如果您想了解如何在Dropwizard中进行资源的基本身份验证的相关知识，那么本文是一篇不可错过的文章，我们将为您提供关于android–服务堆栈的基本身份验证、asp.net-mvc–使用IIS基本

如果您想了解如何在Dropwizard中进行资源的基本身份验证的相关知识，那么本文是一篇不可错过的文章，我们将为您提供关于android – 服务堆栈的基本身份验证、asp.net-mvc – 使用IIS基本身份验证的OWIN身份验证、Dropwizard 0.9.3 发布，Java 框架、Dropwizard 1.0.0 rc3 发布的有价值的信息。

• 如何在Dropwizard中进行资源的基本身份验证
• android – 服务堆栈的基本身份验证
• asp.net-mvc – 使用IIS基本身份验证的OWIN身份验证
• Dropwizard 0.9.3 发布，Java 框架
• Dropwizard 1.0.0 rc3 发布

如何在Dropwizard中进行资源的基本身份验证

我相信我可以使用基本身份验证，但是我不确定如何保护资源，以便仅在用户登录时才能访问它们。

public class SimpleAuthenticator implements Authenticator<BasicCredentials, User> {    UserDAO userDao;    public SimpleAuthenticator(UserDAO userDao) {this.userDao = userDao;}    @Override    public Optional<User> authenticate(BasicCredentials credentials) throws AuthenticationException        {        User user = this.userDao.getUserByName(credentials.getUsername());        if (user!=null &&                user.getName().equalsIgnoreCase(credentials.getUsername()) &&                BCrypt.checkpw(credentials.getPassword(), user.getPwhash())) {            return Optional.of(new User(credentials.getUsername()));        }        return Optional.absent();    }}

我的登录资源是这样的：

@Path("/myapp")@Produces(MediaType.APPLICATION_JSON)public class UserResource {    @GET    @Path("/signin")    public User signin(@Auth User user) {        return user;    }}

我用以下方式签署用户：

~/java/myservice $ curl -u "someuser" http://localhost:8080/myapp/signinEnter host password for user ''someuser'':{"name":"someuser"}

题

假设用户使用/myapp/signin端点从浏览器或本机移动应用程序前端登录。那么如何我可以保护另一个端点，比方说，/myapp/{username}/getstuff它
要求用户要signedin

@GET@Path("/myapp/{username}/getstuff")public Stuff getStuff(@PathParam("username") String username) {    //some logic here    return new Stuff();}

答案1

尝试实现REST时有两件事。一个是身份验证（似乎已经可以使用），另一个是授权（我相信您的问题是）。

我之前在dropwizard中处理它的方式是，每次用户登录时，您都将某种access_token（证明他们已通过身份验证）返回给客户端，客户端必须在每次进行的每次连续调用中将它们返回给客户端标头（通常是通过“授权”标头完成的）。在服务器端，您必须先将此access_token保存/映射到该用户，然后再将其返回给客户端，并且当使用该access_token进行所有后续调用时，您需要查找与该access_token映射的用户，并确定该用户是否是否有权访问该资源。现在来看一个例子：

1）用户使用/ myapp / signin登录

2）您对用户进行身份验证并发送access_token作为响应，同时将其保存在您的身边，例如access_token-> userIdABCD

3）客户端返回到/ myapp / {用户名} / getstuff。如果客户端没有为您提供的access_token提供“
Authorization”标头，则应立即返回401未经授权的代码。

4）如果客户端确实提供了access_token，则可以基于您在步骤2中保存的access_token查找用户，并检查userId是否有权访问该资源。如果没有，则返回401未经授权的代码，如果它具有访问权限，则返回实际数据。

现在是“授权”标题部分。您可以使用“ @Context HttpServletRequest hsr”参数访问所有调用中的“
Authoroziation”标头，但是在每个调用中添加该参数有意义吗？不，不是。这是安全筛选器在dropwizard中提供帮助的地方。这是有关如何添加安全过滤器的示例。

public class SecurityFilter extends OncePerRequestFilter{@Overrideprotected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException{String accessToken = request.getHeader("Authorization");// Do stuff here based on the access token (check for user''s authorization to the resource ...}

现在，此安全筛选器真正保护哪些资源？为此，您需要将此过滤器添加到要保护的特定资源中，可以按照以下步骤进行操作：

environment.addFilter(SecurityFilter, "/myapp/*");

请记住，这里的URLs / myapp / signin和/ myapp / {username} / getstuff都将通过此安全筛选器，但是/
myapp / signin将没有access_token，显然是因为您没有提供任何给客户呢。必须在过滤器本身中进行处理，例如：

String url = request.getRequestURL().toString();if(url.endsWith("signin")){// Don''t look for authorization header, and let the filter pass without any checks}else{// DO YOUR NORMAL AUTHORIZATION RELATED STUFF HERE}

