我正在使用jersey和Spring 3(包括spring-security)编写RESTfull服务,并尝试弄清楚如何实现身份验证和授权。
我对球衣和春季都很新,所以这有点令人困惑......
用户及其角色在DB中定义。 (并未在web.xml或tomcat用户中定义)
以下是我对授权部分的看法:
由于我的服务不一定要提供web-apps,因此授权应该在REST资源上完成(而不是在页面上) - 我该怎么做?我看到有@RolesAllowed注释但看起来太简单了,我需要更多的逻辑。我想我必须以某种方式从那里激活弹簧安全性以使用它们提供的授权功能
有关如何做的任何建议吗?
对于身份验证部分,似乎我应该使用spring security的AuthenticationManager和SessionManagement,但我不确定如何将它连接到REST API:
1.获取身份验证请求的API应如何显示?
2.如果Spring处理我的会话,我如何在REST资源上添加授权?
如果你能帮我清理一下,我真的很感激......
谢谢!
答案 0 :(得分:1)
很抱歉,如果你处于早期阶段,你的Spring Security知识我必须建议你先完成excellent tutorial。我相信你的问题会自动回答,并且你会在这路上学到很多有价值的东西。