通过REST在Spring MVC中进行身份验证

前端之家收集整理的这篇文章主要介绍了通过REST在Spring MVC中进行身份验证 前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。

我一直在寻找一种通过REST控制器(URL参数)对用户进行身份验证的方法.
与此最接近的事情是:

@Controller
@RequestMapping(value="/api/user")
public class UserController extends BaseJSONController{

    static Logger sLogger = Logger.getLogger(UserController.class);

    @RequestMapping(value = "/login",method = RequestMethod.POST)
    public @ResponseBody String login(@RequestParam(value="username") String user,@RequestParam(value="password") String pass) throws JSONException {
        Authentication userAuth = new UsernamePasswordAuthenticationToken(user,pass);
        MyCellebriteAuthenticationProvider MCAP = new MyCellebriteAuthenticationProvider();

        if (MCAP.authenticate(userAuth) == null){
            response.put("isOk",false);
        }
        else{
            SecurityContextHolder.getContext().setAuthentication(userAuth);
            response.put("isOk",true);
            response.put("token","1234");
        }
        return response.toString();
    }

}

但是,这不会创建cookie.
有什么想法或更好的方法来实现我想要实现的目标吗?

最佳答案
首先,您不应该手动执行此操作:

SecurityContextHolder.getContext().setAuthentication(userAuth)

最好使用负责身份验证,设置安全上下文并在处理请求后清除它的特殊过滤器.默认情况下,Spring Security使用线程局部变量来存储安全性上下文,因此,如果您在客户端调用后不将其删除,则另一个客户端可以自动以其他人的身份登录.请记住,服务器线程通常由不同的客户端重用于不同的请求.

其次,我建议对RESTful Web服务使用基本身份验证或摘要身份验证.两者均受Spring Security支持.更多文档http://static.springsource.org/spring-security/site/docs/3.1.x/reference/basic.html

最后,请记住,RESTful Web服务应该是无状态的.

还请记住,Spring Security文档是您的朋友. 原文链接:https://www.f2er.com/spring/531863.html

猜你在找的Spring相关文章