在 JAX-RS 中使用 API 密钥进行身份验证

Posted

技术标签:

【中文标题】在 JAX-RS 中使用 API 密钥进行身份验证【英文标题】:Authenticating with an API key in JAX-RS 【发布时间】:2015-01-24 02:22:12 【问题描述】:

我们希望使用 api 密钥来保护我们的 rest api。以下是要求:

    面向公众的服务需要 api 密钥。 “私有”服务只能接受来自集群内部的调用, 不是外面的世界。 每个 api 标识一个用户,并且用户对象必须可用于 其余服务。

在 JAX-RS 应用程序中是否有一些标准方法可以做到这一点? (我们正在使用 Resteasy。)

我已阅读有关过滤器、拦截器和基本身份验证的所有内容,但我不清楚什么是最好的方法。

在该应用程序的早期版本中,我们有一个自己动手的解决方案,其中公共服务在公共端口上运行,而私有服务在私有端口上运行。有一个自定义 api 键查找将 User 对象作为变量设置到其余服务对象中。

我不知道如何使用标准的 JAX-RS 来做这些事情。

【问题讨论】:

【参考方案1】:

使用过滤器拦截请求

这种身份验证可以通过ContainerRequestFilter 来实现,拦截对您的资源方法的请求。

过滤器将用于从请求中提取 API 密钥并对其进行验证。如果 API 密钥无效,请求将被拒绝。否则,请求将继续到资源方法。

看看下面的代码。 ContainerRequestContext API 可用于从 HTTP 请求中提取信息:

@Provider
@Priority(Priorities.AUTHENTICATION)
public class AuthenticationFilter implements ContainerRequestFilter 

    @Override
    public void filter(ContainerRequestContext requestContext) throws IOException 

        // Extract and validate the API key from the request
        String apiKey = requestContext.getHeaderString("API-Key");
        ...
    

还可以查看this answer 我不久前写的关于在 JAX-RS 中使用令牌进行身份验证的文章。在那里,您会找到许多有助于解决您在问题中描述的情况的详细信息。

识别用户

在身份验证过程中,您必须能够识别执行请求的用户。要将此信息传播到您的资源类/方法,您可以:

    覆盖SecurityContext 并将其注入到您的资源类/方法中。 使用 CDI Event 和生产者方法创建一个对象,该对象包含可以注入到资源类/方法中的用户标识符。

有关这些方法的更多详细信息,请参阅我上面提到的answer。

将过滤器绑定到一些资源类/方法

默认情况下,过滤器是全局的(这意味着它们会针对您应用程序的所有资源方法执行)。要将过滤器绑定到资源方法或类的子集,您可以使用name binding annotations。

【讨论】:

现在不鼓励使用X-。只需使用API-Key @Michael-O 谢谢。这只是一个关于如何使用ContainerRequestContext API 从 HTTP 请求中提取标头的示例。实际上,应该完全避免使用自定义标题。最好的方法是使用标准的Authorization 标头。不幸的是,我不太了解 OP 要求,但我认为 API 密钥是在自定义标头中发送的。【参考方案2】:

没有给出详细的答案,只是一个建议。检查 CustomInvokers 并注册服务的调用者。验证 api-key 并在它无效时抛出错误。如果有错误,那么您的客户端会收到错误。不会调用服务代码。

具体的安全框架请查看netflix zuul。

【讨论】:

对 OP 的评论建议。

以上是关于在 JAX-RS 中使用 API 密钥进行身份验证的主要内容,如果未能解决你的问题,请参考以下文章

使用 JAX-RS Jersey 进行身份验证和授权的简便方法

使用 JAX-RS Jersey 进行身份验证和授权的简便方法

如何使用符合 JAX-RS 2.0 的 RESTEasy 客户端 API 启用 NTLM 身份验证?

在 Kong API 网关中使用 .jks 密钥对 JWT 令牌进行身份验证

如何使用 FusionAuth API 密钥对 HotChocolate Graph API 进行身份验证/授权

使用拦截器和注入在 JAX-RS 中进行身份验证/授权