Apache cxf/jaxrs以外のhttps要求を拒否する方法

Question

私が行う必要があるもの： TLS（つまりhttps）を超えないHTTPリクエストを拒否する方法を理解する必要があります。理想的には、要求がhttpsを超えていない場合は、httpステータス404（見つからない）を返すことができます。

私の実装は次のようになります。 Apache cxf/jaxrsを使用してRESTサービスを実装しています。 私は、SpringのIoCを使用してサービスを作成しています。

Springアプリケーションコンテキストファイルのサービス定義は次のようになります。

<jaxrs:server id="testSvc" address="/"> 
    <jaxrs:serviceBeans> 
     <ref bean="svcBean"/> 
    </jaxrs:serviceBeans>  
</jaxrs:server> 

サービスは、Tomcatの内部で実行されています。

単純なサーブレットフィルタまたはjax-rsフィルタ（たとえば、javax.ws.rs.container.ContainerRequestFilterを継承するもの）を使用することを考えています。

これを行うより良い方法はありますか？

Answer 1

tomcatはSSL/TLS上でのみ公開できますが、私はゲストではできません。したがって、SSLセッション中であるかどうかを検出できます。

//Tomcat 6 
String sslID = (String)request.getAttribute("javax.servlet.request.ssl_session"); 

//Tomcat 7 
String sslID = (String)request.getAttribute("javax.servlet.request.ssl_session_id"); 

が最後にリクエストパラメータにアクセスするにはCXFでContainerRequestFilterを設定tomcat SSL documentation

を参照してください

public class SSLFilter implements ContainerRequestFilter { 

    public void filter(ContainerRequestContext context) { 

     //get current httpservletRequest from CXFMessage 
     Message message = JAXRSUtils.getCurrentMessage(); 
     HttpServletRequest request = (HttpServletRequest) message.get(AbstractHTTPDestination.HTTP_REQUEST); 

     //Get SSL session ID 
     String sslID = (String)request.getAttribute("javax.servlet.request.ssl_session"); 

     // finally use context.abortWith(Response) if you need to block the request 
     if (sslId == null){ 
      Response response = Response.status(Response.Status.UNAUTHORIZED).build(); 
      context.abortWith(response); 
     } 
    } 

がproviderを追加し、必要に応じて応答を中止：要求、使用からSSLセッションIDにアクセスするにはあなたにサーバー

<bean id="sslFilter" class="SSLFilter"> 
<jaxrs:server id="testSvc" address="/"> 
    <jaxrs:providers> 
     <ref bean="sslFilter" /> 
    </jaxrs:providers> 
</jaxrs:server>