1

我正在开发一个移动应用程序,服务器端是使用 Spring 3 MVC 的 REST。

我试图将 Spring Security 与其集成以保护资源。我已经阅读了很多材料以获取有关如何操作的信息。我了解架构,但是,在实现方面我仍然感到困惑。

我提到了一个SO 问题;我有同样的要求。我理解代码,但是,我对第一个身份验证请求何时进来感到困惑;那时令牌将不会作为标头的一部分出现,因此相同的过滤器将不起作用。

所以我想知道我应该如何实现它。我正在考虑按如下方式实现它:

  1. 一个单独的过滤器,使用请求中的用户名密码对用户进行身份验证
  2. 身份验证后,过滤器在上下文中设置身份验证信息
  3. 另一个过滤器使用令牌对所有 API URL 进行身份验证

这是实现它的正确方法吗?

4

1 回答 1

0

无需添加另一个过滤器。无论身份验证结果如何,系统都会尝试调用相应映射的处理程序,就像您在chain.doFilter()外部一样if(validate_token)

你必须告诉 Spring security 你的请求/login不能被认证。您可以在 xml/java 配置中配置它。

于 2017-01-03T08:12:17.217 回答