我们有一个现有的jsf / spring应用程序,它使用spring security进行身份验证和授权。
现在我们要添加一个宁静的Web服务层,供移动客户端(原生Android应用程序)使用。现有的身份验证过程使用j_spring_security_check和自定义过滤器。
我可以在同一个上下文中处理restful api身份验证和授权吗?如果是,怎么样?
答案 0 :(得分:0)
一种可能性是为API领域创建另一个安全配置。将其配置为HTTP BASIC身份验证(如果适合您,并且通过https提供API)。
例如:
<http use-expressions="true" pattern="/api/**" realm="API Realm" create-session="stateless">
...
<http-basic />
...
<logout logout-url="/api/logout" />
</http>
编辑: 根据评论者的评论,我正在纠正我的答案:遗憾的是,这种方法在Spring Security 3.0中不起作用,因为在3.1中添加了Spring Security配置中的多个http元素。