मैं बस ड्रॉपविज़ार्ड 0.4.0 के साथ शुरू कर रहा हूं, और मुझे एचएमएसी प्रमाणीकरण के साथ कुछ मदद चाहिए। क्या किसी को कोई सलाह मिली है?मैं ड्रॉपवार्ड का उपयोग कर एचएमएसी प्रमाणीकरण का परीक्षण कैसे कर सकता हूं?
अग्रिम धन्यवाद।
वर्तमान में ड्रॉपविज़ार्ड बॉक्स से बाहर एचएमएसी प्रमाणीकरण का समर्थन नहीं करता है, इसलिए आपको अपना खुद का प्रमाणीकरण लिखना होगा। एचएमएसी प्रमाणीकरण के लिए एक सामान्य विकल्प HTTP प्राधिकरण शीर्षलेख का उपयोग करना है। HMAC साथ URL एन्कोडिंग से पहले
Authorization: <algorithm> <apiKey> <digest>
एक उदाहरण
Authorization: HmacSHA1 abcd-efgh-1234 sdafkljlkansdaflk2354jlkj5345345dflkmsdf
डाइजेस्ट शरीर (मार्शल इकाई) की सामग्री से बनाया गया है हो सकता है: निम्नलिखित कोड निम्न स्वरूप में इस हेडर की उम्मीद बेस 64 के रूप में जोड़ा गया साझा रहस्य। गैर-बॉडी अनुरोध के लिए, जैसे कि जीईटी या हेड, सामग्री को पूर्ण यूआरआई पथ और पैरामीटर को गुप्त कुंजी के साथ लिया जाता है।
एक तरह से इसे लागू करने के कि Dropwizard काम कर सकते हैं के साथ यह कुछ इस तरह के साथ अपने स्वयं कोड में dropwizard-auth मॉड्यूल में मौजूद BasicAuthenticator कोड कॉपी करके उसे संशोधित करने की आवश्यकता:
import com.google.common.base.Optional;
import com.sun.jersey.api.core.HttpContext;
import com.sun.jersey.server.impl.inject.AbstractHttpContextInjectable;
import com.yammer.dropwizard.auth.AuthenticationException;
import com.yammer.dropwizard.auth.Authenticator;
import javax.ws.rs.WebApplicationException;
import javax.ws.rs.core.HttpHeaders;
import javax.ws.rs.core.MediaType;
import javax.ws.rs.core.Response;
class HmacAuthInjectable<T> extends AbstractHttpContextInjectable<T> {
private static final String PREFIX = "HmacSHA1";
private static final String HEADER_VALUE = PREFIX + " realm=\"%s\"";
private final Authenticator<HmacCredentials, T> authenticator;
private final String realm;
private final boolean required;
HmacAuthInjectable(Authenticator<HmacCredentials, T> authenticator, String realm, boolean required) {
this.authenticator = authenticator;
this.realm = realm;
this.required = required;
}
public Authenticator<HmacCredentials, T> getAuthenticator() {
return authenticator;
}
public String getRealm() {
return realm;
}
public boolean isRequired() {
return required;
}
@Override
public T getValue(HttpContext c) {
try {
final String header = c.getRequest().getHeaderValue(HttpHeaders.AUTHORIZATION);
if (header != null) {
final String[] authTokens = header.split(" ");
if (authTokens.length != 3) {
// Malformed
HmacAuthProvider.LOG.debug("Error decoding credentials (length is {})", authTokens.length);
throw new WebApplicationException(Response.Status.BAD_REQUEST);
}
final String algorithm = authTokens[0];
final String apiKey = authTokens[1];
final String signature = authTokens[2];
final String contents;
// Determine which part of the request will be used for the content
final String method = c.getRequest().getMethod().toUpperCase();
if ("GET".equals(method) ||
"HEAD".equals(method) ||
"DELETE".equals(method)) {
// No entity so use the URI
contents = c.getRequest().getRequestUri().toString();
} else {
// Potentially have an entity (even in OPTIONS) so use that
contents = c.getRequest().getEntity(String.class);
}
final HmacCredentials credentials = new HmacCredentials(algorithm, apiKey, signature, contents);
final Optional<T> result = authenticator.authenticate(credentials);
if (result.isPresent()) {
return result.get();
}
}
} catch (IllegalArgumentException e) {
HmacAuthProvider.LOG.debug(e, "Error decoding credentials");
} catch (AuthenticationException e) {
HmacAuthProvider.LOG.warn(e, "Error authenticating credentials");
throw new WebApplicationException(Response.Status.INTERNAL_SERVER_ERROR);
}
if (required) {
throw new WebApplicationException(Response.status(Response.Status.UNAUTHORIZED)
.header(HttpHeaders.AUTHORIZATION,
String.format(HEADER_VALUE, realm))
.entity("Credentials are required to access this resource.")
