从 Android 调用使​​用 Spring Security 保护的 REST Web 服务

Question

我使用 Spring Security 在 Grails 应用程序中托管 REST Web 服务，即：

@Secured(['IS_AUTHENTICATED_REMEMBERED'])
def save = {
    println "Save Ride REST WebMethod called"
}

我从 Android 应用程序调用它。 （调用不安全的服务就可以了。）

为了调用该服务，我手动构建了一个请求 (HttpUriRequest) 并使用 HttpClient 执行它。

我想知道最佳实践是什么，以及如何实施它们...具体来说，我应该：

1. 执行一次登录，检索 JSESSION_ID，然后将包含它的标头添加到每个后续请求的 HttpUriRequest 中？
2. 或者（我什至不知道该怎么做）在每个请求中直接包含登录名和密码，在 cookie/服务器端会话之前

我想我可以让选项 1 工作，但不确定 Spring Security 是否允许 (2)，如果这是要走的路...谢谢！

--而且，没有任何我想念的图书馆可以为我做这一切，是吗？ :)

Answer 1

Spring security确实支持基本身份验证和基于表单的身份验证（在 URL 中嵌入用户名/密码）。

REST 服务通常针对每个请求进行身份验证，而不是通常通过会话进行身份验证。默认的 spring 安全认证（假设你在 3.x 上）应该寻找基本的认证参数或表单参数（j_username 和 j_password）（形式为http://you.com/rest_service?j_username=xyz&j_password=abc）。

手动将 j_username/j_password 添加到 URL 上，将它们添加为 post 参数（我相信），或设置基本身份验证用户名/密码应该都可以针对默认 Spring Security 拦截器对 REST 服务进行身份验证，就在盒子。

我承认我没有在 REST 服务上尝试过这个，虽然我清楚地记得在文档中阅读过这个，就像我最近对 ​​spring security 的基本页面登录所做的一样。免责声明结束。

Answer 2

我认为您可以使用类似于 oauth 工作方式的 login-once-and-get-a-token 方法。

在安全通道 (https/ssl) 之外通过网络发送用户名和密码是一个糟糕的主意。网络上的任何人都可以嗅探您的请求包并查看明文密码。

另一方面，如果您使用令牌方法，由于令牌字符串是随机生成的，即使令牌被泄露，最坏的情况是有人可以使用令牌访问您的 REST API。

另一种解决方案是通过 ssl 隧道 (HTTPS)。我实际上做了一个比较，结果显示：80 requests/min(https) vs 300 requests/min(http)