我有一个提供REST API的Grails后端。我的移动应用程序访问此REST Api以从服务器获取数据。身份验证,登录和注销应该使用Spring Security完成。
这适用于桌面用户,因为我提供的是我在服务器上构建的页面。
如何使用Spring Security for REST Controller来验证,登录和注销?
答案 0 :(得分:4)
如果您要提供REST API,则可能无需实施登录和注销。在身份验证方面,通常最简单的方法是使用HTTP Basic。 Spring Security支持Basic开箱即用,因此对您来说不应该是一个问题。
以下是Erwin Vervaet关于setting up Grails to use HTTP Basic authentication的博客的精彩读物。
答案 1 :(得分:3)
请参阅How does Spring Security sessions work? 有意义的春季安全会议。您的移动应用不会像桌面上的浏览器那样提供Cookie。因此,您可以考虑在首次登录后在每个移动请求中包含jsessionid,这是为了利用Spring安全性中的完全授权和身份验证支持,而不是基本身份验证。