.type(MediaType.TEXT_PLAIN_TYPE)
.build());
}
return null;
}
}
से ऊपर है सही नहीं है, लेकिन यह आपको शुरू कर देगा। आप अधिक अद्यतित संस्करण और विभिन्न सहायक वर्गों के लिए MultiBit Merchant release candidate source code (एमआईटी लाइसेंस) का संदर्भ ले सकते हैं।
अगला चरण प्रमाणीकरण प्रक्रिया को आपके ResourceTest सबक्लास में एकीकृत करना है। दुर्भाग्य से, Dropwizard v0.4.0 में प्रमाणीकरण प्रदाताओं के लिए एक अच्छा प्रवेश बिंदु प्रदान नहीं करता है, तो आप अपने खुद के आधार वर्ग, इस के समान लागू करने के लिए चाहते हो सकता है: एक बार फिर
import com.google.common.collect.Lists;
import com.google.common.collect.Sets;
import com.sun.jersey.api.client.Client;
import com.sun.jersey.test.framework.AppDescriptor;
import com.sun.jersey.test.framework.JerseyTest;
import com.sun.jersey.test.framework.LowLevelAppDescriptor;
import com.xeiam.xchange.utils.CryptoUtils;
import com.yammer.dropwizard.bundles.JavaBundle;
import com.yammer.dropwizard.jersey.DropwizardResourceConfig;
import com.yammer.dropwizard.jersey.JacksonMessageBodyProvider;
import com.yammer.dropwizard.json.Json;
import org.codehaus.jackson.map.Module;
import org.junit.After;
import org.junit.Before;
import org.multibit.mbm.auth.hmac.HmacAuthProvider;
import org.multibit.mbm.auth.hmac.HmacAuthenticator;
import org.multibit.mbm.persistence.dao.UserDao;
import org.multibit.mbm.persistence.dto.User;
import org.multibit.mbm.persistence.dto.UserBuilder;
import java.io.UnsupportedEncodingException;
import java.security.GeneralSecurityException;
import java.util.List;
import java.util.Set;
import static org.mockito.Mockito.mock;
import static org.mockito.Mockito.when;
/**
* A base test class for testing Dropwizard resources.
*/
public abstract class BaseResourceTest {
private final Set<Object> singletons = Sets.newHashSet();
private final Set<Object> providers = Sets.newHashSet();
private final List<Module> modules = Lists.newArrayList();
private JerseyTest test;
protected abstract void setUpResources() throws Exception;
protected void addResource(Object resource) {
singletons.add(resource);
}
public void addProvider(Object provider) {
providers.add(provider);
}
protected void addJacksonModule(Module module) {
modules.add(module);
}
protected Json getJson() {
return new Json();
}
protected Client client() {
return test.client();
}
@Before
public void setUpJersey() throws Exception {
setUpResources();
this.test = new JerseyTest() {
@Override
protected AppDescriptor configure() {
final DropwizardResourceConfig config = new DropwizardResourceConfig();
for (Object provider : JavaBundle.DEFAULT_PROVIDERS) { // sorry, Scala folks
config.getSingletons().add(provider);
}
for (Object provider : providers) {
config.getSingletons().add(provider);
}
Json json = getJson();
for (Module module : modules) {
json.registerModule(module);
}
config.getSingletons().add(new JacksonMessageBodyProvider(json));
config.getSingletons().addAll(singletons);
return new LowLevelAppDescriptor.Builder(config).build();
}
};
test.setUp();
}
@After
public void tearDownJersey() throws Exception {
if (test != null) {
test.tearDown();
}
}
/**
* @param contents The content to sign with the default HMAC process (POST body, GET resource path)
* @return
*/
protected String buildHmacAuthorization(String contents, String apiKey, String secretKey) throws UnsupportedEncodingException, GeneralSecurityException {
return String.format("HmacSHA1 %s %s",apiKey, CryptoUtils.computeSignature("HmacSHA1", contents, secretKey));
