Spring MVC 和 Spring REST 的 Spring Security

Posted

技术标签:

【中文标题】Spring MVC 和 Spring REST 的 Spring Security【英文标题】:Spring Security for Spring MVC and Spring REST 【发布时间】:2014-03-25 19:50:30 【问题描述】:

我和我的团队开发了一个小型弹簧项目。我们有 jsp 页面,我们在其中编写了 ajax 调用,并通过这些调用获取数据,作为 JSON,并通过 javascript 显示。现在我们需要为 JSP 页面和 REST 服务添加安全性。

我们的要求:

    服务器应该是无状态的 不能期望客户端存储 cookie。 发送到服务器的凭据不应是纯文本

我是 Spring Security 的新手,如果我能在实施它方面获得任何帮助,我将不胜感激。

【问题讨论】:

【参考方案1】:

1 .服务器的状态应该更少。 从 spring 3.1 开始,在 spring 安全 http 标签中设置属性很容易。

<http create-session="stateless"> ..</http>

2 。不能期望客户端存储 cookie。 然后我会为其余的 api 和 ajax 调用选择基本身份验证。 然而,客户端必须缓存用户名和密码,并在每个请求中发送。

3 .服务器的凭据不应是明文。 使用带有有效 SSL 证书的 HTTPS。

【讨论】:

非常感谢。您能否详细说明第 2 步。我应该如何缓存用户名和密码?这样做会造成安全漏洞吗?

以上是关于Spring MVC 和 Spring REST 的 Spring Security的主要内容,如果未能解决你的问题,请参考以下文章

混合 Spring MVC + Spring Data Rest 会导致奇怪的 MVC 响应

Spring MVC、Rest 和 Shiro。 @RequiresAuthentication 不起作用

Spring mvc REST和mongoDB日期字段的问题

Spring 4 mvc REST XML 和 JSON 响应

Spring MVC REST + Spring Security + 基本身份验证

Spring MVC 转换 Spring Rest Api