基于角色的访问控制使用丢弃拟拟索

Question

我们为下一个项目和我们需要实施的一个东西的爆炸索，是基于角色的访问控制机制。

使用掉线或我可以遵循的示例进行标准的简单方法？

Answer 1

你有看见 dropwizard-auth ？它使其非常容易插入您想要的任何身份验证方法（Shiro，Spring等）。如果您想去那么远，它也支持OAuth2 ...

您可以实现这样的Shiro验证器：

public class BasicAuthenticator implements Authenticator<BasicCredentials, Subject> {

  @Override
  public Optional<Subject> authenticate(BasicCredentials credentials) throws AuthenticationException {
    Subject subject = SecurityUtils.getSubject();
    try {
      subject.login(new UsernamePasswordToken(credentials.getUsername(), credentials.getPassword(), false));
      return Optional.of(subject);
    } catch (UnknownAccountException | IncorrectCredentialsException | LockedAccountException e) {
    } catch (AuthenticationException ae) {
    }
    return Optional.absent();
  }

}

.

，您可以使用这样的环境注册Shiro（从您的run方法调用）：

void configureAuthentication(Environment environment) {
  JdbcRealm realm = getJdbcRealm(); // However your Shiro realm is configured

  DefaultSecurityManager securityManager = new DefaultSecurityManager(realm);
  SecurityUtils.setSecurityManager(securityManager);

  environment.jersey().register(new BasicAuthProvider<Subject>(new BasicAuthenticator(), "Shiro"));
}

.

然后检查这样的角色：

@GET
public SecretPlan getSecretPlan(@Auth Subject subject) {
  if (user.hasRole("secretPlanner")) {
    return new SecretPlan();
  } else {
    return new NonSecretPlan();
  }
}

.

Answer 2

您可以很好地使用DropWizard提供的Auth机制 http://www.dropwizard.io/0.9.1/docs/Manual/ auth.html

@RolesAllowed("ADMIN")
@GET
public SecretPlan getSecretPlan(@Auth User user) {
   return dao.findPlanForUser(user);
}

.