前言:提离职了,嗯,这么多年了,真到了提离职的时候,心情真的很复杂。好吧,离职阶段需要把一些项目中的情况说明白讲清楚,这篇博客就简单说一下在平台中对API所做的安全处理(后面讲网关还要说,这里主要讲代码结构)

一、宏观概况

第一点:系统是按照Security规范,通过实现OAuth2.0协议安全控制。

关键词理解:

JWT:JWTJWT 在前后端分离中的应用与实践

规范:Security、JAX-RS(当前选取Jersey:Difference between JAX-RS, Restlet, Jersey, RESTEasy, and Apache CXF
Frameworks

安全协议:OAuth2,参考:理解OAuth 2.0

其他:java自定义注解RBACCONTAINER
REQUEST FILTER

二、实现说明

2.1,安全访问过滤(重要)

在讲调用流程的时候,必须有必要说自定义的安全访问注解,云图平台的伙伴们,如果要理解系统的安全控制,或者仅是为了读接下来的流程说明,这一步很重要,一定要把这部分弄明白:  (这一段是JAX-RS规范很重要的内容)

首先看我们的自定义注解:

package com.dmsdbj.library.app.security;

import java.lang.annotation.ElementType;

import java.lang.annotation.Retention;

import java.lang.annotation.RetentionPolicy;

import java.lang.annotation.Target;

import javax.ws.rs.NameBinding;

@NameBinding

@Target({ElementType.TYPE, ElementType.METHOD})

@Retention(value = RetentionPolicy.RUNTIME)

public @interface Secured {

    String[] value() default {};

}

注意里面的@NameBinding  ,请阅读:Per-JAX-RS
Method Bindings   必须要明白这个@NameBinding注解是用来干嘛的!!!

再看我们的过滤器:



@Priority(Priorities.AUTHENTICATION)

@Provider

@Secured

public class JWTAuthenticationFilter implements ContainerRequestFilter {

    @Inject

    private Logger log;

    @Inject

    private TokenProvider tokenProvider;

    @Context

    private HttpServletRequest request;

    @Context

    private ResourceInfo resourceInfo;

    @Override

    public void filter(ContainerRequestContext requestContext) throws IOException {

        String jwt = resolveToken();

        if (StringUtils.isNotBlank(jwt)) {

            try {

                if (tokenProvider.validateToken(jwt)) {

                    UserAuthenticationToken authenticationToken = this.tokenProvider.getAuthentication(jwt);

                    if (!isAllowed(authenticationToken)) {

                        requestContext.setProperty("auth-failed", true);

                        requestContext.abortWith(Response.status(Response.Status.UNAUTHORIZED).build());

                    }

                    final SecurityContext securityContext = requestContext.getSecurityContext();

                    requestContext.setSecurityContext(new SecurityContext() {

                        @Override

                        public Principal getUserPrincipal() {

                            return authenticationToken::getPrincipal;

                        }

                        @Override

                        public boolean isUserInRole(String role) {

                            return securityContext.isUserInRole(role);

                        }

                        @Override

                        public boolean isSecure() {

                            return securityContext.isSecure();

                        }

                        @Override

                        public String getAuthenticationScheme() {

                            return securityContext.getAuthenticationScheme();

                        }

                    });

                }

            } catch (ExpiredJwtException eje) {

                log.info("Security exception for user {} - {}", eje.getClaims().getSubject(), eje.getMessage());

                requestContext.setProperty("auth-failed", true);

                requestContext.abortWith(Response.status(Response.Status.UNAUTHORIZED).build());

            }

        } else {

            log.info("No JWT token found");

            requestContext.setProperty("auth-failed", true);

            requestContext.abortWith(Response.status(Response.Status.UNAUTHORIZED).build());

        }

    }

    private String resolveToken() {

        String bearerToken = request.getHeader(Constants.AUTHORIZATION_HEADER);

        if (StringUtils.isNotEmpty(bearerToken) && bearerToken.startsWith("Bearer ")) {

            String jwt = bearerToken.substring(7, bearerToken.length());

            return jwt;

        }

        return null;

