Rest Web 服务:具有令牌安全性的匿名和经过身份验证的用户

Posted

技术标签:

【中文标题】Rest Web 服务:具有令牌安全性的匿名和经过身份验证的用户【英文标题】:Rest Web Service: Anonymous and Authenticated users with token security 【发布时间】:2015-09-10 02:28:43 【问题描述】:

我正在开发一个可以匿名使用且经过身份验证的移动应用程序。

例如匿名用户可以

查看比赛列表 查看参加比赛的用户

当认证用户可以另外

参加比赛 为参加比赛的用户投票 对用户发表评论

我的端点如下所示

../API
  ../Competition
  ../Competition/Applicants

  ../Applicant
  ../Applicant/Vote
  ../Applicant/Review

基于令牌的身份验证如何在此设计中发挥作用? 如果请求需要令牌,匿名用户如何也能访问不需要身份验证的资源?

【问题讨论】:

【参考方案1】:

你可以在 spring security 中配置它。下面是一个示例 XML 配置

<security:http auto-config="true" use-expressions="true">
    <security:intercept-url pattern="/" access="isAuthenticated()" />
    <security:intercept-url pattern="/PathForAnonymousUsers/**" access="permitAll" />
<!-- other configurations -->
</security:http>

【讨论】:

以上是关于Rest Web 服务:具有令牌安全性的匿名和经过身份验证的用户的主要内容,如果未能解决你的问题,请参考以下文章

创建具有安全性的 REST Web 服务器

保护有状态的 Web 服务

REST API 的安全认证,从 OAuth 2.0 到 JWT 令牌

用于 REST Web 服务的 OAuth 2.0

使用 OAuth2 保护 REST Web 服务:一般原则

无法打开匿名级安全令牌解决方法