Ich versuche meine Rest-Dienste zu sichern, die mit Dropwizard von Apache Shiro geschrieben wurden. Zuerst habe ich den Sicherheitsmanager in der Hauptmethode initialisiert.Sichern von Rest-Service-Ressourcen mit Apache Shiro
Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
SecurityManager securityManager = factory.getInstance();
SecurityUtils.setSecurityManager(securityManager);
Dann schrieb ich einen Dienst für die Benutzeranmeldung.
if (!currentUser.isAuthenticated()) {
UsernamePasswordToken token = new UsernamePasswordToken(username, password);
token.setRememberMe(true);
try {
currentUser.login(token);
System.out.println("USER AUTHENTICATED!!!!!!!!");
} catch (Exception uae) {
System.out.println("Error logging in .................");
}
}
Dann habe ich eine Methode mit einigen Java-Anmerkungen erklärt.
@RequiresAuthentication
@RequiresRoles("admin")
@GET
@Path("/account")
@ApiOperation(value = "getAccount")
public void getAccount() {
//do something
}
Aber als ich diese Ressource ohne Anmeldung anmeldete, war ich erfolgreich.
Welchen Fehler mache ich? Oder sollte ich etwas mehr hinzufügen? Wie in der web.xml?