Pembangunan back-end Java: Menggunakan Perkhidmatan Pengesahan dan Kebenaran Java untuk pengurusan kebenaran berbilang peranan API

Dengan pembangunan Internet, senario aplikasi pelbagai aplikasi web dan API menjadi semakin meluas, dan pengurusan kebenaran berbilang peranan API telah menjadi topik yang semakin penting. Dalam pembangunan back-end Java, Java Authentication and Authorization Service (JAAS) ialah penyelesaian yang boleh dipercayai Ia menyediakan mekanisme kawalan kebenaran berasaskan peranan yang membolehkan kami mengurus kebenaran akses kepada antara muka API.

Dalam pembangunan Java, rangka kerja JAAS ialah singkatan Java Authentication and Authorization Service Ia merupakan salah satu API standard Java SE dan digunakan terutamanya untuk pengesahan dan kebenaran aplikasi. Konsep teras rangka kerja JAAS ialah konfigurasi dan sumber dasar, yang digunakan untuk mengenal pasti dan mengurus jenis pengguna yang berbeza dan dasar capaian dalam program.

Rangka kerja JAAS menyediakan dua abstraksi utama: Subjek dan Modul Masuk. Subjek mewakili pengguna atau kumpulan pengguna dalam program, dan LoginModule ialah pelaksanaan khusus pengesahan dan kebenaran. Rangka kerja JAAS melaksanakan mekanisme kawalan kebenaran berasaskan peranan melalui dua abstraksi ini.

Mari kita lihat cara menggunakan rangka kerja JAAS untuk melaksanakan pengurusan kebenaran peranan API.

1. Mengkonfigurasi JAAS

Pertama, JAAS perlu dikonfigurasikan. Kita boleh mencipta fail konfigurasi dalam projek, contohnya: jaas.conf Kandungan fail konfigurasi adalah seperti berikut:

Sample {
    com.example.security.SimpleLoginModule required;
};

Dalam konfigurasi di atas, Sample ialah nama program dan com.example. keselamatan.SimpleLoginModule melaksanakan LoginModule Nama kelas antara muka.

2. Laksanakan antara muka LoginModule

Seterusnya, anda perlu melaksanakan kelas yang melaksanakan antara muka LoginModule untuk mengesahkan dan membenarkan pengguna. Contoh kod adalah seperti berikut:

package com.example.security;

import java.util.Map;
import javax.security.auth.Subject;
import javax.security.auth.callback.Callback;
import javax.security.auth.callback.CallbackHandler;
import javax.security.auth.callback.NameCallback;
import javax.security.auth.callback.PasswordCallback;
import javax.security.auth.callback.UnsupportedCallbackException;
import javax.security.auth.login.LoginException;
import javax.security.auth.spi.LoginModule;

public class SimpleLoginModule implements LoginModule {

    private Subject subject;
    private CallbackHandler callbackHandler;
    private Map<String, ?> sharedState;
    private Map<String, ?> options;
    private String username;

    public void initialize(
        Subject subject,
        CallbackHandler callbackHandler,
        Map<String, ?> sharedState,
        Map<String, ?> options
    ) {
        this.subject = subject;
        this.callbackHandler = callbackHandler;
        this.sharedState = sharedState;
        this.options = options;
    }

    public boolean login() throws LoginException {
        Callback[] callbacks = new Callback[2];
        callbacks[0] = new NameCallback("username: ");
        callbacks[1] = new PasswordCallback("password: ", false);

        try {
            callbackHandler.handle(callbacks);

            String username = ((NameCallback) callbacks[0]).getName();
            String password = String.valueOf(((PasswordCallback) callbacks[1]).getPassword());

