测试
curl --user jlpicard:Changeme1 http://localhost:8080/JPA1_Web_exploded/rest/scan/gettest
确认jlpicard具有权限级别的访问权限。向apacheShiroPermission数组添加和删除字符串条目,即允许细粒度访问。
此外,从officer1中删除jlpicard或向其中添加另一个帐户也可以正常工作。
毫无疑问,有更好的方法可以做到这一点,但到目前为止,这对我来说是有效的。