javax.annotation.security.RolesAllowedアノテーションの使い方

###前提・実現したいこと
JavaEE6 に準拠した環境下のJAX-RSで
javax.annotation.security.RolesAllowedアノテーションを
使い認可機能を実現したいですが方法がわかりません。

私は、@RolesAllowedを以下のようなイメージで使えたらいいなぁと思ってます。

ServletFileterまたは、@PostConstructを付与したメソッド内部で、

アクセスしたユーザをキーにDBからユーザに紐つくロールを取得。
2. 1で取得したロールを@RolesAllowedで認識できるように設定。(これの方法がわからないorz)
3. JAX-RSリソースの認可を@RolesAllowedで行う。

書籍やWebで例えば下記のようなコードがあります。

java
1    @Path("/")
2    @PermitAll
3    public class Resource {
4        @RolesAllowed("user")
5        @GET
6        public String get() { return "GET"; }
7    }

この@RolesAllowed("user")の設定をWeb.xmlに記述する
ようなこと書いてありますが、いまいちこの使い方がわかっておりません。
アクセス時に渡されるパラメータやHTTPヘッダにより適用する
ロールって変わるとおもうのですが、なんでWeb.xmlに書くのか
理解ができない。

実行環境

Application Server : Embedded GlassFish 3.1.1
JDK:Java SE 1.8
OS:Mac OS/X Yosemite(現時点、プロトタイプ作成のみのため、サーバOSではないです。）

BlueMoon

2015/12/20 01:16

ご利用のApplicationServer(tomcat,glassfishなど)について、開示をお願いします。

行動規範の内容に同意します

回答3件

自己解決

みなわま、ご丁寧な回答ありがとうございます。

その後、いろいろ検討したり試したりした結果、
JAX-RSのメソッド実行前に毎回認証+認可を行うことにしました。

利用するJAX-RSは1.1でfilterが使えないので
filterに相当する機能を自作してしましました。
(JAX-RSの実装はJerseyです。Jerseyにはfilterに相当する機能があるようですが使い方がわからず自作しましたorz)

これで、ひとまずやりたいことはできるようになりました。

自作したおかげでデザインパターン(Template Method,Abstract Factory,Strategy)と
Javaのリフレクションとアノテーション解析周辺のコーディングについて触れることができてよかったです。

投稿2016/01/10 13:21

jurin

総合スコア17

先におことわりなのですが、RESTサービスを作成した経験が無く認証レルムの利用も限定的なものなので、WEBの引用と類推のもと回答させて頂きます。

RolesAllowedアノテーション利用にあたっては、glassfishの認証レルムが設定済みでアプリケーションにはユーザー認証機能が実装済みの前提が有あります。該当ユーザのグループをDB参照し、グループとroleのマッピングはweb.xmlの記述を参照して、グループのメソッド利用許可にアノテーションでroleを指定する用法になるかと思います。以下に関連するリンクを書きます。

たかがレルムされどレルム GlassFish で始める詳細 JDBC レルム
JSF向けの資料ですが、中ほどのスライドが参考になるかと思います。テーブルの作成やレルム設定、ユーザ登録画面も含むのでボリュームは多いですが、100ページ目付近にアノテーションの利用例が有ります。

JAX-RSで実践！JavaでRESTful Webサービス
閲覧にあたってエンタープライズジン（翔泳社）の登録が必要です。無償です。
RESTサービス向けの内容なので、こちらの方がマッチするかも知れません。

以上、ご参考までに。

投稿2015/12/20 04:54

BlueMoon

総合スコア1339

jurin

2016/01/10 13:19

回答ありがとうございます。参考になりました！！その後、いろいろ検討したり試したりした結果、 JAX-RSのメソッド実行前に毎回認証+認可を行うことにしました。利用するJAX-RSは1.1でfilterが使えないので filterに相当する機能を自作してしましました。 (JAX-RSの実装はJerseyです。Jerseyにはfilterに相当する機能があるようですが使い方がわからず自作しましたorz) これで、ひとまずやりたいことはできるようになりました。自作したおかげでデザインパターン(Template Method,Abstract Factory,Strategy)と Javaのリフレクションとアノテーション解析周辺のコーディングについて触れることができてよかったです。

行動規範の内容に同意します

https://docs.oracle.com/javaee/6/tutorial/doc/bnbyl.html
検索キーワード: java ee6 rolesallowed annotation how to use

web.xml の書き方が指示してる記述がありません、どの資料見たんですか？

tomcat の Realm と混同されていませんか？

投稿2015/12/19 15:41

ipadcaron

総合スコア1693

jurin

2015/12/19 23:10

返信ありがとうございます。 web.xmlに関する記述ですが書籍、「JavaによるRESTfulシステム構築」 http://www.oreilly.co.jp/books/9784873114675/ のp172に掲載されていました。具体的には、下記のように記述されています。 <web-app> 〜略〜 <security-role> <role-name>admin</role-name> </security-role> </web-app> Webの情報ですと下記に掲載されてることと同じことと認識してます。 http://www.techscore.com/tech/Java/JavaEE/Servlet/13/#security-role そもそも私は、<security-role>タグに関する設定の前提知識が欠落してるような気がしてます。

行動規範の内容に同意します

あなたの回答