在 JAX-RS 中使用 API 密钥进行身份验证

Posted 2023-02-24

【中文标题】在 JAX-RS 中使用 API 密钥进行身份验证

【英文标题】：Authenticating with an API key in JAX-RS

【发布时间】：2015-01-24 02:22:12

【问题描述】：

我们希望使用 api 密钥来保护我们的 rest api。以下是要求：

面向公众的服务需要 api 密钥。 “私有”服务只能接受来自集群内部的调用， 不是外面的世界。 每个 api 标识一个用户，并且用户对象必须可用于 其余服务。

在 JAX-RS 应用程序中是否有一些标准方法可以做到这一点？ （我们正在使用 Resteasy。）

我已阅读有关过滤器、拦截器和基本身份验证的所有内容，但我不清楚什么是最好的方法。

在该应用程序的早期版本中，我们有一个自己动手的解决方案，其中公共服务在公共端口上运行，而私有服务在私有端口上运行。有一个自定义 api 键查找将 User 对象作为变量设置到其余服务对象中。

我不知道如何使用标准的 JAX-RS 来做这些事情。

【参考方案1】：

使用过滤器拦截请求

这种身份验证可以通过ContainerRequestFilter 来实现，拦截对您的资源方法的请求。

过滤器将用于从请求中提取 API 密钥并对其进行验证。如果 API 密钥无效，请求将被拒绝。否则，请求将继续到资源方法。

看看下面的代码。 ContainerRequestContext API 可用于从 HTTP 请求中提取信息：

@Provider
@Priority(Priorities.AUTHENTICATION)
public class AuthenticationFilter implements ContainerRequestFilter 

    @Override
    public void filter(ContainerRequestContext requestContext) throws IOException 

        // Extract and validate the API key from the request
        String apiKey = requestContext.getHeaderString("API-Key");
        ...
    

还可以查看this answer 我不久前写的关于在 JAX-RS 中使用令牌进行身份验证的文章。在那里，您会找到许多有助于解决您在问题中描述的情况的详细信息。

识别用户

在身份验证过程中，您必须能够识别执行请求的用户。要将此信息传播到您的资源类/方法，您可以：

覆盖SecurityContext 并将其注入到您的资源类/方法中。 使用 CDI Event 和生产者方法创建一个对象，该对象包含可以注入到资源类/方法中的用户标识符。

有关这些方法的更多详细信息，请参阅我上面提到的answer。

将过滤器绑定到一些资源类/方法

默认情况下，过滤器是全局的（这意味着它们会针对您应用程序的所有资源方法执行）。要将过滤器绑定到资源方法或类的子集，您可以使用name binding annotations。

【讨论】：

现在不鼓励使用X-。只需使用API-Key。

@Michael-O 谢谢。这只是一个关于如何使用ContainerRequestContext API 从 HTTP 请求中提取标头的示例。实际上，应该完全避免使用自定义标题。最好的方法是使用标准的Authorization 标头。不幸的是，我不太了解 OP 要求，但我认为 API 密钥是在自定义标头中发送的。

【参考方案2】：

没有给出详细的答案，只是一个建议。检查 CustomInvokers 并注册服务的调用者。验证 api-key 并在它无效时抛出错误。如果有错误，那么您的客户端会收到错误。不会调用服务代码。

具体的安全框架请查看netflix zuul。

【讨论】：

对 OP 的评论建议。