            // 验证用户名和密码，通过返回true
            if ("admin".equals(username) && "123456".equals(password)) {
                this.username = username;
                return true;
            } else {
                throw new LoginException("Invalid username or password");
            }
        } catch (UnsupportedCallbackException | IOException e) {
            e.printStackTrace();
            throw new LoginException(e.getMessage());
        }
    }

    public boolean commit() throws LoginException {
        subject.getPrincipals().add(new SimplePrincipal(username));
        return true;
    }

    public boolean abort() throws LoginException {
        return true;
    }

    public boolean logout() throws LoginException {
        subject.getPrincipals().removeIf(principal -> principal.getName().equals(username));
        return true;
    }

}

Antaranya, kami melaksanakan pengesahan dan kebenaran pengguna dengan melaksanakan kaedah dalam antara muka LoginModule. Dalam kaedah log masuk, kami menggunakan CallbackHandler untuk mendapatkan nama pengguna dan kata laluan yang dimasukkan oleh pengguna dan mengesahkannya dalam kaedah komit, kami menambah maklumat pengguna kepada Subjek untuk kebenaran peranan seterusnya.

3. Melaksanakan kebenaran peranan

Seterusnya, kebenaran peranan perlu dilakukan untuk antara muka API tertentu. Kami boleh menggunakan anotasi yang disediakan oleh Java EE untuk kebenaran, contohnya:

@RolesAllowed({"admin","user"})
@Path("/api/hello")
public class HelloResource {

    @GET
    public Response greet() {
        return Response.ok("Hello World!").build();
    }

}

Dalam contoh di atas, kami menggunakan anotasi @RolesAllowed untuk menentukan peranan akses API Hanya pengguna dengan peranan pentadbir dan pengguna boleh mengakses antara muka API.

4. Konfigurasikan pelayan aplikasi

Akhir sekali, untuk menambah sokongan JAAS pada pelayan aplikasi, kita boleh menambah konfigurasi berikut ke server.xml:

<server>
  ...
  <featureManager>
    ...
    <feature>appSecurity-2.0</feature>
  </featureManager>
  ...
</server>

Tambah kod berikut dalam web.xml:

<login-config>
  <auth-method>FORM</auth-method>
  <realm-name>sampleRealm</realm-name>
  <form-login-config>
    <form-login-page>/login.html</form-login-page>
    <form-error-page>/error.html</form-error-page>
  </form-login-config>
</login-config>

<security-constraint>
  <web-resource-collection>
    <web-resource-name>helloResource</web-resource-name>
    <url-pattern>/api/hello</url-pattern>
  </web-resource-collection>
  <auth-constraint>
    <role-name>admin</role-name>
    <role-name>user</role-name>
</auth-constraint>

Dalam konfigurasi di atas, kami menyatakan penggunaan kaedah pengesahan FORM dan menyediakan halaman yang sepadan untuk halaman tersebut. Pada masa yang sama, anda juga perlu menentukan Kekangan Keselamatan untuk membenarkan peranan /hello API.

Pada ketika ini, kami telah melengkapkan konfigurasi pengurusan kebenaran berbilang peranan API.

Ringkasan

Rangka kerja JAAS ialah singkatan Java Authentication and Authorization Service Ia adalah salah satu API standard Java SE dan digunakan terutamanya untuk mengesahkan dan membenarkan aplikasi. Dalam pembangunan back-end Java, menggunakan rangka kerja JAAS untuk pengurusan kebenaran berbilang peranan API boleh melaksanakan kebenaran peranan dengan mudah. Kami melaksanakan mekanisme kawalan kebenaran berasaskan peranan melalui konfigurasi dan sumber dasar, menggunakan antara muka LoginModule untuk pengesahan identiti dan kebenaran serta menggunakan anotasi untuk kebenaran peranan API. Dengan mengkonfigurasi pelayan aplikasi, kami akhirnya menyedari pengurusan kebenaran berbilang peranan API.

Atas ialah kandungan terperinci Pembangunan back-end Java: Menggunakan Perkhidmatan Pengesahan dan Kebenaran Java untuk pengurusan kebenaran berbilang peranan API. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!