RESTEasy `ContainerRequestFilter` - RESTEasy 安全过滤器示例 - 《HowToDoInJava 中文系列教程》

1. RESTEasy ContainerRequestFilter和ContainerReponseFilter
2. RESTEasy ContainerRequestFilter示例
2.4 RESTEasy 安全过滤器演示

原文： https://howtodoinjava.com/resteasy/resteasy-containerrequestfilter-example/

了解如何使用 RESTEasy ContainerRequestFilter创建安全筛选器，该筛选器能够对基于 RESTEasy 的 Web 应用执行认证和授权。

1. RESTEasy `ContainerRequestFilter`和`ContainerReponseFilter`

最近发布了新的 RESTEasy 版本 3.0.2.Final，并使其与 JAX-RS 2.0 兼容。如果您还记得以前的 JAX-RS 版本没有关于实现过滤器和拦截器的规范。这就是所有 JAX-RS 实现都有自己独特风格的原因。 RESTEasy 的PreProcessorInterceptor和PostProcessorInterceptor现在已弃用。

现在，JAX-RS 在过滤器和拦截器方面有了自己的规范。您可以阅读 Bill Burke 的帖子中的详细讨论。

在 resteasy 中，过滤器在调用resource方法之前和之后运行。这些过滤器实质上是ContainerRequestFilter和ContainerReponseFilter。 ContainerRequestFilter在调用 JAX-RS 资源方法之前运行。 ContainerResponseFilter在调用 JAX-RS 资源方法之后运行。需要注意的是，ContainerRequestFilter有两种风格：匹配前和匹配后。预先匹配的ContainerRequestFilter用@PreMatching注解指定，并且将在 JAX-RS 资源方法与传入的 HTTP 请求匹配之前执行。在匹配 Java 资源方法之后，执行匹配后的ContainerRequestFilters。

过滤器修改请求或响应头时，拦截器处理消息正文。它们可用于实现特定的内容编码。它们可用于生成数字签名，或在编组 Java 对象模型之前或之后发布或预处理 Java 对象模型。

2. RESTEasy `ContainerRequestFilter`示例

在本文中，我将修改 resteasy 认证和授权教程，该教程最初是使用PreProcessorInterceptor在 RESTEasy 2.3.1.GA 中编写的。我已将其更新为基于 JAX-RS 2.0 规范的 RESTEasy 版本 3.0.2.Final。

2.1 更新 Maven 依赖项

在使用 Maven 时，我已经更新了pom.xml文件，如下所示。如果您使用的是 ant 或 jar 文件，请相应地更新所需的 jar。

<dependencies>
 <!-- core library -->
 <dependency>
    <groupId>org.jboss.resteasy</groupId>
     <artifactId>resteasy-jaxrs</artifactId>
    <version>3.0.2.Final</version>
 </dependency>
<!-- JAXB support -->
<dependency>
  <groupId>org.jboss.resteasy</groupId>
    <artifactId>resteasy-jaxb-provider</artifactId>
  <version>3.0.2.Final</version>
</dependency>
<dependency>
    <groupId>org.jboss.resteasy</groupId>
    <artifactId>jaxrs-api</artifactId>
    <version>3.0.2.Final</version>
</dependency>
<dependency>
    <groupId>net.sf.scannotation</groupId>
    <artifactId>scannotation</artifactId>
    <version>1.0.3</version>
</dependency>
</dependencies>

2.2 RESTEasy 安全拦截器

由于 JAX-RS 2.0 具有用于处理前后请求的过滤器，因此我们将使用ContainerRequestFilter接口。记住PreProcessorInterceptor现在已弃用。

@Provider
public class SecurityInterceptor implements javax.ws.rs.container.ContainerRequestFilter
{
    @Override
    public void filter(ContainerRequestContext requestContext)
    {
        //More code...
    }
}

现在，首先我们必须访问资源方法以检查安全性约束及其定义的属性。

    ResourceMethodInvoker methodInvoker = (ResourceMethodInvoker) 
                requestContext.getProperty("org.jboss.resteasy.core.ResourceMethodInvoker");
    Method method = methodInvoker.getMethod();

现在我们可以访问资源方法了。现在，一切将与我们之前所做的相同。即

检查PermitAll注解（如果存在），则无需进一步检查任何内容
检查DenyAll注解（如果存在），然后返回拒绝访问
检查RolesAllowed注解，然后从注解中获取所需的角色。从请求中获取授权信息，并根据应用逻辑进行匹配。如果授权成功，则授予访问权限，否则返回拒绝访问权限。

