Skema autentikasi keamanan Spring manakah yang cocok dengan REST API untuk aplikasi seluler dan web?

Saya sedang membangun satu set REST API dengan Spring MVC dan Keamanan untuk satu set aplikasi, kami memiliki dua aplikasi seluler dan satu aplikasi web (aplikasi web adalah aplikasi satu halaman HTML5 sehingga cukup mandiri).

Pertanyaan saya adalah: skema otentikasi mana yang terbaik untuk masalah seperti ini?

Apa yang saya pikirkan adalah:

  • Gunakan form-login untuk login dengan HTTP POST untuk login url
  • Gunakan layanan RememberMe untuk mempertahankan sesi dari waktu ke waktu (bulan atau tahun) - ini terutama untuk aplikasi seluler, di mana Anda ingin pengguna login hanya sekali.

Saya tidak merasa 100% nyaman dengan solusi di atas karena: bekerja dengan cookie di REST API terasa canggung bagi saya

Ada saran?

Terima kasih!

Alex


java spring rest spring-security
person AlexV    schedule 12.01.2012    source sumber

Jawaban (1)


arrow_upward
0
arrow_downward

Mengapa Anda memerlukan cookie (atau login formulir) jika Anda berurusan dengan REST? REST harus diakses secara terprogram dan oleh karena itu aplikasi yang menggunakan tidak akan mengalami masalah dalam meneruskan header HTTP BASIC/DIGEST setiap saat

person Community    schedule 06.03.2012
comment
Anda benar, tetapi cookie adalah header yang sama jadi tidak ada perbedaan besar. Hal lain yang saya ingin gunakan filter Spring Security Remember Me (saya malas :) dan menghindari penerapan filter saya sendiri - person AlexV; 07.03.2012