vertx 异步编程指南 step7-保护和控制访问

保护和控制访问与Vert.x很容易。在本节中，我们将：

1. 从HTTP转移到HTTPS，以及

2. 使用基于组的权限将用户身份验证添加到Web应用程序，以及

3. 使用JSON Web令牌（JWT）控制对Web API的访问。

证书可以存储在Java KeyStore文件中。您可能需要用于测试目的的自签名证书，以下是如何在server-keystore.jksKeyStore中创建一个密码为secret：

keytool -genkey \
  -alias test \
  -keyalg RSA \
  -keystore server-keystore.jks \
  -keysize 2048 \
  -validity 360 \
  -dname CN=localhost \
  -keypass secret \
  -storepass secret

然后，我们可以更改HTTP服务器创建，以传递一个HttpServerOptions对象来指定我们需要SSL，并指向我们的KeyStore文件：

HttpServer server = vertx.createHttpServer(new HttpServerOptions()
  .setSsl(true)
  .setKeyStoreOptions(new JksOptions()
    .setPath("server-keystore.jks")
    .setPassword("secret")));

我们可以将浏览器指向https：// localhost：8080 /，但由于证书是自签名的，所以任何优秀的浏览器都会正确地产生安全警告：

最后但并非最不重要的是，我们需要更新测试用例，ApiTest因为原始代码是用于通过Web客户端发出HTTP请求的：

webClient = WebClient.create(vertx, new WebClientOptions()
  .setDefaultHost("localhost")
  .setDefaultPort(8080)
  .setSsl(true) (1)
  .setTrustOptions(new JksOptions().setPath("server-keystore.jks").setPassword("secret"))); 

1. 确保SSL。

2. 由于证书是自签名的，我们需要明确信任它，否则Web客户端连接将失败，就像Web浏览器一样。

访问控制和认证

Vert.x为执行身份验证和授权提供了广泛的选项。官方支持的模块涵盖了JDBC，MongoDB，Apache Shiro，OAuth2以及众所周知的提供者和JWT（JSON Web令牌）。

虽然下一部分将介绍JWT，但本部分重点介绍如何使用Apache Shiro，这在验证必须由LDAP或Active Directory服务器支持时特别有用。在我们的例子中，我们只是将凭据存储在属性文件中以保持简单，但对LDAP服务器的API使用保持不变。

目标是要求用户使用wiki进行身份验证，并拥有基于角色的权限：

• 没有角色只允许阅读页面，

• 具有作家角色允许编辑页面，

• 具有编辑角色允许创建，编辑和删除页面，

• 具有管理角色相当于具有所有可能的角色。

警告	由于Apache Shiro的内部运作，Vert.x Shiro集成有一些问题。有些部分阻塞会影响性能，有些数据是使用线程本地状态存储的。您不应该尝试滥用暴露的内部状态API。

将Apache Shiro身份验证添加到路由

第一步是将vertx-auth-shiro模块添加到Maven依赖关系列表中：

  io.vertx
  vertx-auth-shiro

我们使用的属性文件定义如下，位于src/main/resources/wiki-users.properties：

user.root=w00t,admin
user.foo=bar,editor,writer
user.bar=baz,writer
user.baz=baz

role.admin=*
role.editor=create,delete,update
role.writer=update

带user前缀的条目是一个用户帐户，其中第一个值条目是密码可能跟随的角色。在这个例子中，用户bar有密码baz，是一个writer，并且writer有update权限。

回到HttpServerVerticle课程代码，我们使用Apache Shiro创建认证提供者：

AuthProvider auth = ShiroAuth.create(vertx, new ShiroAuthOptions()
  .setType(ShiroAuthRealmType.PROPERTIES)
  .setConfig(new JsonObject()
    .put("properties_path", "classpath:wiki-users.properties")));

该ShiroAuth对象实例然后用于处理服务器端用户会话：

Router router = Router.router(vertx);

router.route().handler(CookieHandler.create());
router.route().handler(BodyHandler.create());
router.route().handler(SessionHandler.create(LocalSessionStore.create(vertx)));
router.route().handler(UserSessionHandler.create(auth));  (1)

