红帽全球峰会第 1 章 Web 端点授权
Quarkus 融合了一个可插拔的 Web 安全层。当安全性处于活动状态时,系统会对所有 HTTP 请求执行权限检查,以确定它们是否应该继续。
如果路径受 quarkus.http.auth. 配置限制,则使用 @PermitAll 将不会打开路径。为确保可以访问特定的路径,必须在 Quarkus 安全设置中进行适当的配置。
如果使用 Jakarta RESTful Web 服务,请考虑使用 quarkus.security.jaxrs.deny-unannotated-endpoints 或 quarkus.security.jaxrs.default-roles-allowed 来设置默认安全要求,而不是 HTTP 路径级别匹配,因为注解可以在单个端点上覆盖这些属性。
授权基于安全提供程序提供的用户角色。要自定义这些角色,可以创建一个 SecurityIdentityAugmentor,请参阅 安全身份自定义。
1.1. 使用配置授权
权限通过权限集在 Quarkus 配置中定义,每个都指定了访问控制的策略。
| 内置策略 | 描述 |
|---|---|
|
| 此策略拒绝所有用户。 |
|
| 此策略允许所有用户。 |
|
| 此策略仅允许经过身份验证的用户。 |
您可以定义基于角色的策略,以允许具有特定角色的用户访问资源。
基于角色的策略示例
quarkus.http.auth.policy.role-policy1.roles-allowed=user,admin - 1
- 这将定义一个基于角色的策略,允许用户使用
用户和admin角色。
您可以通过配置 application.properties 文件中定义的内置权限集来引用自定义策略,如以下配置示例所示:
策略配置示例
quarkus.http.auth.permission.permit1.paths=/public/*
quarkus.http.auth.permission.permit1.policy=permit
quarkus.http.auth.permission.permit1.methods=GET
quarkus.http.auth.permission.deny1.paths=/forbidden
quarkus.http.auth.permission.deny1.policy=deny
quarkus.http.auth.permission.roles1.paths=/roles-secured/*,/other/*,/api/*
quarkus.http.auth.permission.roles1.policy=role-policy1
示例中的确切路径 /forbidden 将不会保护 /forbidden/ 路径。为 /forbidden/ 路径添加新的准确路径,以确保适当的安全覆盖。
1.1.1. 自定义 HttpSecurityPolicy
有时,注册您自己的命名策略可能很有用。您可以通过创建实现 io.quarkus.vertx.http.runtime.security.HttpSecurityPolicy 接口的应用程序范围 CDI bean 来实现它,如下例所示:
import jakarta.enterprise.context.ApplicationScoped;
import io.quarkus.security.identity.SecurityIdentity;
import io.quarkus.vertx.http.runtime.security.HttpSecurityPolicy;
import io.smallrye.mutiny.Uni;
import io.vertx.ext.web.RoutingContext;
@ApplicationScoped
public class CustomNamedHttpSecPolicy implements HttpSecurityPolicy {
@Override
public Uni<CheckResult> checkPermission(RoutingContext event, Uni<SecurityIdentity> identity,
AuthorizationRequestContext requestContext) {
if (customRequestAuthorization(event)) {
return Uni.createFrom().item(CheckResult.PERMIT);
}
return Uni.createFrom().item(CheckResult.DENY);
}
@Override
public String name() {
return "custom";
}
private static boolean customRequestAuthorization(RoutingContext event) {
// here comes your own security check
return !event.request().path().endsWith("denied");
}
}- 1
- 命名 HTTP 安全策略将仅应用于与
application.properties路径匹配规则匹配的请求。
从配置文件引用的名为 HttpSecurityPolicy 的自定义示例
quarkus.http.auth.permission.custom1.paths=/custom/*
quarkus.http.auth.permission.custom1.policy=custom - 1
- 自定义策略名称必须与
io.quarkus.vertx.http.runtime.security.HttpSecurityPolicy.name方法返回的值匹配。
