我遵循泽西岛教程为我的应用程序实现完全自定义SecurityContext
。我创建了一个自定义的ContainerRequestFilter
设置SecurityContext
如下:JAX-RS自定义SecurityContext导致泽西岛错误的错误代码
package com.my.security;
@Provider
@Priority(Priorities.AUTHORIZATION)
public class SecurityRequestFilter implements ContainerRequestFilter {
@Override
public void filter(ContainerRequestContext requestContext) {
requestContext.setSecurityContext(new MySecurityContext(requestContext));
}
public static final class MySecurityContext implements SecurityContext {
private String token;
public MySecurityContext(ContainerRequestContext requestContext) {
token = requestContext.getHeaderString("token");
}
@Override
public boolean isUserInRole(String role) {
return role.equals("admin") && token.equals("token-for-admin");
}
// other methods omitted
}
}
在isUserInRole
方法的逻辑是不相关的,它只是一个模拟,使点。
我的终点看起来像:
package com.my.rest;
@PermitAll
@Path("/people")
public class PeopleRestService {
@RolesAllowed({"admin"})
@Path("/{email}")
@DELETE
public Response deletePerson(@PathParam("email") final String email) {
peopleService.removePerson(email);
return Response.ok().build();
}
}
现在我创建(使用JerseyTest
)测试与其中两个类是包配置:
@Override
protected Application configure() {
return new ResourceConfig().packages("com.my.rest", "com.my.security");
}
如果我执行在下面我测试:
Response response = target("people/[email protected]")
.request().header("token", "token-for-admin").delete();
Assert.assertEquals(200, response.getStatus());
一切工作正常。
但是,如果我执行以下命令:
Response response = target("people/[email protected]").request().delete();
Assert.assertEquals(403, response.getStatus());
我希望一个403错误代码,因为我没有设置身份验证令牌。但是,我得到一个500错误代码和一个Grizzly(用于测试的容器)HTML响应,字符串为“请求失败。”。
如果我注释掉上SecurityRequestFilter
类@Provider
注释或从测试配置中删除包com.my.security
,泽西使用提供SecurityContext
容器和正确地返回403代替。
这是怎么发生的?泽西不应该返回403自定义SecurityContext
吗?我错过了什么?