在 JAX-RS 中使用 API 密钥进行身份验证
Posted
技术标签:
【中文标题】在 JAX-RS 中使用 API 密钥进行身份验证【英文标题】:Authenticating with an API key in JAX-RS 【发布时间】:2015-01-24 02:22:12 【问题描述】:我们希望使用 api 密钥来保护我们的 rest api。以下是要求:
-
面向公众的服务需要 api 密钥。
“私有”服务只能接受来自集群内部的调用,
不是外面的世界。
每个 api 标识一个用户,并且用户对象必须可用于
其余服务。
在 JAX-RS 应用程序中是否有一些标准方法可以做到这一点? (我们正在使用 Resteasy。)
我已阅读有关过滤器、拦截器和基本身份验证的所有内容,但我不清楚什么是最好的方法。
在该应用程序的早期版本中,我们有一个自己动手的解决方案,其中公共服务在公共端口上运行,而私有服务在私有端口上运行。有一个自定义 api 键查找将 User 对象作为变量设置到其余服务对象中。
我不知道如何使用标准的 JAX-RS 来做这些事情。
【问题讨论】:
【参考方案1】:使用过滤器拦截请求
这种身份验证可以通过ContainerRequestFilter
来实现,拦截对您的资源方法的请求。
过滤器将用于从请求中提取 API 密钥并对其进行验证。如果 API 密钥无效,请求将被拒绝。否则,请求将继续到资源方法。
看看下面的代码。 ContainerRequestContext
API 可用于从 HTTP 请求中提取信息:
@Provider
@Priority(Priorities.AUTHENTICATION)
public class AuthenticationFilter implements ContainerRequestFilter
@Override
public void filter(ContainerRequestContext requestContext) throws IOException
// Extract and validate the API key from the request
String apiKey = requestContext.getHeaderString("API-Key");
...
还可以查看this answer 我不久前写的关于在 JAX-RS 中使用令牌进行身份验证的文章。在那里,您会找到许多有助于解决您在问题中描述的情况的详细信息。
识别用户
在身份验证过程中,您必须能够识别执行请求的用户。要将此信息传播到您的资源类/方法,您可以:
-
覆盖
SecurityContext
并将其注入到您的资源类/方法中。
使用 CDI Event
和生产者方法创建一个对象,该对象包含可以注入到资源类/方法中的用户标识符。
有关这些方法的更多详细信息,请参阅我上面提到的answer。
将过滤器绑定到一些资源类/方法
默认情况下,过滤器是全局的(这意味着它们会针对您应用程序的所有资源方法执行)。要将过滤器绑定到资源方法或类的子集,您可以使用name binding annotations。
【讨论】:
现在不鼓励使用X-
。只需使用API-Key
。
@Michael-O 谢谢。这只是一个关于如何使用ContainerRequestContext
API 从 HTTP 请求中提取标头的示例。实际上,应该完全避免使用自定义标题。最好的方法是使用标准的Authorization
标头。不幸的是,我不太了解 OP 要求,但我认为 API 密钥是在自定义标头中发送的。【参考方案2】:
没有给出详细的答案,只是一个建议。检查 CustomInvokers 并注册服务的调用者。验证 api-key 并在它无效时抛出错误。如果有错误,那么您的客户端会收到错误。不会调用服务代码。
具体的安全框架请查看netflix zuul。
【讨论】:
对 OP 的评论建议。以上是关于在 JAX-RS 中使用 API 密钥进行身份验证的主要内容,如果未能解决你的问题,请参考以下文章
使用 JAX-RS Jersey 进行身份验证和授权的简便方法
使用 JAX-RS Jersey 进行身份验证和授权的简便方法
如何使用符合 JAX-RS 2.0 的 RESTEasy 客户端 API 启用 NTLM 身份验证?
在 Kong API 网关中使用 .jks 密钥对 JWT 令牌进行身份验证