您还可以在每个请求上创建全局 HttpSecurityPolicy 调用。只需实施 io.quarkus.vertx.http.runtime.security.HttpSecurityPolicy.name 方法,并将策略名称留空。
1.1.2. 匹配路径和方法
权限集也可以将路径和方法指定为用逗号分开的列表。如果路径以 * 通配符结尾,则查询会生成与所有子路径匹配。否则,它会查询完全匹配,且只与该特定路径匹配:
quarkus.http.auth.permission.permit1.paths=/public*,/css/*,/js/*,/robots.txt
quarkus.http.auth.permission.permit1.policy=permit
quarkus.http.auth.permission.permit1.methods=GET,HEAD- 1
- 路径末尾的
*通配符匹配零个或多个路径片段,但从/public路径开始的任何词语。因此,/public-info等路径与此模式不匹配。
1.1.3. 匹配路径而不是方法
如果请求根据路径匹配一个或多个权限集,但不需要的方法,则请求将被拒绝。
根据前面的权限集,GET /public/foo 将匹配路径和方法,因此被允许。相反,POST /public/foo 将匹配路径,而不是方法,因此被拒绝。
1.1.4. 匹配多个路径:路径的最成功
匹配始终以"最长路径优先"为基础完成。如果一个更具体的权限集匹配,则不会被考虑:
quarkus.http.auth.permission.permit1.paths=/public/*
quarkus.http.auth.permission.permit1.policy=permit
quarkus.http.auth.permission.permit1.methods=GET,HEAD
quarkus.http.auth.permission.deny1.paths=/public/forbidden-folder/*
quarkus.http.auth.permission.deny1.policy=deny
根据前面的权限集,GET /public/forbidden-folder/foo 将同时匹配这两个权限集的路径。但是,由于较长的路径与 deny1 权限集的路径匹配,因此选择了 deny1,请求将被拒绝。
subPath 权限之前带有 root 路径权限,因为 deny1 和 permit1 权限示例之前演示了。
此规则通过一个场景进一步说明,其中 subpath 权限允许访问公共资源,而 root 路径权限需要授权。
quarkus.http.auth.policy.user-policy.roles-allowed=user
quarkus.http.auth.permission.roles.paths=/api/*
quarkus.http.auth.permission.roles.policy=user-policy
quarkus.http.auth.permission.public.paths=/api/noauth/*
quarkus.http.auth.permission.public.policy=permit1.1.5. 匹配多个子路径:到 * 通配符最长的路径 wins
在以前的版本中,当一个路径使用 * 通配符结束时,会演示与所有子路径匹配的示例。
此通配符也适用于代表单一路径段的路径中。它不能与其他路径段字符混合;因此,路径分隔符始终将 * 通配符括起,如 /public/*/about-us 路径中所示。
当多个路径模式与同一请求路径对应时,系统会选择最长的子路径,从而导致 * 通配符。在这种情况下,每个路径片段字符都比 * 通配符更具体。
以下是一个简单的示例:
quarkus.http.auth.permission.secured.paths=/api/*/detail
quarkus.http.auth.permission.secured.policy=authenticated
quarkus.http.auth.permission.public.paths=/api/public-product/detail
quarkus.http.auth.permission.public.policy=permit应该测试使用配置通过授权保护的所有路径。使用多个通配符编写路径模式可能很繁琐。请确保路径已如预期授权。
在以下示例中,路径从最特定于最具体的路径排序:
请求路径 /one/two/three/four/five 匹配从最特定于最具体的路径排序
/one/two/three/four/five
/one/two/three/four/*
/one/two/three/*/five
/one/two/three/*/*
/one/two/*/four/five
/one/*/three/four/five
/*/two/three/four/five
/*/two/three/*/five
/*
路径末尾的 * 通配符与零个或多个路径片段匹配。* 通配符放置在其它任何位置与一个路径片段匹配。
1.1.6. 匹配多个路径:最具体的方法胜出
当使用多个权限集注册路径时,权限集会明确指定与请求匹配的 HTTP 方法。在本实例中,只有请求方法与方法规格不匹配时,没有方法的权限集才会生效。
quarkus.http.auth.permission.permit1.paths=/public/*
quarkus.http.auth.permission.permit1.policy=permit
quarkus.http.auth.permission.permit1.methods=GET,HEAD
quarkus.http.auth.permission.deny1.paths=/public/*
quarkus.http.auth.permission.deny1.policy=deny
