我们当前的应用程序是标准的spring 2.5应用程序,使用Acegi进行基于表单的身份验证。但是,我们需要为第三方应用程序公开一些REST服务,我们正在尝试使用基于SSL的BASIC auth。我们使用RESTEAsy来公开REST服务。现在,鉴于应用程序的其余部分使用form&基于会话的身份验证,如何为少数REST服务启用基本身份验证。
对我而言,用例似乎正常,但是,我在网上找不到太多参考。任何评论/建议将非常感谢。
答案 0 :(得分:2)
关于是否使用表单身份验证或基本/摘要身份验证来保护REST服务的更一般性问题 - 这与更重要的约束之一密切相关RESTful架构 - 无状态。
考虑到这一点,登录服务意味着在服务器上保持状态,这违反了无状态服务器约束。从身份验证POV,基于表单的身份验证意味着登录,而基本/摘要身份验证意味着在每个请求中嵌入身份验证凭据,而无需在服务器上保留任何状态。这就是为什么这种身份验证与REST意图构建的方式更加一致的原因。
希望这会有所帮助。
答案 1 :(得分:0)
在Spring Security Reference中查看Basic/Digest Authentication。