AngularJS 和 Spring MVC 安全性

Question

我有一个用 AngularJS 编写的前端和一个 Spring MVC 后端。我的想法是只保护 REST API 服务，并在进行未经授权的服务调用时使用 AngularJS 中的拦截器将用户重定向到登录页面。我现在面临的问题是，在调用服务时，页面会在用户被重定向之前短暂显示。有什么我可以做的吗？还是这种方法存在根本缺陷？

这是拦截器：

$httpProvider.interceptors.push(function ($q, $location) {
    return {
        'responseError': function(rejection) {
            var status = rejection.status;

            if (status == 401 || status == 403) {
                $location.path( "/login" );
            } else {
            }

            return $q.reject(rejection);
        }
    };});

我的安全配置：

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private CustomUserDetailsService customUserDetailsService;

    @Autowired
    public void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(customUserDetailsService);
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .antMatcher("/api/**")
            .authorizeRequests()
                .anyRequest().authenticated();
    }

    @Bean(name="myAuthenticationManager")
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

}

登录控制器：

@RequestMapping(value = "/login", method = RequestMethod.POST, produces="application/json")
@ResponseBody
public String login(@RequestBody User user) {
    JSONObject result = new JSONObject();
    UsernamePasswordAuthenticationToken token =
            new UsernamePasswordAuthenticationToken(user.getUsername(), user.getPassword());

    try {

        Authentication auth = authenticationManager.authenticate(token);
        SecurityContext securityContext = SecurityContextHolder.getContext();
        securityContext.setAuthentication(auth);
        ServletRequestAttributes attr = (ServletRequestAttributes) RequestContextHolder.currentRequestAttributes();
        HttpSession session = attr.getRequest().getSession(true);
        session.setAttribute("SPRING_SECURITY_CONTEXT", securityContext);

        result.put("isauthenticated", true);
    } catch (BadCredentialsException e) {
        result.put("isauthenticated", false);
    }

    return result.toString();
}

Answer 1

我认为这种方法还可以，但您可能不得不忍受页面闪存，这反过来意味着您必须优雅地处理它。

我猜页面刷新大致如下：

• 进行导航，呈现模板并为新路线激活控制器
• 控制器调用服务；这是异步的，所以会显示没有任何数据的页面
• 服务返回 401/403，被拦截并出现新的登录页面导航

你不妨试试：

1. 在路由的resolve配置中收集页面所需的所有数据（ngRoute和angular-ui-router都支持），以便在获取所有数据之前导航不会完成。
2. 在页面内处理它：当服务调用仍处于挂起状态时，显示一个微调器/消息，让用户知道某些后台活动正在进行。
3. 当拦截器捕获 401/403 时，让它打开一个模式弹出窗口，解释情况并为用户提供登录或导航到登录页面作为单一选项。将此与微调器/消息结合起来。