基于角色的访问控制使用丢弃拟拟索
-
21-12-2019 - |
题
我们为下一个项目和我们需要实施的一个东西的爆炸索,是基于角色的访问控制机制。
使用掉线或我可以遵循的示例进行标准的简单方法?
解决方案
你有看见 dropwizard-auth ?它使其非常容易插入您想要的任何身份验证方法(Shiro,Spring等)。如果您想去那么远,它也支持OAuth2 ...
您可以实现这样的Shiro验证器:
public class BasicAuthenticator implements Authenticator<BasicCredentials, Subject> {
@Override
public Optional<Subject> authenticate(BasicCredentials credentials) throws AuthenticationException {
Subject subject = SecurityUtils.getSubject();
try {
subject.login(new UsernamePasswordToken(credentials.getUsername(), credentials.getPassword(), false));
return Optional.of(subject);
} catch (UnknownAccountException | IncorrectCredentialsException | LockedAccountException e) {
} catch (AuthenticationException ae) {
}
return Optional.absent();
}
}
.
,您可以使用这样的环境注册Shiro(从您的run
方法调用):
void configureAuthentication(Environment environment) {
JdbcRealm realm = getJdbcRealm(); // However your Shiro realm is configured
DefaultSecurityManager securityManager = new DefaultSecurityManager(realm);
SecurityUtils.setSecurityManager(securityManager);
environment.jersey().register(new BasicAuthProvider<Subject>(new BasicAuthenticator(), "Shiro"));
}
.
然后检查这样的角色:
@GET
public SecretPlan getSecretPlan(@Auth Subject subject) {
if (user.hasRole("secretPlanner")) {
return new SecretPlan();
} else {
return new NonSecretPlan();
}
}
. 其他提示
您可以很好地使用DropWizard提供的Auth机制 http://www.dropwizard.io/0.9.1/docs/Manual/ auth.html
@RolesAllowed("ADMIN")
@GET
public SecretPlan getSecretPlan(@Auth User user) {
return dao.findPlanForUser(user);
}
. 不隶属于 StackOverflow