我正在构建一个Web应用程序,其中两个主要组件是网站和后端RESTful Web服务。该网站将调用RESTful Web服务来完成繁重的任务。我计划在两层使用Spring Security。我想这个网站将使用表单身份验证,RESTful API将使用基本身份验证(通过SSL)。但是,我不确定如何为REST API提供身份验证凭据,因为网站在初次登录后可能会有会话cookie。任何人都可以提供一些关于身份验证的指针,该方案可以在这个多层应用程序中运行吗?谢谢!
编辑:我应该提一下,REST API也将被移动应用程序使用。
答案 0 :(得分:0)
一种方法是在网站和REST服务上使用Remember Me。该网站将强制记住我(您可以设置过期时间和/或使其成为会话cookie)。然后将该cookie复制到Web站点到REST服务请求。移动到REST将使用已经存在的相同cookie(假设它们位于相同的cookie域中)。