您找到解决问题的方法了吗?
我已经在其他地方回答了这个问题,如果您确定将来不希望向其他开发人员/客户端打开API(如果您这样做,则应查看OAuth),那么基于令牌的简单解决方案将起作用。
基本遵循以下原则:
- 设置一个标准的html登录页面,可用于用户登录到该应用
- 设置spring安全性以在成功登录时返回带有身份验证令牌的cookie
- 在您的移动应用程序中,嵌入一个WebView(或等效版本)并加载此登录表单-允许用户通过该Webview登录,并在响应时抓取cookie并存储令牌(由于移动设备通常是单用户,因此您可以保留相当长的时间以节省必须继续登录的移动用户)
- 向REST API添加安全过滤器以针对令牌进行身份验证(例如,从移动应用通过标头中的令牌传递)-然后,您将能够为当前用户使用常规的spring身份验证上下文等。
Google在这里建议采用这种方法:(编辑:Google似乎已经将我最初阅读的页面更改为有关使用Google+登录和OAuth2.0的信息-
我看不到其常规Mobile /
API文档的链接,因此在这里在网络档案中
:))
我还在这里编写了实现:
使用Spring安全性的方法概述
代码和详细信息
尽管这实际上只是一个实验/概念验证,但在您的思考中可能会很有用。
