如何在注入 JAX-RS Web 服务的 CDI bean 中获取 HTTP 请求标头？

Question

我有这样的网络服务：

@Path("/projects")
public class Projects {
    [...]

    @Inject
    CurrentRequest current;

    @GET
    @Produces(MediaType.APPLICATION_JSON)
    @Path("{id}")
    public Response getProject(@PathParam("id") String id) {
        if (current.isUserAuthenticated()) {
            [...do something...]
        } else {
            [...produce an error...]
        }
    }
}

还有一个 CDI bean，它带有这样的身份验证检查器方法：

@RequestScoped
public class CurrentRequest {

    public boolean isUserAuthenticated() {
        [...do some header checking...]
    }
}

我的问题是我一辈子都无法从CurrentRequest 内部获取 HTTP 标头。我尝试注入HttpServletRequest，但它没有初始化。我尝试使用@Context，同样的事情。显然FacesContext.getCurrentInstance() 也不起作用，因为没有 FacesContext。

我看到this question基本上是在问同样的事情，但没有受到太多关注。

我目前的方法是在Projects 中使用@Context HttpServletRequest request，并将其作为参数传递给current.isUserAuthenticated(request)。但这感觉太不对劲了。 CDI bean 不应该知道它自己的请求吗？

我错过了什么？

Answer 1

提取 HTTP 标头

您不需要在 JAX-RS 端点中使用 HttpServletRequest 来从请求中获取 HTTP 标头。相反，你可以注入HttpHeaders:

@Context
HttpHeaders httpHeaders;

然后你可以使用HttpHeaders API 来获取标题值：

• HttpHeaders#getHeaderString(String)
• HttpHeaders#getRequestHeaders()
• HttpHeaders#getHeaderString(String)

如果您需要标准 HTTP 标头的值，请考虑使用 constants available in the HttpHeaders API：

// Get the value of the Authorization header
String authorizationHeader = httpHeaders.getHeaderString(HttpHeaders.AUTHORIZATION);

使用过滤器

由于您正在执行身份验证和/或授权，我建议您使用过滤器，这样您就可以保持 REST 端点精简并专注于业务逻辑。

为了将过滤器绑定到您的 REST 端点，JAX-RS 提供了元注释@NameBinding，可以按如下方式使用：

@NameBinding
@Retention(RUNTIME)
@Target({TYPE, METHOD})
public @interface Secured { }

@Secured 注解将用于装饰一个过滤器类，它实现了ContainerRequestFilter，允许您处理请求。

ContainerRequestContext 帮助您从 HTTP 请求中提取信息（更多详细信息，请查看ContainerRequestContext API）：

@Secured
@Provider
@Priority(Priorities.AUTHENTICATION)
public class SecurityFilter implements ContainerRequestFilter {

    @Override
    public void filter(ContainerRequestContext requestContext) throws IOException {
        // Use the ContainerRequestContext to extract information from the HTTP request
        // Information such as the URI, headers and HTTP entity are available
    }
}

如果用户未经过身份验证/授权，ContainerRequestFilter#filter() 方法是中止请求的好地方。为此，您可以使用ContainerRequestContext#abortWith() 或抛出异常。

@Provider 注释标记了扩展接口的实现，在提供程序扫描阶段应该可以被 JAX-RS 运行时发现。

要将过滤器绑定到您的端点方法或类，请使用上面创建的@Secured 注释对其进行注释。对于被注释的方法和/或类，将执行过滤器。

@Path("/")
public class MyEndpoint {

    @GET
    @Path("{id}")
    @Produces("application/json")
    public Response myUnsecuredMethod(@PathParam("id") Long id) {
        // This method is not annotated with @Secured
        // The security filter won't be executed before invoking this method
        ...
    }

    @DELETE
    @Secured
    @Path("{id}")
    @Produces("application/json")
    public Response mySecuredMethod(@PathParam("id") Long id) {
        // This method is annotated with @Secured
        // The security filter will be executed before invoking this method
        ...
    }
}

在上面的示例中，安全过滤器将仅针对mySecuredMethod(Long) 执行，因为它带有@Secured 注释。

您可以为 REST 端点设置任意数量的过滤器。为确保过滤器的执行顺序，请使用@Priority 对其进行注释。

强烈建议使用Priorities 类中定义的值之一（将使用以下顺序）：

• AUTHENTICATION
• AUTHORIZATION
• ENTITY_CODER
• HEADER_DECORATOR
• USER

如果您的过滤器未使用@Priority 注释，则过滤器将以USER 优先级执行。

其他信息

您可能会发现这个answer 很有用。

Answer 2

根据 JAX-RS 实现和您使用的服务器，您可能需要一些依赖项来提供 CDI 和 JAX-RS 之间的集成：

Jersey Ext Cdi1x

<dependency>
    <groupId>org.glassfish.jersey.ext.cdi</groupId>
    <artifactId>jersey-cdi1x</artifactId>
    <version>2.22.1</version>
</dependency>

RESTEasy CDI Integration Module

<dependency>
    <groupId>org.jboss.resteasy</groupId>
    <artifactId>resteasy-cdi</artifactId>
    <version>3.0.13.Final</version>
</dependency>

Apache CXF CDI Integration

<dependency>
    <groupId>org.apache.cxf</groupId>
    <artifactId>cxf-integration-cdi</artifactId>
    <version>3.1.3</version>
</dependency>