Spring MVC 和 Spring REST 的 Spring Security
Posted
技术标签:
【中文标题】Spring MVC 和 Spring REST 的 Spring Security【英文标题】:Spring Security for Spring MVC and Spring REST 【发布时间】:2014-03-25 19:50:30 【问题描述】:我和我的团队开发了一个小型弹簧项目。我们有 jsp 页面,我们在其中编写了 ajax 调用,并通过这些调用获取数据,作为 JSON,并通过 javascript 显示。现在我们需要为 JSP 页面和 REST 服务添加安全性。
我们的要求:
-
服务器应该是无状态的
不能期望客户端存储 cookie。
发送到服务器的凭据不应是纯文本
我是 Spring Security 的新手,如果我能在实施它方面获得任何帮助,我将不胜感激。
【问题讨论】:
【参考方案1】:1 .服务器的状态应该更少。 从 spring 3.1 开始,在 spring 安全 http 标签中设置属性很容易。
<http create-session="stateless"> ..</http>
2 。不能期望客户端存储 cookie。 然后我会为其余的 api 和 ajax 调用选择基本身份验证。 然而,客户端必须缓存用户名和密码,并在每个请求中发送。
3 .服务器的凭据不应是明文。 使用带有有效 SSL 证书的 HTTPS。
【讨论】:
非常感谢。您能否详细说明第 2 步。我应该如何缓存用户名和密码?这样做会造成安全漏洞吗?以上是关于Spring MVC 和 Spring REST 的 Spring Security的主要内容,如果未能解决你的问题,请参考以下文章
混合 Spring MVC + Spring Data Rest 会导致奇怪的 MVC 响应
Spring MVC、Rest 和 Shiro。 @RequiresAuthentication 不起作用
Spring mvc REST和mongoDB日期字段的问题
Spring 4 mvc REST XML 和 JSON 响应