在 Tomcat 上使用 Spring Boot 进行身份验证

Question

我正在尝试让spring-boot-starter-security 与spring-boot-starter-web 和spring-boot-starter-tomcat 一起工作。我尝试按照spring-boot-sample-secure 和spring-boot-sample-web-secure 的指南进行操作，但没有成功。

我正在尝试构建一个没有任何 ui 交互的 REST 应用程序。因此，我发现这两个样本都不完全适合我的目的。目前我的解决方案是使用 AOP。

ControllerMonitor.java:

@Before("execution(* my.zin.rashidi.openshift.tomcat.controller.*.*(..)) && args(authorization, ..)")
public void authenticate(String authorization) {

    if (!isEmpty(authorization)) {
        SecurityContextHolder.getContext().setAuthentication(
                new UsernamePasswordAuthenticationToken("user", "N/A",
                        AuthorityUtils.commaSeparatedStringToAuthorityList("ROLE_USER"))
        );
    }
}

UserController.java:

@RequestMapping(method = GET)
public ResponseEntity<User> get(@RequestHeader String authorization, @RequestBody User user) {
    HttpStatus status = OK;
    User returnObject = null;

    try {
        returnObject = service.get(user);
    } catch (AuthenticationCredentialsNotFoundException e) {
        status = UNAUTHORIZED;
    }

    return new ResponseEntity<User>(returnObject, status);
}

解决方案对我有用。但是我想知道这是否是一个好的解决方案。我很好奇是否有更好的解决方案。

在此先感谢您的帮助！

Answer 1

我不想为每个控制器方法添加可选参数，因为它是可选的，所以忘记的风险非常高。您征求意见，我认为更好的解决方案是使用更正常的 Spring Security 方法和过滤器（如果足够好，则标准基本身份验证，或者可能是像预身份验证这样的自定义过滤器，例如，如果它没有不能满足您的需求）。您可以在 Spring Boot 应用程序中获得开箱即用的 http 基本安全性，因此您根本不需要做任何事情即可开始使用。