    }

    private boolean isAllowed(UserAuthenticationToken authenticationToken) {

        Secured secured = resourceInfo.getResourceMethod().getAnnotation(Secured.class);

        if (secured == null) {

            secured = resourceInfo.getResourceClass().getAnnotation(Secured.class);

        }

        for (String role : secured.value()) {

            if (!authenticationToken.getAuthorities().contains(role)) {

                return false;

            }

        }

        return true;

    }

}



附:1,You can bind a filter or interceptor to a particular annotation and when that custom annotation is applied, the filter or interceptor will automatically be bound to the annotated JAX-RS method.      (文章:Per-JAX-RS

 Method Bindings )


2,By default, i.e. if no name binding is applied to the filter implementation class, the filter instance is applied globally, however only after the incoming request has been matched to a particular

 resource by JAX-RS runtime. If there is a @NameBinding annotation applied to the filter, the filter will also be executed at the post-match request extension point, but only in case the matched resource or sub-resource method is bound to the same name-binding

 annotation. (文章:CONTAINER REQUEST FILTER


简单说来:这个本应该用于所有请求过滤的过滤器,因为加上了@Secure的注解(而@Secure注解又加上了@NameBinding注解),所以,这个过滤器仅被用于有@Secure修饰的特定类、方法!  备注:当前过滤器执行后匹配模式@Provider


2.2,正常访问流程


由上述的过滤器说明,要想请求经过安全限制的API(有@Seured修饰),必须要得到一个可用的token信息(resolveToken方法)。


所以,第一步通过登录获取票据:


服务端:


调用login方法(UserJWTController)


   @Timed

    @ApiOperation(value = "authenticate the credential")

    @ApiResponses(value = {

        @ApiResponse(code = 200, message = "OK")

        ,

        @ApiResponse(code = 401, message = "Unauthorized")})

    @Path("/authenticate")

    @POST

    @Consumes({MediaType.APPLICATION_JSON})

    @Produces({MediaType.APPLICATION_JSON})

    public Response login(@Valid LoginDTO loginDTO) throws ServletException {

        UserAuthenticationToken authenticationToken = new UserAuthenticationToken(loginDTO.getUsername(), loginDTO.getPassword());

        try {

            User user = userService.authenticate(authenticationToken);

            boolean rememberMe = (loginDTO.isRememberMe() == null) ? false : loginDTO.isRememberMe();

            String jwt = tokenProvider.createToken(user, rememberMe);

            return Response.ok(new JWTToken(jwt)).header(Constants.AUTHORIZATION_HEADER, "Bearer " + jwt).build();

        } catch (AuthenticationException exception) {

            return Response.status(Status.UNAUTHORIZED).header("AuthenticationException", exception.getLocalizedMessage()).build();

        }

    }



A:调用了userService.authenticate(authenticationToken),根据当前登录用户,查询用户信息及其角色信息;B:调用tokenProvider.createToken(user, rememberMe),为当前用户生成一个访问票据;C:将当前的票据信息存入到响应header。


客户端:


客户端接收到请求login方法后的Response,会从中提取票据token,并存入localStorage。本系统的具体代码位置:qpp/services/quth/auth.jwt.service  附:HTML

 5 Web 存储


API请求:


在第一次登录获取完票据后,后续的请求,当请求的API有自定义注解@Secured时,经过过滤器,首先解析JWT判断是否拥有访问权限,再判断是否允许访问!



附:关键类TokenProvider


package com.dmsdbj.library.app.security.jwt;

import com.dmsdbj.library.app.config.SecurityConfig;

import com.dmsdbj.library.app.security.UserAuthenticationToken;

import com.dmsdbj.library.entity.User;

import java.util.*;

import java.util.stream.Collectors;

import javax.annotation.PostConstruct;

import javax.inject.Inject;

import org.slf4j.Logger;

import io.jsonwebtoken.*;

public class TokenProvider {

    @Inject

    private Logger log;

    private static final String AUTHORITIES_KEY = "auth";

    private String secretKey;

    private long tokenValidityInSeconds;

    private long tokenValidityInSecondsForRememberMe;

    @Inject

    private SecurityConfig securityConfig;

