是否有方法阻止用户在resteasy中访问PUT、POST和DELETE资源？

Question

我的程序中有很多方法，也有很多用户。如何使特定的用户配置文件只允许访问标记为@GET的RestEasy中的方法？

更新

我有一些用户档案，如管理员，所有者，经理，员工和示范。

我想拒绝所有的操作，但接触到用户的个人资料是示范。我阻止一些用户执行某些方法的方式是简单地检查他们属于哪个配置文件(如果)。

Answer 1

如果您的系统已经定义了用户和角色，并且可以使用JAAS实现标准的身份验证和授权，那么您可以使用Jboss安全注释来保护您的方法。请参阅此连结以取得更多详情-

RESTeasy.html

Answer 2

在REST服务前面，还可以添加反向HTTP代理(如Apache)，并使用所需的身份验证提供程序(LDAP或其他)。

示例：

<Location /myService/>
   AuthType Basic
   AuthName Foo
   AuthBasicProvider ldap
   AuthzLDAPAuthoritative off
   AuthLDAPURL ldap://ldap.acme.org/dc=acme,dc=org?cn
   <LIMIT POST PUT DELETE>
     require ldap-group cn=employee,dc=acme,dc=org
   </LIMIT>
</Location>