如何保护使用Spring REST Api创建的RESTful Web服务?

时间:2011-05-20 06:44:40

标签: rest spring-mvc spring-security

我们有一个使用Spring MVC 3.0创建的Spring Web应用程序在同一个应用程序中,我们使用Springs的REST API创建了RESTful Web服务。

现在我们需要保护这些Web服务。我们春天怎么做?我们可以使用弹簧安全吗?如果没有,那么其他选择是什么?

感谢。

1 个答案:

答案 0 :(得分:6)

这实际上取决于您想要施加的安全级别。您可以使用简单的基于web.xml的访问控制,包括领域,用户名和密码。

您的网络服务的安全性是另一回事。来自Spring Security FAQ

  

Web应用程序容易受到您应该熟悉的各种攻击,最好是在开始开发之前,因此您可以从头开始设计和编写它们。查看OWASP web site以获取有关Web应用程序开发人员面临的主要问题以及可以对其使用的对策的信息。

Spring Security当然是一种选择。在大多数情况下,很容易(现在)与Spring集成并具有灵活的身份验证模块。

您还应该考虑Apache Shiro。与Spring Security问题的比较已经得到了回答 - Shiro vs. SpringSecurity和Shiro [{3}}与Spring一起回答。

此主题还有一些其他问题已经得到解答 - integrates nicelyHow to secure a service REST with spring3?

我不认为这个问题目前的形式有一个明确的答案,但我希望这对所有人都有帮助。