将Shiro与pac4j jax-rs实现集成

Question

我正在使用pac4j的jsx-rs实现来只为我的应用程序启用身份验证。为了获得授权，我想使用Shiro。但我不知道如何将Shiro与pac4j集成。

目前，我有一个Feature，它可以完成必要的JAX-RS配置，并且我已经使它成为了一个Provider。

以下是我注册的功能和提供者。

    featureContext
    .register(new JaxRsConfigProvider(config))
    .register(new Pac4JSecurityFeature())
    .register(new Pac4JValueFactoryProvider.Binder())
    .register(new ServletJaxRsContextFactoryProvider())
    .register(new Pac4JSecurityFilterFeature(false, null, "keycloakoidcclient", "callback", false))

我使用Shiro的AuthorizationFilter来完成身份验证部分。我的意思是基于登录用户创建一个令牌。我已经注册了这个过滤器使用Guice的ServletModule。但我无法获得登录用户的联系方式。我正在尝试使用@Context注入泽西的@Context。但是过滤器的排序搞砸了。在完成身份验证之前调用AuthorizationFilter。因此，SecurityContext始终是空的。

是否有更好的方法将Shiro与pac4j集成？

Answer 1

Shiro提供了自己的Feature实现，以便与JAX-RS一起使用。将该模块依赖项添加到项目中就可以了。

为了从pac-4j获取用户上下文，我实现了一个Authorizer，其中注入了OIDC配置文件。我创建了一个自定义用户配置文件，并向Shiro提供了如下所示：

SecurityUtils.getSubject().login(new DemoToken(profile));

这样，Shiro就可以获得用户配置文件，然后进行授权。