您要保护的URL将取决于您的URL的结构和要保护的内容。您设计的网址越好，编写用于保护它们的安全过滤器就越容易。添加此安全过滤器后，流程将如下所示：

1）用户转到/ myapp / signin。该调用将通过过滤器，由于该“ if”语句，它将继续使用/ myapp /
signin的ACTUAL资源，并且您将基于成功的身份验证分配一个access_token

2）用户使用access_token呼叫/ myapp / {username} / mystuff。该调用将通过相同的安全筛选器，并通过“
else”语句进行实际授权。如果授权通过，则调用将继续向您发送实际的资源处理程序，如果未授权，则应返回401。

public class SecurityFilter extends OncePerRequestFilter{    @Override    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException    {        String url = request.getRequestURL().toString();        String accessToken = request.getHeader("Authorization");        try        {            if (accessToken == null || accessToken.isEmpty())            {                throw new Exception(Status.UNAUTHORIZED.getStatusCode(), "Provided access token is either null or empty or does not have permissions to access this resource." + accessToken);            }            if (url.endsWith("/signin"))            {    //Don''t Do anything                filterChain.doFilter(request, response);            }            else            {    //AUTHORIZE the access_token here. If authorization goes through, continue as normal, OR throw a 401 unaurhtorized exception                filterChain.doFilter(request, response);            }        }        catch (Exception ex)        {            response.setStatus(401);            response.setCharacterEncoding("UTF-8");            response.setContentType(MediaType.APPLICATION_JSON);            response.getWriter().print("Unauthorized");        }    }}

我希望这有帮助！花了我大约2天的时间自己弄清楚！

android – 服务堆栈的基本身份验证

public class userSession : AuthUserSession
    {
        public string clientCode { get; set; }
    }

    public class userAuth : CredentialsAuthProvider
    {
        public override bool TryAuthenticate(IServiceBase authService,string userName,string password)
        {
            if (userName == "user" || password == "1234") {
                var session = (userSession)authService.GetSession(false);
                session.clientCode = "peruse"; 
                return true ; 
            } else {
                return false;
            }
        }
    }

// auth feature and session feature
        Plugins.Add(new AuthFeature(
            () => new userSession(),new[] { new userAuth() }
        ) { HtmlRedirect = null } );

JsonServiceClient client = new ServiceStack.ServiceClient.Web.JsonServiceClient("http://172.16.0.15/");

try 
            {
                client.SetCredentials("user","1234"); 
                HelloResponse response = client.Get<HelloResponse>("/hello/" + toSum.Text);
                txtResult.Text = response.Result ; 
            }
            catch (Exception ex) 
            {
                txtResult.Text = ex.Message; 
            }

curl -v http://user:1234@172.16.0.15/hello/5

*   Trying 172.16.0.15... connected
* Server auth using Basic with user ''user''
> GET /hello/5 HTTP/1.1
> Authorization: Basic dXNlcjoxMjM0

HTTP/1.1 302 Found

<html><head><title>Object moved</title></head><body>
<h2>Object moved to <a href="/login.aspx?ReturnUrl=%2fhello%2f5">here</a></h2>
</body><html>

class Program
{
    const string BaseUrl = "http://localhost:8088/api";

    static void Main(string[] args)
    {
        var restClient = new JsonServiceClient(BaseUrl);

        restClient.SetCredentials("john","test");

        restClient.AlwaysSendBasicAuthHeader = true;

        HelloResponse response = restClient.Get<HelloResponse>("/hello/Leniel");

        Console.WriteLine(response.Result);
    }
}

//Response DTO
//Follows naming convention
public class HelloResponse
{
    public string Result { get; set; }
}

asp.net-mvc – 使用IIS基本身份验证的OWIN身份验证

app.UseCookieAuthentication(new CookieAuthenticationoptions
            {
                AuthenticationType = DefaultAuthenticationTypes.ApplicationCookie,LoginPath = new PathString("/Main/Account/Login"),CookieName = "OwinAuthCookie",});

Dropwizard 0.9.3 发布，Java 框架

Dropwizard 0.9.3 发布了，Dropwizard是一个Java框架，用于开发易于运维，高性能的RESTful 网络服务。

它由Yammer开发，用于增强基于JVM的后端服务，集合了来自Java生态系统中的稳定和成熟的程序库，组成了简单，轻量级的程序包，使得用户可以专注于把事情做好。

Dropwizard已是开箱即用的，它支持复杂的配置，应用环境， 日志和运维工具，使得你和你的团队可能在最短的时间内交付一个一流品质 HTTP+JSON 网络服务。

更新内容：

• CVE-2016-3720 in com.fasterxml.jackson dependencies #1600

  
  

下载地址：