我有一个提供 REST api 的 Grails 后端。我的移动应用程序访问此 REST Api 以从服务器获取数据。身份验证、登录和注销应使用 Spring Security 完成。
这对桌面用户非常有用,因为我提供在我的服务器上构建的页面。
如何为我的 REST 控制器使用 Spring Security 才能使身份验证、登录和注销正常工作?
【问题讨论】:
标签: rest authentication spring-mvc grails spring-security
如果您提供的是 REST API,则可能不需要实现登录和注销。在身份验证方面,通常最简单的做法是使用 HTTP Basic。 Spring Security 开箱即用地支持 Basic,所以这对您来说应该不是问题。
这是 Erwin Vervaet 的博客中关于 setting up Grails to use HTTP Basic authentication 的精彩读物。
【讨论】:
请看How does Spring Security sessions work? 使春季安全会议有意义。您的移动应用程序不会像桌面浏览器那样为您提供 cookie。因此,您可以考虑在首次登录后在每个移动请求中包含 jsessionid,这是为了利用 Spring Security 中的完整授权和身份验证支持,而不是基本身份验证。
【讨论】: