@runasjavax安全注解有什么用?

plicqrtu  于 2021-07-12  发布在  Java
关注(0)|答案(2)|浏览(435)

我试着理解java文档中@runas注解的用法,但是我不理解它的用法。谁能解释一下吗?
我的理解是,在某些情况下,如果具有不同角色的经过身份验证的用户希望访问仅允许具有特定角色的用户访问的ejb方法,那么调用方ejb可以将自己注解为作为预期角色运行,并可以访问ejb方法。
所以我写了下面的代码,但我的理解是错误的。
jax rs类:

package com.jee.beginner.rest;

import java.security.Principal;

import javax.inject.Inject;
import javax.validation.Valid;
import javax.validation.constraints.Min;
import javax.validation.groups.ConvertGroup;
import javax.validation.groups.Default;
import javax.ws.rs.Consumes;
import javax.ws.rs.GET;
import javax.ws.rs.POST;
import javax.ws.rs.Path;
import javax.ws.rs.PathParam;
import javax.ws.rs.Produces;
import javax.ws.rs.QueryParam;
import javax.ws.rs.core.Context;
import javax.ws.rs.core.MediaType;
import javax.ws.rs.core.UriInfo;

import com.jee.beginner.custom.validation.Create;
import com.jee.beginner.custom.validation.Update;
import com.jee.beginner.domain.Student;
import com.jee.beginner.service.StudentService;
import com.jee.beginner.service.proxy.StudentServiceProxy;

@Path("student")
public class StudentResource {

    @Inject
    private Principal principal;

    @Inject
    private StudentService studentService;

    @Inject
    private StudentServiceProxy studentServiceProxy;

    @GET
    @Path("details/{id}")
    @Produces(MediaType.APPLICATION_JSON)
    public Student getDetails(@PathParam("id") @Min(value = 2, message = "ID cannot be less than 2") int id,
            @QueryParam("id") int qid, @Context UriInfo uriInfo) {

        return studentServiceProxy.getDetails(id);
    }

    @POST
    @Path("new")
    @Consumes(MediaType.APPLICATION_JSON)
    @Produces(MediaType.APPLICATION_JSON)
    public Student addStudent(@Valid @ConvertGroup(from = Default.class, to = Create.class) final Student student) {

        return studentService.addStudent(student);
    }

    @POST
    @Path("update")
    @Consumes(MediaType.APPLICATION_JSON)
    @Produces(MediaType.APPLICATION_JSON)
    public Student updateStudent(@Valid @ConvertGroup(from = Default.class, to = Update.class) final Student student) {

        return student;
    }
}

代理类。这个类被注解为@runas(“admin”)

package com.jee.beginner.service.proxy;

import javax.annotation.security.RunAs;
import javax.ejb.Stateless;
import javax.inject.Inject;

import com.jee.beginner.domain.Student;
import com.jee.beginner.service.StudentService;

@RunAs("admin")
@Stateless
public class StudentServiceProxy {

    @Inject
    private StudentService studentService;

    public Student getDetails(int id) {
        return studentService.getDetails(id);
    }
}

服务等级:

package com.jee.beginner.service;

import javax.annotation.Resource;
import javax.annotation.security.RolesAllowed;
import javax.ejb.EJBContext;
import javax.ejb.Stateless;

import com.jee.beginner.domain.Student;

@Stateless
public class StudentService {

    @Resource
    private EJBContext context;

    @RolesAllowed({ "admin", "guest" })
    public Student addStudent(final Student student) {
        System.out.println(context.isCallerInRole("admin"));
        return student;
    }

    @RolesAllowed({ "admin" })
    public Student getDetails(int id) {
        Student student = new Student();
        student.setId(id);
        student.setName("noname");
        return student;
    }
}

我创建了一个领域并添加了两个用户
用户A-管理员,用户B-访客
如果没有runas注解,usera可以按预期访问方法,而userb不能按预期访问方法。
我一添加runas注解,两个用户就无法访问getdetails方法。
我认为userb现在可以访问这个方法了,因为代理使用runasadmin进行了注解,我认为studentservice会将用户视为admin角色。但事实上,usera也无法访问该方法。
谁能给我解释一下runas注解的意义吗?

af7jpaap

af7jpaap1#

@runas注解可以用于@stevec指出的用例,也可以用于您所描述的用例。
你的代码和假设是正确的。它不起作用是因为某些容器(例如wildfly)默认实现ejb方法权限的方式。如果根本不使用安全性注解,则假定所有方法都是安全的 unchecked ,好像他们在哪里用@permitall注解。但是,如果在部署中使用了任何安全注解,而某个方法没有显式权限(在类级别或方法级别),则wildfly会将其视为具有@denyall。
因此,studentservice是正确的,但是在studentserviceproxy中,getdetails方法没有任何方法权限。您应该使用@permitall(任何用户、未经验证的事件都可以执行)、@rolesallowed({“**”})(任何经过身份验证的用户都可以执行)或@rolesallowed({“admin”、“guest”})(具有admin或guest角色的用户可以执行)对其进行注解(在方法级或类级)。
如果使用wildfly/jboss,还可以更改ejb3子系统的默认行为。支票:https://docs.jboss.org/author/display/wfly/securing+ejbs

w8rqjzmb

w8rqjzmb2#

通常,ejb方法将作为经过身份验证的用户的某个操作的结果被同步调用。应用服务器将用户的安全上下文与调用一起传播,ejb容器可以使用此上下文验证调用方是否与该方法允许的角色相关联。
但是,在有些情况下,可以在没有经过身份验证的用户参与的情况下调用ejb方法。这些情况包括:
ejb计时器的执行
执行消息驱动bean(mdb)
例如,您可能已定义了应执行的定期服务:

@Stateless
public class StudentService {

     @Timeout
     @Schedule(...)
     @RunAs("admin")
     public void periodicCheck(Timer timer) {
         ...
     }

}

这里使用javax.annotation.security.runas表示应该使用“admin”角色执行此方法。

相关问题