我正在使用 jersey 和 Spring 3(包括 spring-security)编写一个 RESTfull 服务,并试图弄清楚如何实现身份验证和授权。
我是 jersey 和 Spring 的新手,所以这有点令人困惑......
用户及其角色在 DB 中定义。(并且未在 web.xml 或 tomcat-users 中定义)
以下是我对授权部分的看法:
由于我的服务不一定为 web 应用程序提供服务,因此授权应该在 REST 资源上完成(而不是在页面上) ) - 我该怎么做呢?我看到有 @RolesAllowed 注释,但它似乎太简单了,我需要更多逻辑。我想我必须以某种方式从那里激活 Spring Security 才能使用他们提供的授权功能。
对于身份验证部分,我似乎应该使用 spring security 的 AuthenticationManager 和 SessionManagement,但我不确定如何将其连接到 REST API:
1. 获取身份验证请求的 API 应该是什么样子?
2. 如果 Spring 处理我的会话,我如何在我的 REST 资源上添加授权?
如果您能帮我清理一下,我将不胜感激...
谢谢!