前面的权限集显示 GET /public/foo 与这两个权限集的路径匹配。如何,它特别符合 permit1 权限集的显式方法。选择 permit1,并接受请求。
相反,PUT /public/foo 与 allow 1 的方法不匹配。因此,会激活 deny1,从而导致请求拒绝。
1.1.7. 匹配多个路径和方法:它们都成功
有时,前面描述的规则允许同时有多个权限集 win。在这种情况下,要进行请求,所有权限都必须允许访问。要实现此目的,两者都必须指定方法或没有方法。特定于方法的匹配优先。
quarkus.http.auth.policy.user-policy1.roles-allowed=user
quarkus.http.auth.policy.admin-policy1.roles-allowed=admin
quarkus.http.auth.permission.roles1.paths=/api/*,/restricted/*
quarkus.http.auth.permission.roles1.policy=user-policy1
quarkus.http.auth.permission.roles2.paths=/api/*,/admin/*
quarkus.http.auth.permission.roles2.policy=admin-policy1
根据前面的权限集,GET /api/foo 将匹配权限集的路径,这需要 用户和 admin 角色。
1.1.8. 拒绝访问的配置属性
以下配置设置更改基于角色的访问控制(RBAC)拒绝行为:
quarkus.security.jaxrs.deny-unannotated-endpoints=true|false-
如果设置为 true,则默认拒绝所有 Jakarta REST 端点的访问。如果 Jakarta REST 端点没有安全注解,则默认为
@DenyAll行为。这有助于避免意外公开应该被保护的端点。默认值为false。 quarkus.security.jaxrs.default-roles-allowed=role1,role2-
定义未注解端点的默认角色要求。
**角色是一个特殊的角色,代表任何经过身份验证的用户。这不能与deny-unannotated-endpoints结合使用,因为deny会生效。 quarkus.security.deny-unannotated-members=true|false-
如果设置为 true,则拒绝访问所有 CDI 方法和没有安全注解的 Jakarta REST 端点,但在包含安全注解方法的类中定义。默认值为
false。
1.1.9. 禁用权限
构建时可以禁用权限,每个声明的权限 都启用了 属性,例如:
quarkus.http.auth.permission.permit1.enabled=false
quarkus.http.auth.permission.permit1.paths=/public/*,/css/*,/js/*,/robots.txt
quarkus.http.auth.permission.permit1.policy=permit
quarkus.http.auth.permission.permit1.methods=GET,HEAD
使用系统属性或环境变量在运行时可以重新启用权限,例如: -Dquarkus.http.auth.permission.permit1.enabled=true。
1.1.10. 权限路径和 HTTP 根路径
quarkus.http.root-path 配置属性更改 http 端点上下文路径。
默认情况下,quarkus.http.root-path 会自动添加到配置的权限路径前,然后不要使用正斜杠,例如:
quarkus.http.auth.permission.permit1.paths=public/*,css/*,js/*,robots.txt此配置等同于以下内容:
quarkus.http.auth.permission.permit1.paths=${quarkus.http.root-path}/public/*,${quarkus.http.root-path}/css/*,${quarkus.http.root-path}/js/*,${quarkus.http.root-path}/robots.txt
前面斜杠会改变配置的权限路径的解释方式。配置的 URL 用于按原样使用,如果 quarkus.http.root-path 的值发生了变化,则不会调整路径。
Example:
quarkus.http.auth.permission.permit1.paths=/public/*,css/*,js/*,robots.txt
此配置仅影响从固定或静态 URL 提供的资源 /public,如果 quarkus.http.root-path 已设置为 / 以外的其他路径,则这可能与您的应用程序资源不匹配。
如需更多信息,请参阅 Quarkus 中的路径解析。
1.1.11. 映射 SecurityIdentity 角色
获奖基于角色的策略可以将 SecurityIdentity 角色映射到特定于部署的角色。然后,这些角色适用于使用 @RolesAllowed 注释的端点授权。
quarkus.http.auth.policy.admin-policy1.roles.admin=Admin1
quarkus.http.auth.permission.roles1.paths=/*
quarkus.http.auth.permission.roles1.policy=admin-policy1- 1
- 将
admin角色映射到Admin1角色。SecurityIdentity将同时具有admin和Admin1角色。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}