    @PostConstruct

    public void init() {

        this.secretKey

                = securityConfig.getSecret();

        this.tokenValidityInSeconds

                = 1000 * securityConfig.getTokenValidityInSeconds();

        this.tokenValidityInSecondsForRememberMe

                = 1000 * securityConfig.getTokenValidityInSecondsForRememberMe();

    }

    public String createToken(User user, Boolean rememberMe) {

        String authorities = user.getAuthorities().stream()

                .map(authority -> authority.getName())

                .collect(Collectors.joining(","));

        long now = (new Date()).getTime();

        Date validity;

        if (rememberMe) {

            validity = new Date(now + this.tokenValidityInSecondsForRememberMe);

        } else {

            validity = new Date(now + this.tokenValidityInSeconds);

        }

        return Jwts.builder()

                .setSubject(user.getLogin())

                .claim(AUTHORITIES_KEY, authorities)

                .signWith(SignatureAlgorithm.HS512, secretKey)

                .setExpiration(validity)

                .compact();

    }

    public UserAuthenticationToken getAuthentication(String token) {

        Claims claims = Jwts.parser()

                .setSigningKey(secretKey)

                .parseClaimsJws(token)

                .getBody();

        Set<String> authorities

                = Arrays.asList(claims.get(AUTHORITIES_KEY).toString().split(",")).stream()

                        .collect(Collectors.toSet());

        return new UserAuthenticationToken(claims.getSubject(), "", authorities);

    }

    public boolean validateToken(String authToken) {

        try {

            Jwts.parser().setSigningKey(secretKey).parseClaimsJws(authToken);

            return true;

        } catch (SignatureException e) {

            log.info("Invalid JWT signature: " + e.getMessage());

            return false;

        }

    }

}



三、总结


关于本平台的基本安全访问控制,大概就这些内容。其实挺简单的,就是模拟了一个票据生成中心,然后使用了JWT省去了读取服务器端session的步骤,仅通过解析JWT票据进行授权。    嗯,尽可能的在说明白,如果还是不明白的话,小伙伴们及时找我交流(先做任务,不然扛把子该......)


在本项目中涉及到的类:


 
												


											
java EE技术体系——CLF平台API开发注意事项(3)——API安全访问控制的更多相关文章
	

    
						
  1. java EE技术体系——CLF平台API开发注意事项(4)——API生命周期治理简单说明
		
    文档说明 截止日期:20170905,作者:何红霞,联系方式:QQ1028335395.邮箱:hehongxia626@163.com 综述 有幸加入到javaEE技术体系的研究与开发,也得益于大家的 ...
    
		
    2. 
						
  2. java EE技术体系——CLF平台API开发注意事项(1)——后端开发
		
    前言:这是一篇帮助小伙伴在本次项目中快速进入到java EE开发的一些说明,为了让同组小伙伴们开发的时候,有个清晰点的思路.昨天给大家演示分享了基本概况,但没有留下文字总结说明,预防后期有人再次问我, ...
    
		
    3. 
						
  3. java EE技术体系——CLF平台API开发注意事项(2)——后端测试
		
    前言:上篇博客说到了关于开发中的一些情况,这篇博客主要说明一些关于测试的内容. 一.宏观说明 要求:每一个API都必须经过测试.   备注:如果涉及到服务间调用(如权限和基础数据),而对方服务不可用时 ...
    
		
    4. 
								
  4. [置顶] 遵循Java EE标准体系的开源GIS服务平台架构
		
    传送门 ☞ 系统架构设计 ☞ 转载请注明 ☞ http://blog.csdn.net/leverage_1229 传送门 ☞ GoF23种设计模式 ☞ 转载请注明 ☞ http://blog.csd ...
    
		
    5. 
						
  5. [置顶] 遵循Java EE标准体系的开源GIS服务平台之二:平台部署
		
    传送门 ☞ 系统架构设计 ☞ 转载请注明 ☞ http://blog.csdn.net/leverage_1229 传送门 ☞ GoF23种设计模式 ☞ 转载请注明 ☞ http://blog.csd ...
    
		
    6. 
						
