我有一个Web应用程序,它公开了CXF JAX WS SOAP服务以及OData REST服务。
正如我从spring文档中了解到的,为了验证JAX WS请求,我们需要创建一个Interceptor并编写自己的代码来调用spring security Authentication Manager来验证请求。这我可以在我的应用程序中实现。但是为了在JAX WS中使用spring security,我必须为端点URL禁用csrf。
因此我不想使用spring security进行身份验证,而是想使用容器管理的安全性,我可以在web.xml中进行检查。
但是我想在方法级别检查某些角色,并且我发现spring安全性在方法级安全性方面非常有用。
所以我的问题是我是否可以使用容器管理身份验证和授权弹簧安全性?你在这里看到任何安全问题吗?
如果我想为jax WS端点启用csrf,那么我们如何为服务调用传递csrf令牌?
此致 Soumya Ranjan