}
protected void setUpAuthenticator() {
User user = UserBuilder
.getInstance()
.setUUID("abc123")
.setSecretKey("def456")
.build();
//
UserDao userDao = mock(UserDao.class);
when(userDao.getUserByUUID("abc123")).thenReturn(user);
HmacAuthenticator authenticator = new HmacAuthenticator();
authenticator.setUserDao(userDao);
addProvider(new HmacAuthProvider<User>(authenticator, "REST"));
}
}
, ऊपर कोड सही नहीं है, लेकिन विचार है कि एक मॉक अप उपयोगकर्ताडाओ को एक ज्ञात साझा गुप्त कुंजी के साथ एक मानक उपयोगकर्ता प्रदान करने की अनुमति देना है। परीक्षण उद्देश्यों के लिए आपको अपना खुद का उपयोगकर्ता बिल्डर कार्यान्वयन शुरू करना होगा।
अंत में, इसके बाद के संस्करण कोड एक Dropwizard संसाधन है कि इस तरह कि समाप्ति बिंदु था के साथ: इस में मदद करता है
import org.junit.Test;
import org.multibit.mbm.core.Saying;
import org.multibit.mbm.test.BaseResourceTest;
import javax.ws.rs.core.HttpHeaders;
import static org.junit.Assert.assertEquals;
public class HelloWorldResourceTest extends BaseResourceTest {
@Override
protected void setUpResources() {
addResource(new HelloWorldResource("Hello, %s!","Stranger"));
setUpAuthenticator();
}
@Test
public void simpleResourceTest() throws Exception {
Saying expectedSaying = new Saying(1,"Hello, Stranger!");
Saying actualSaying = client()
.resource("/hello-world")
.get(Saying.class);
assertEquals("GET hello-world returns a default",expectedSaying.getContent(),actualSaying.getContent());
}
@Test
public void hmacResourceTest() throws Exception {
String authorization = buildHmacAuthorization("/secret", "abc123", "def456");
Saying actual = client()
.resource("/secret")
.header(HttpHeaders.AUTHORIZATION, authorization)
.get(Saying.class);
assertEquals("GET secret returns unauthorized","You cracked the code!", actual.getContent());
}
}
आशा:
import com.google.common.base.Optional;
import com.yammer.dropwizard.auth.Auth;
import com.yammer.metrics.annotation.Timed;
import org.multibit.mbm.core.Saying;
import org.multibit.mbm.persistence.dto.User;
import javax.ws.rs.GET;
import javax.ws.rs.Path;
import javax.ws.rs.Produces;
import javax.ws.rs.QueryParam;
import javax.ws.rs.core.MediaType;
import java.util.concurrent.atomic.AtomicLong;
@Path("/")
@Produces(MediaType.APPLICATION_JSON)
public class HelloWorldResource {
private final String template;
private final String defaultName;
private final AtomicLong counter;
public HelloWorldResource(String template, String defaultName) {
this.template = template;
this.defaultName = defaultName;
this.counter = new AtomicLong();
}
@GET
@Timed
@Path("/hello-world")
public Saying sayHello(@QueryParam("name") Optional<String> name) {
return new Saying(counter.incrementAndGet(),
String.format(template, name.or(defaultName)));
}
@GET
@Timed
@Path("/secret")
public Saying saySecuredHello(@Auth User user) {
return new Saying(counter.incrementAndGet(),
"You cracked the code!");
}
}
एक इकाई परीक्षण है कि इस तरह कॉन्फ़िगर किया गया था के साथ परीक्षण किया जा सकता है आप शुरू कर देते हैं
इसके अलावा, आप इसे पढ़ना चाहेंगे: http://rubydoc.info/gems/warden-hmac-authentication/0.6.1/file/README.md। यह हस्ताक्षर करने से पहले अनुरोध के कुछ हिस्सों को व्यवस्थित करने की परिभाषा प्रदान करता है। –
और, अधिक शोध के बाद, आप शायद अंतिम अनुरोध में अंतिम पल संशोधनों को बनाने के लिए जर्सी की क्लाइंटफिल्टर सुविधा का उपयोग करना चाहेंगे (उदा। अपने कस्टम प्राधिकरण शीर्षलेख में जोड़ना)। दोबारा, [मल्टीबिट मर्चेंट] (https://github.com/gary-rowe/MultiBitMerchant) प्रोजेक्ट इस कोड को प्रदर्शित करता है। –