通过 REST 在 Spring MVC 中进行身份验证

Posted 2023-02-27

【中文标题】通过 REST 在 Spring MVC 中进行身份验证

【英文标题】：Authentication in Spring MVC via REST

【发布时间】：2012-11-16 13:34:28

【问题描述】：

我一直在寻找一种通过 REST 控制器（URL 参数）对用户进行身份验证的方法。 最接近的做法如下：

@Controller
@RequestMapping(value="/api/user")
public class UserController extends BaseJSONController

    static Logger sLogger = Logger.getLogger(UserController.class);

    @RequestMapping(value = "/login", method = RequestMethod.POST)
    public @ResponseBody String login(@RequestParam(value="username") String user, @RequestParam(value="password") String pass) throws JSONException 
        Authentication userAuth = new UsernamePasswordAuthenticationToken(user, pass);
        MyCellebriteAuthenticationProvider MCAP = new MyCellebriteAuthenticationProvider();

        if (MCAP.authenticate(userAuth) == null)
            response.put("isOk", false);
        
        else
            SecurityContextHolder.getContext().setAuthentication(userAuth);
            response.put("isOk", true);
            response.put("token", "1234");
        
        return response.toString();
    

但是，这不会创建 cookie。 有什么想法或更好的方法来实现我想要实现的目标吗？

【问题讨论】：

如果您的目标是将会话信息保存到基于 cookie 的令牌中，您可能正在寻找 Remember-Me Authentication。

【参考方案1】：

首先，您不应该手动执行此操作：

SecurityContextHolder.getContext().setAuthentication(userAuth)

最好使用专门的过滤器负责身份验证，设置安全上下文并在处理请求后清除它。默认情况下，Spring Security 使用线程本地来存储安全上下文，因此如果您在客户端调用后不删除它，另一个客户端可以自动以其他人身份登录。请记住，服务器线程经常被不同的客户端重复用于不同的请求。

其次，我建议对您的 RESTful Web 服务使用基本或摘要式身份验证。两者都受 Spring Security 支持。更多文档http://static.springsource.org/spring-security/site/docs/3.1.x/reference/basic.html

最后，请记住 RESTful Web 服务应该是无状态的。

还请记住，Spring Security 文档是您的朋友。 :-)

【讨论】：

谢谢，我已将身份验证移至基于令牌的无状态身份验证