我正在开发一个Android应用程序,它利用Spring RestTemplate连接到基于SpringMVC的Web服务。在REST意识形态中,不应该有任何会话,因为REST是无状态的。另一方面,我希望我的WebService在调用任何其他REST方法之前要求Android应用程序登录和验证。我打算简单地在服务器端使用会话属性,并强制移动应用程序使用用户凭据调用登录方法。如果用户已通过身份验证,那么我将设置会话属性用户名,以便我有进一步REST方法调用的上下文。 这是一种正确的方法吗?是不是反对REST习语?如何在REST WebService中提供身份验证和自动化?
此致
答案 0 :(得分:0)
我相信使用Session来处理身份验证并不违反REST惯用法。
无论如何,不要自己实现它,看一下spring security。