2.3 RESTEasy `SecurityInterceptor`源代码

SecurityInterceptor的完整代码如下。

package com.howtodoinjava.demo.rest.security;
import java.io.IOException;
import java.lang.reflect.Method;
import java.util.Arrays;
import java.util.HashSet;
import java.util.List;
import java.util.Set;
import java.util.StringTokenizer;
import javax.annotation.security.DenyAll;
import javax.annotation.security.PermitAll;
import javax.annotation.security.RolesAllowed;
import javax.ws.rs.container.ContainerRequestContext;
import javax.ws.rs.core.MultivaluedMap;
import javax.ws.rs.ext.Provider;
import org.jboss.resteasy.core.Headers;
import org.jboss.resteasy.core.ResourceMethodInvoker;
import org.jboss.resteasy.core.ServerResponse;
import org.jboss.resteasy.util.Base64;
/**
 * This interceptor verify the access permissions for a user 
 * based on username and passowrd provided in request
 * */
@Provider
public class SecurityInterceptor implements javax.ws.rs.container.ContainerRequestFilter
{
    private static final String AUTHORIZATION_PROPERTY = "Authorization";
    private static final String AUTHENTICATION_SCHEME = "Basic";
    private static final ServerResponse ACCESS_DENIED = new ServerResponse("Access denied for this resource", 401, new Headers<Object>());;
    private static final ServerResponse ACCESS_FORBIDDEN = new ServerResponse("Nobody can access this resource", 403, new Headers<Object>());;
    private static final ServerResponse SERVER_ERROR = new ServerResponse("INTERNAL SERVER ERROR", 500, new Headers<Object>());;
    @Override
    public void filter(ContainerRequestContext requestContext)
    {
        ResourceMethodInvoker methodInvoker = (ResourceMethodInvoker) requestContext.getProperty("org.jboss.resteasy.core.ResourceMethodInvoker");
        Method method = methodInvoker.getMethod();
        //Access allowed for all 
        if( ! method.isAnnotationPresent(PermitAll.class))
        {
            //Access denied for all 
            if(method.isAnnotationPresent(DenyAll.class))
            {
                requestContext.abortWith(ACCESS_FORBIDDEN);
                return;
            }
            //Get request headers
            final MultivaluedMap<String, String> headers = requestContext.getHeaders();
            //Fetch authorization header
            final List<String> authorization = headers.get(AUTHORIZATION_PROPERTY);
            //If no authorization information present; block access
            if(authorization == null || authorization.isEmpty())
            {
                requestContext.abortWith(ACCESS_DENIED);
                return;
            }
            //Get encoded username and password
            final String encodedUserPassword = authorization.get(0).replaceFirst(AUTHENTICATION_SCHEME + " ", "");
            //Decode username and password
            String usernameAndPassword = null;
            try {
                usernameAndPassword = new String(Base64.decode(encodedUserPassword));
            } catch (IOException e) {
                requestContext.abortWith(SERVER_ERROR);
                return;
            }
            //Split username and password tokens
            final StringTokenizer tokenizer = new StringTokenizer(usernameAndPassword, ":");
            final String username = tokenizer.nextToken();
            final String password = tokenizer.nextToken();
            //Verifying Username and password
            System.out.println(username);
            System.out.println(password);
            //Verify user access
            if(method.isAnnotationPresent(RolesAllowed.class))
            {
                RolesAllowed rolesAnnotation = method.getAnnotation(RolesAllowed.class);
                Set<String> rolesSet = new HashSet<String>(Arrays.asList(rolesAnnotation.value()));
                //Is user valid?
                if( ! isUserAllowed(username, password, rolesSet))
                {
                    requestContext.abortWith(ACCESS_DENIED);
                    return;
                }
            }
        }
    }
    private boolean isUserAllowed(final String username, final String password,    final Set<String> rolesSet) 
    {
        boolean isAllowed = false;
        //Step 1\. Fetch password from database and match with password in argument
        //If both match then get the defined role for user from database and continue; else return isAllowed [false]
        //Access the database and do this part yourself
        //String userRole = userMgr.getUserRole(username);
        String userRole = "ADMIN";
        //Step 2\. Verify user role
        if(rolesSet.contains(userRole))
        {
            isAllowed = true;
        }
        return isAllowed;
    }
}

2.4 RESTEasy 安全过滤器演示

要测试安全代码，请将 Web 应用部署在任何应用服务器（例如 Tomcat）中。现在，发送以下请求：

不带用户名和密码的 HTTP GET http://localhost:8080/RESTEasyEtagDemo/user-service/users/1
用户能够成功访问 API。
不带用户名和密码的 HTTP PUT http://localhost:8080/RESTEasyEtagDemo/user-service/users/1
用户无法访问 API。
添加基本授权凭据
带有用户名和密码的 HTTP PUT http://localhost:8080/RESTEasyEtagDemo/user-service/users/1
用户能够访问受保护的 API