Segurança da Informação com Jax-rs | JAX-RS e Jersey: domine a criação de webservices REST

Bom dia, como fica a questão da segurança utilizando o Jax-rs em relação aos recursos? vamos supor que a uri http://localhost:8080/carrinhos/1 seja a representação do meu carrinho, e a uri http://localhost:8080/carrinhos/2 seja a representação do carrinho do Guilherme, mas apenas o dono do carrinho poderia acessar o carrinho correspondente, mas nada impede que o Guilherme lá no browser e digite http://localhost:8080/carrinhos/1 e visualize o meu carrinho, ou pior com o curl ele pode alterar o carrinho, passando informações incorretas e até mesmo remover o meu carrinho, como podemos implementar essa regra de segurança de apenas o dono do carrinho acessar o carrinho com o Jax-rs?como por exemplo em uma edição eu posso ter certeza que quem está alterando o carrinho é o dono do carrinho?

Oi Ricardo,

No mundo REST usa se muito OAuth para fazer a autenticação e autorização. Vc tbm pode utilizar algo que o HTTP te oferece como Basic ou Digest Authentication.

No entanto o JAX-RS não define muito como trabalhar com estes padrões e e delega isso para outros framewoks (no entanto há um SecurityContext no JAX-RS).

Frameworks que se preocupem com a segurança são o JAAS (JavaEE), Apache Shiro ou Spring Security mas nada impede fazer algo caseiro usando um Filter do mundo Servlet.

Qq dúvida pergunte mais.

abs, Nico

Mergulhe em programação