我们有一个使用Spring MVC 3.0创建的Spring Web应用程序在同一个应用程序中,我们使用Springs的REST API创建了RESTful Web服务。
现在我们需要保护这些Web服务。我们春天怎么做?我们可以使用弹簧安全吗?如果没有,那么其他选择是什么?
感谢。
答案 0 :(得分:6)
这实际上取决于您想要施加的安全级别。您可以使用简单的基于web.xml的访问控制,包括领域,用户名和密码。
您的网络服务的安全性是另一回事。来自Spring Security FAQ:
Web应用程序容易受到您应该熟悉的各种攻击,最好是在开始开发之前,因此您可以从头开始设计和编写它们。查看OWASP web site以获取有关Web应用程序开发人员面临的主要问题以及可以对其使用的对策的信息。
Spring Security当然是一种选择。在大多数情况下,很容易(现在)与Spring集成并具有灵活的身份验证模块。
您还应该考虑Apache Shiro。与Spring Security问题的比较已经得到了回答 - Shiro vs. SpringSecurity和Shiro [{3}}与Spring一起回答。
此主题还有一些其他问题已经得到解答 - integrates nicely和How to secure a service REST with spring3?
我不认为这个问题目前的形式有一个明确的答案,但我希望这对所有人都有帮助。