我有一个Facebook应用程序打开Grails网站它IFRAME。 它建立在Spring Security Facebook插件之上。 现在我需要创建与我的网站交互的移动应用程序。
我有一个控制器Api和REST动作,例如:
http://localhost/api/getArticles
我想为此操作添加安全限制:只有经过身份验证的用户才能获得文章:
@Secured(["hasRole('ROLE_FACEBOOK')"])
class ApiController {
def getArticles() {
render(Article.list() as JSON)
}
}
好的,我怎么能做到这一点? 移动应用程序在FB中进行授权,然后获取access_token。 然后它调用Json Authentication。 我需要为所有向Api控制器自动授权请求的请求添加什么内容?
答案 0 :(得分:1)
移动应用通常使用OAuth2(更多某种自定义/简化版本)来访问服务器API。
JSON身份验证应该用作令牌交换的交换点。基本上,您必须向应用程序发送FB令牌,服务器将创建/ auth fb用户并为后续请求发送OAuth令牌。