Tweet
Hallo zusammen,
ich habe mir nach dem Artikel "REST mit Java" von Stefan Tilkov aus der Ausgabe 01/09 einen REST-Webservice gebastelt, der mir eine Art Organisationsstruktur mit Mitarbeitern zurückgibt/ändert. Das ganze funktioniert auch wunderbar. Mein Problem ist nun, dass ich das ganze ein wenig absichern möchte - d.h. nicht jeder soll die Daten sehen können.
Wegen der grundlegenden Art der Daten (ein Rechtesystem kommt auch noch dahinter; sowie eine Möglichkeit Zusatzfelder für MAs zu definieren (z.B. Personalnummer)) möchte ich das Ganze auch anderen Entwicklern im Hause zur Verfügung stellen, damit diese ihre Anwendungen auch hiermit füttern können, und die Nutzer diese Daten nicht doppelt pflegen müssen (z.B. die Orgastruktur oder, nach Freigabe des Users, die Personalnummer). Das Ganze soll sinnigerweise mit Hilfe von API-Keys und dazugehörigen Passwörtern abgesichert werden.
Ich stelle mir das so vor, dass eine Anwendung mindestens einen API-Schlüssel zum Ansprechen des WebServices haben muss. Falls dann auch noch Zusatzfelder für diesen API-Schlüssel erlaubt/hinterlegt sind, sollen diese in der Ausgabe berücksichtigt werden. Hierfür bräuchte ich also Abfragemöglichkeit die zurückgibt, welcher API-Schlüssel gerade angemeldet ist.
Zum Einsatz kommt bei mir der Tomcat in Verbindung mit Jetty (für REST) und für die Übersetzung von Objekten in XML-Elemente nutze ich JAXB. Irgendwie fehlt mir aber der zündende Funken für eine gute Umsetzung. Ich habe ein bischen mit dem Tomcatrealm experimentiert, der brauch allerdings immer mindestens eine Rolle (die ich an der Stelle nicht gebrauchen kann, da es auch Anwendungen ohne Zusatzfelder geben soll), zumal ich keine Möglichkeit sehe, den aktuell angemeldeten User in den "REST-Resourcen" abzufragen.
Habt ihr eine Idee?
ich habe mir nach dem Artikel "REST mit Java" von Stefan Tilkov aus der Ausgabe 01/09 einen REST-Webservice gebastelt, der mir eine Art Organisationsstruktur mit Mitarbeitern zurückgibt/ändert. Das ganze funktioniert auch wunderbar. Mein Problem ist nun, dass ich das ganze ein wenig absichern möchte - d.h. nicht jeder soll die Daten sehen können.
Wegen der grundlegenden Art der Daten (ein Rechtesystem kommt auch noch dahinter; sowie eine Möglichkeit Zusatzfelder für MAs zu definieren (z.B. Personalnummer)) möchte ich das Ganze auch anderen Entwicklern im Hause zur Verfügung stellen, damit diese ihre Anwendungen auch hiermit füttern können, und die Nutzer diese Daten nicht doppelt pflegen müssen (z.B. die Orgastruktur oder, nach Freigabe des Users, die Personalnummer). Das Ganze soll sinnigerweise mit Hilfe von API-Keys und dazugehörigen Passwörtern abgesichert werden.
Ich stelle mir das so vor, dass eine Anwendung mindestens einen API-Schlüssel zum Ansprechen des WebServices haben muss. Falls dann auch noch Zusatzfelder für diesen API-Schlüssel erlaubt/hinterlegt sind, sollen diese in der Ausgabe berücksichtigt werden. Hierfür bräuchte ich also Abfragemöglichkeit die zurückgibt, welcher API-Schlüssel gerade angemeldet ist.
Zum Einsatz kommt bei mir der Tomcat in Verbindung mit Jetty (für REST) und für die Übersetzung von Objekten in XML-Elemente nutze ich JAXB. Irgendwie fehlt mir aber der zündende Funken für eine gute Umsetzung. Ich habe ein bischen mit dem Tomcatrealm experimentiert, der brauch allerdings immer mindestens eine Rolle (die ich an der Stelle nicht gebrauchen kann, da es auch Anwendungen ohne Zusatzfelder geben soll), zumal ich keine Möglichkeit sehe, den aktuell angemeldeten User in den "REST-Resourcen" abzufragen.
Habt ihr eine Idee?