如何解决当认证失败时,根据用户名是否存在发送不同的应答
借助相关的 Quarkus tutorial,使用 JPA 设置基本身份验证非常容易。
但是在提供的教程中,当身份验证失败时,Quarkus 发送无内容 401 响应,无论请求标头中提供的用户名是否存在(并且密码不匹配)或不存在。我的意思是 Quarkus 以完全相同的方式 (AFAICT) 回答 curl -i -u "user:invalidpassword" localhost:8080/v0/users/me 和 curl -i -u "invaliduser:somepassword" localhost:8080/v0/users/me(假设 user 是有效用户名)。我希望这两个答案不同。
如何告诉 Quarkus 在身份验证失败时根据用户名是否存在发送不同的答案?例如,发送内容为“密码无效”的 401 代码与内容为“未知用户”的 401 代码。
关于 SO 应该发送什么代码或是否应该向调用者指示用户名是否存在,以及在这种情况下如何减轻枚举攻击,有很多讨论。但是我找不到关于如何使用 Quarkus 实现不同答案的问题。
我意识到我可以实现自己的安全拦截并完全替换 Quarkus 提供的安全拦截,但我希望我不需要采用这种极端的解决方案:Quarkus 基本身份验证工具正是我所需要的,除了这个小小的调整。
解决方法
我同意罗伯特的评论;也就是说,如果您想自定义身份验证失败的处理(例如 - 提供信息更丰富的安全日志消息等),那么您可以通过禁用 proactive authentication 并注册自定义 JAX-RS 来实现ExceptionMapper:
import javax.annotation.Priority;
import javax.ws.rs.Priorities;
import javax.ws.rs.core.Response;
import javax.ws.rs.ext.ExceptionMapper;
import javax.ws.rs.ext.Provider;
import io.quarkus.security.AuthenticationFailedException;
@Provider
@Priority(Priorities.AUTHENTICATION)
public class AuthenticationFailedExceptionMapper implements ExceptionMapper<AuthenticationFailedException> {
@Context
UriInfo uriInfo;
@Override
public Response toResponse(AuthenticationFailedException exception) {
return Response.status(401).header("WWW-Authenticate","Basic realm=\"Quarkus\"").build();
}
}
HTH
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
