JAX-RS访问控制

Question

有人可以为我提供一些有关 JAX-R Web 服务中的访问控制的指示吗？ 例如，根据用户凭证、姓名或任何其他标准限制访问。 在sun手册中找不到任何有用的信息。

提前致谢， 阿迪尔

Answer 1

我个人使用 Spring security 来完成此任务。 Spring security 允许轻松使用各种身份验证和授权方案（例如，通过针对数据库或 LDAP 服务器检查 HTTP 请求中的基本/摘要标头）。 使用 JAX-RS 设置并不难，并且还有一个基于方面的漂亮权限系统，您可以在其中执行以下操作

@PreAuthorize("hasRole('ROLE_ADMIN') 或 order.customer.username == user.username)
删除订单（订单订单）；

这确保经过身份验证的用户必须位于ROLE_ADMIN组中或者是订单的所有者才能删除它。

配置完成后，您在 JAX-RS 资源中要做的就是处理来自 spring 的安全异常并采取适当的操作（fx. 通过抛出 WebApplicationException 作为此处描述）

Answer 2

人们可以通过多种方法来实现这一目标，并且本网站上有许多关于该主题的精彩主题（请参阅保护 REST API/Web 服务的最佳实践）

我个人使用 OAuth 来完成此任务。 有关 OAuth 的更多信息，请参阅OAuth 初学者指南