使用用户名/密码和令牌通过spring进行RESTful身份验证

时间:2013-09-05 13:37:51

标签: rest authentication token username

我正在开发一个移动应用程序,服务器端是使用Spring 3 MVC的REST。

我试图将Spring Security与它集成以保护资源。我已经阅读了很多材料来获取有关如何操作的信息。我理解架构,但是在实现方面,我仍然感到困惑。

我提到了SO question;我有同样的要求。我理解代码,然而,当第一个身份验证请求进入时我很困惑;那时令牌将不会作为标题的一部分出现,因此相同的过滤器将不起作用。

所以我想知道应该如何实现它。我正在考虑如下实现它:

  1. 使用请求中的用户名密码对用户进行身份验证的单独过滤器
  2. 验证后,过滤器会在上下文中设置验证信息
  3. 另一个使用令牌进行身份验证的过滤器,用于所有API网址的身份验证
  4. 这是实施它的正确方法吗?

1 个答案:

答案 0 :(得分:0)

无需添加其他过滤器。无论验证结果如何,系统都会尝试调用处理程序以进行相应的映射,因为chain.doFilter()if(validate_token)

您必须告诉Spring安全性您的请求/login不得被认证。您可以在xml / java config中配置它。