我是新来的士郎。我们正在尝试将 Shiro 与 Stormpath 一起使用。我一直在尝试剖析这些例子,以找出我想做的解决方案,但到目前为止我还没有成功。
目前,我只是尝试创建 REST 服务来执行我想要的操作,稍后我将绑定一个真正的客户端。这是我想要实现的第一步:
我想让客户端访问我的服务器上的 REST 端点(登录)。我的服务器将进行身份验证,并将 JWT 返回给客户端。然后,该 JWT 将用于访问我的服务器上的安全端点。 (我编写了可以成功针对 Stormpath 进行身份验证的 Java 代码)。
我的问题是智威汤逊。我期望为我创建一个 JWT,或者至少可以轻松访问。我找不到办法得到一个。我已经看到了如何构建一个示例代码,但这似乎不是我期望获得一个的方式。
我已经运行了几个示例,但大多数似乎都处理 JSP 接口,而且我似乎无法跳跃到我想要做的事情。
这种做法合理吗?任何指导表示赞赏。
Edit 1
我现在有一个 Java 客户端,可以使用 Shiro servlet 进行身份验证并检索 JWT。我将其作为 GlassFish 中的已部署应用程序(war)运行。我的下一步是使用 JWT 进行身份验证不同的具有我的 REST 端点的应用程序。此 REST 应用程序不需要了解有关如何进行身份验证的任何信息 - 我只想在对给定 REST 端点的调用中传递 JWT 并使用 Shiro(通过注释)来控制对端点的访问(如果确实可能) )。我能找到的所有示例似乎都是“一体化”示例(将 JSP 与 Shiro/Stormpath 配置捆绑在一起等)。我正在尝试确定保护 REST 端点的最低工作配置,但很难确定我需要哪些配置。
Edit 2
我使用 Stormpath-Shiro-Servlet(从 Shiro Servlet 示例中窃取)作为我的身份验证后端。使用我的 Java 客户端,我向 servlet 发送登录请求,并且确实返回了 JWT。但是,我无法成功使用 JWT 访问我的其他休息资源。我的其余调用导致此错误:
org.apache.shiro.authz.UnauthenticatedException: This subject is anonymous - it does not have any identifying principals and authorization operations require an identity to check against. A Subject instance will acquire these identifying principals automatically after a successful login is performed be executing org.apache.shiro.subject.Subject.login(AuthenticationToken) or when 'Remember Me' functionality is enabled by the SecurityManager. This exception can also occur when a previously logged-in Subject has logged out which makes it anonymous again. Because an identity is currently not known due to any of these conditions, authorization is denied.
首先,我不明白为什么servlet“登录”实际上没有让我登录并给我非匿名原则?其次,我尝试在单独的客户端上执行所有操作,因此我无法访问Subject.login(这是正确的假设吗?)。