AuthHandler authHandler = RedirectAuthHandler.create(auth, "/login"); (2)
router.route("/").handler(authHandler);  (3)
router.route("/wiki/*").handler(authHandler);
router.route("/action/*").handler(authHandler);

router.get("/").handler(this::indexHandler);
router.get("/wiki/:page").handler(this::pageRenderingHandler);
router.post("/action/save").handler(this::pageUpdateHandler);
router.post("/action/create").handler(this::pageCreateHandler);
router.get("/action/backup").handler(this::backupHandler);
router.post("/action/delete").handler(this::pageDeletionHandler);

1. 我们为所有路由安装用户会话处理程序。

2. 这会自动将请求重定向到/login没有用户会话的请求时。

3. 我们安装authHandler了所有需要身份验证的路由。

最后，我们需要创建3条路线来显示登录表单，处理登录表单提交和注销用户：

router.get("/login").handler(this::loginHandler);
router.post("/login-auth").handler(FormLoginHandler.create(auth));  (1)

router.get("/logout").handler(context -> {
  context.clearUser();  (2)
  context.response()
    .setStatusCode(302)
    .putHeader("Location", "/")
    .end();
});

1. FormLoginHandler是处理登录提交请求的助手。默认情况下，它希望HTTP POST请求具有：username作为登录名，password密码以及return_url成功时重定向到的URL。

2. 注销用户很简单，就像从当前清除它一样RoutingContext。

该loginHandler方法的代码是：

private void loginHandler(RoutingContext context) {
  context.put("title", "Login");
  templateEngine.render(context, "templates", "/login.ftl", ar -> {
    if (ar.succeeded()) {
      context.response().putHeader("Content-Type", "text/html");
      context.response().end(ar.result());
    } else {
      context.fail(ar.cause());
    }
  });
}

HTML模板位于src/main/resources/templates/login.ftl：

<#include "header.ftl">

 class="row">

   class="col-md-12 mt-1">
     action="/login-auth" method="POST">
       class="form-group">
         type="text" name="username" placeholder="login">
         type="password" name="password" placeholder="password">
         type="hidden" name="return_url" value="/">
         type="submit" class="btn btn-primary">Login
      

<#include "footer.ftl">

登录页面如下所示：

支持基于角色的功能

只有当用户拥有足够的权限时才能激活功能。在以下屏幕截图中，管理员可以创建一个页面并执行备份：

相比之下，没有角色的用户不能执行这些操作：

为此，我们可以访问RoutingContext用户参考，并查询权限。以下是indexHandler处理器方法的实现方式：

private void indexHandler(RoutingContext context) {
  context.user().isAuthorised("create", res -> {  (1)
    boolean canCreatePage = res.succeeded() && res.result();  (2)
    dbService.fetchAllPages(reply -> {
      if (reply.succeeded()) {
        context.put("title", "Wiki home");
        context.put("pages", reply.result().getList());
        context.put("canCreatePage", canCreatePage);  (3)
        context.put("username", context.user().principal().getString("username"));  (4)
        templateEngine.render(context, "templates", "/index.ftl", ar -> {
          if (ar.succeeded()) {
            context.response().putHeader("Content-Type", "text/html");
            context.response().end(ar.result());
          } else {
            context.fail(ar.cause());
          }
        });
      } else {
        context.fail(reply.cause());
      }
    });
  });
}

1. 这是如何进行权限查询的。请注意，这是一个异步操作。

2. 我们使用结果...

3. ...在HTML模板中利用它。

4. 我们也可以访问用户登录。

模板代码已被修改为仅基于以下值来呈现特定片段canCreatePage：

<#include "header.ftl">

 class="row">

   class="col-md-12 mt-1">
  <#if context.canCreatePage>
     class="float-xs-right">
       class="form-inline" action="/action/create" method="post">
         class="form-group">
           type="text" class="form-control" id="name" name="name" placeholder="New page name">
        

type="submit" class="btn btn-primary">Create

#if> class="display-4">${context.title} class="float-xs-right"> class="btn btn-outline-danger" href="/logout" role="button" aria-pressed="true">Logout (${context.username})