Spring MVC와 Spring REST를위한 Spring Security

Question

우리 팀은 작은 스프링 프로젝트를 개발했습니다. 우리는 아약스 호출을 작성한 jsp 페이지를 가지고 있으며 이러한 호출을 통해 JSON으로 데이터를 가져 와서 자바 스크립트를 통해 표시합니다. 이제 JSP 페이지와 REST 서비스 모두에 보안을 추가해야한다.

우리의 요구 사항 : 서버가

클라이언트 상태 비 저장해야

1. 는 쿠키를 저장하기 위해 기대할 수 없다. 서버로 전송
2. 자격 증명 내가 그것을 구현에 어떤 도움을받을 수있는 경우

나는 봄 보안에 새로운 오전 그래서 난 감사하겠습니다 일반 텍스트를해서는 안됩니다.

Answer 1

1. 서버는 상태가 적어야합니다. 스프링 3.1을 시작하면 스프링 보안 http 태그의 속성을 설정하는 것처럼 쉽습니다.

<http create-session="stateless"> ..</http>

2

. 클라이언트는 쿠키를 저장할 수 없습니다. 그러면 나머지 API 및 아약스 호출에 대한 기본 인증을 선택합니다. 그러나 클라이언트는 사용자 이름과 암호를 캐시하고 각각의 요청과 함께 보내야합니다.

3. 서버에 대한 자격 증명은 일반 텍스트가 아니어야합니다. HTTPS를 유효한 SSL 인증서와 함께 사용하십시오.