  6. Spring 4 官方文档学习 Spring与Java EE技术的集成
		
    本部分覆盖了以下内容: Chapter 28, Remoting and web services using Spring -- 使用Spring进行远程和web服务 Chapter 29, Ent ...
    
		
    7. 
						
  7. 揭秘Java架构技术体系
		
    Web应用,最常见的研发语言是Java和PHP. 后端服务,最常见的研发语言是Java和C/C++. 大数据,最常见的研发语言是Java和Python. 可以说,Java是现阶段中国互联网公司中,覆盖 ...
    
		
    8. 
						
  8. CTP API开发之一:CTP API简介
		
    官网下载CTP API 综合交易平台CTP(Comprehensive Transaction Platform)是由上海期货信息技术有限公司(上海期货交易所的全资子公司)开发的期货交易平台,CTP平 ...
    
		
    9. 
						
  9. zookeeper[3] zookeeper API开发注意事项总结
		
    如下是根据官方接口文档(http://zookeeper.apache.org/doc/r3.4.1/api/org/apache/zookeeper/ZooKeeper.html#register( ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. selenium-Python之上传文件
			
    对于web 页面的上传功能实现一般有一下两种方式 普通上传:普通的附件上传是将本地文件的路径作为一个值放在input标签中,通过form表单将这个值提交给服务器 插件上传:一般是指基于flash.ja ...
    
			
    2. 
						
  2. Codeforces Round #313 (Div. 2)  A.B,C,D,E  Currency System in Geraldion   	 Gerald is into Art   Gerald's Hexagon   Equivalent Strings
			
    A题,超级大水题,根据有没有1输出-1和1就行了.我沙茶,把%d写成了%n. B题,也水,两个矩形的长和宽分别加一下,剩下的两个取大的那个,看看是否框得下. C题,其实也很简单,题目保证了小三角形是正 ...
    
			
    3. 
						
  3. XManager 远程连接Netbackup图形用户界面
			
    XManager远程连接Netbackup图形用户界面   目标: 在自己的Windows桌面打开Linux的Netbackup图形用户界面 工具: Windows: Xmanager,Xshell, ...
    
			
    4. 
						
  4. Java 集合框架_中
			
    Set接口 特点: [1]Set接口表示一个唯一.无序的容器(和添加顺序无关) Set接口常用实现类有 HashSet [1]HashSet是Set接口的实现类,底层数据结构是哈希表. [2]Hash ...
    
			
    5. 
						
  5. 影响一个UIView是否能正常显示的几个因素
			
    在使用代码实现UIView及其子类的对象的时候,经常会遇到创建的某个view没有显示在屏幕上.以下总结了本人遇到过的几种情况.可能还有些其它的原因也会导致view不能正常显示,限于个人经历有限,无法全 ...
    
			
    6. 
						
  6. JavaScript -- DOM事件
			
    什么是事件 事件就是文档或浏览器窗口中发生的一些特定的交互瞬间.比如你在网页上见到的鼠标点击一个按钮,按钮的颜色发生了变化,就是因为这个标签绑定了点击事件 鼠标事件 onload:页面加载时触发 on ...
    
			
    7. 
						
  7. 01_7_Struts_用Action的属性接收参数
			
    01_7_Struts_用Action的属性接收参数 1. 配置struts.xml文件 <package name="user" namespace="/user ...
    
			
    8. 
						
  8. PAT 乙级 1088
			
    题目 题目链接:PAT 乙级 1088 题解 比较简单的一道题,下面来简单说说思路: 因为甲确定是一个两位数,因此通过简单的暴力循环求解甲的值,又根据题设条件“把甲的能力值的 2 个数字调换位置就是乙 ...
    
			
    9. 
						
  9. WCF_基础学习
			
    1.https://www.cnblogs.com/swjian/p/8126202.html 2.https://www.cnblogs.com/dotnet261010/p/7407444.htm ...
    
			
    10. 
						
  10. vue使用原生js实现滚动页面跟踪导航高亮
			
    需要使用vue做一个专题页面. 滚动页面指定区域导航高亮. BetterScroll:可能是目前最好用的移动端滚动插件 如何自定义CSS滚动条的样式? 监听滚动页面事件,对比当前页面的位置与元素的位置 ...
    
			
    11.