保护 Grails REST 服务以用于移动应用程序

Question

我正忙于研究如何将 REST 服务用于移动应用程序，希望能得到一些见解。场景如下。

考虑一个为用户提供服务的 Web 应用程序。 Web 应用程序也将成为用户的主要交互点。这将在 Grails 中完成，并使用 Spring Security 进行保护。

现在，我们希望提供 REST 服务，以便用户可以通过移动应用程序使用该服务。由于 Grails 对现有的 Web 应用程序 RESTful 的支持非常好，因此我们将使用内置的 Grails 支持。

我现在的问题是，保护 REST 服务接口的“最佳”方式是什么，以便它可以在移动应用程序（本机 - iOS、Andriod、WM7、BB）中使用。

交换的信息高度敏感，因此越安全越好。

谢谢

Answer 1

我们决定将我们的 grails 项目一分为三...

• model-domain-project（这是“管理”部分，所有视图/控制器脚手架，以及所有服务、域）
• web-app（这是主应用程序、控制器、视图）
• api-rest-app（这是其余控制器）

model-domain-project 是一个插件，它插入到 web-app 和 api-app 中，包含域模型、服务以及所有的数据库安全、事务等。

web-app 是所有的 html 模板、视图和控制器，这里我们使用 Spring Security 的属性

我们正在使用 grails-filters 的 api-rest-app，我们正在通过 https 使用带有过期日期的令牌的 Basic-Authorization...

如果到了令牌的到期日期，您将不得不使用我们发送给您的第一个令牌的“请求令牌”请求另一个令牌......（它或多或少像 oauth2）

要获得前两个令牌，您必须通过使用用户/电话/密码登录来确认设备，然后通过短信收到一个密钥，您必须在应用程序中输入该密钥

不知道这是否是最好的方式，但我们就是这样做的......

有时我们使用 web-app 作为客户端并调用 api-rest-app...