这是从Spring-Rest-Boilerplate开始的好地方。
- 第一次,您必须使用http基本身份验证,然后登录(发送用户名/密码),这将返回令牌。
- 在后续请求中,您将使用此令牌进行身份验证。
- 您将必须向该链中添加一个过滤器,该过滤器将基于令牌进行身份验证。
您必须提供令牌格式和相同的加密。理想情况下,您也需要保留令牌的到期时间,到期时间和用户名一起可能是令牌的一部分。 使用加密算法,
像MD5这样的加密哈希函数并获取整个令牌的哈希值。
编辑 :正如 MaciejStępyra 指出的那样,MD5似乎已损坏,建议使用SHA-256之类的更强哈希函数。
默认情况下,Spring安全会将您重定向到登录页面,但是在REST的情况下这没有意义,因此请
AuthenticationEntryPoint在config中使用自定义(请参阅示例github代码)。
我为令牌使用了以下格式: token:username:hash:expiry
hash = MD5(用户名+魔术键)
到期时间=当前时间戳+分钟到到期时间
<security:http realm="Protected API" use-expressions="true" auto-config="false" create-session="always" entry-point-ref="**CustomAuthenticationEntryPoint**"> <security:custom-filter ref="**authenticationTokenProcessingFilter**" position="PRE_AUTH_FILTER" /> <security:intercept-url pattern="/**" access="isAuthenticated()" /> </security:http>
注意:感 谢达瓦尔 的代码。我已将此作为参考并开发了类似的东西。
