我在 JBoss-7 环境中使用 ReastEasy,目前正在实现安全功能。我正在使用带有 SSL 连接的 HTTP Basic。添加和评估 header 参数很容易(感谢 Passing parameters in the message header with a REST API ):
@Provider @ServerInterceptor
public class RestSecurityInterceptor implements PreProcessInterceptor
{
@EJB MyBean fUser;
private MyUser user;
@Override
public ServerResponse preProcess(HttpRequest request, ResourceMethod method)
throws UnauthorizedException
{
// do some some stuff. If the request is authenticated I get a MyUser
user = ...
}
@Named @Produces @SessionScoped
public MyUser getCurrentUser() {return user;}
}
这很好用,我的 REST 服务中的 @Produces
和 @Inject
也很管用。
@Path("/rest")
public class MyService extends Application
{
@Inject private MyUser currentUser;
@GET @Path("/test")
public String test()
{
return "Hello "+currentUser.getName();
}
}
现在我的问题是:以这种方式实现 REST 的安全性安全吗(我不想讨论 HTTP Basic 的利弊,让我们关注 CDI)?特别是我想知道我是否可以像描述的那样使用 CDI,以及我是否使用 @SessionScoped
选择了正确的范围?
最佳答案
session 范围将不起作用。已经有一些关于 REST 和 session 范围的问题。 session 作用域对于 JAX-RS 和 JAX-WS 调用都不活跃。
关于java - REST 身份验证 : CDI safe? CDI @Produces 的哪个范围?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/10446323/