Spring Security 和单页应用程序

【问题标题】:Spring Security and Single Page ApplicationsSpring Security 和单页应用程序
【发布时间】:2013-10-05 10:28:45
【问题描述】:

我的申请将是:
- 单页应用程序(比如角度/主干)
- 基于 Spring MVC 的服务器。

我发现了很多关于使用 Spring-Security 的示例,其中登录页面、注销页面等都是 HTML。 Spring Security 会根据 Session State 定向到适当的页面。

但在我的情况下,登录/注销页面将使用 JavaScript - 与服务器进行登录/注销的所有交互都是通过 HTTP(REST 样式 URL)和响应 JSON。这里没有 HTML。

问题
在这种情况下,我该如何使用 Spring Security?换句话说 - 我如何将登录/注销行为公开为 API?

由于前端是基于浏览器的应用程序...我猜通常的 cookie 等应该仍然可以用于识别会话。

【问题讨论】:

    标签: spring angularjs spring-mvc spring-security single-page-application


    【解决方案1】:

    是的,Cookie 在您的情况下仍然有效。但是您需要点击 ajax 网址而不是普通网址。我有过使用基于移动设备的单页应用程序的经验,并且我设法使用 grails 后端来做到这一点。登录时点击 /j_spring_security_check?ajax=true 如果 http 响应为 302 并将您重定向到 /login/ajaxSuccess ,则表示您已成功登录。否则您无法登录。

    【讨论】:

    • 如何管理 Angular 模板,如果它已经被缓存了?
    • 如果用户对相同的 url 有不同的权限(相同的角度模板),你如何管理情况
    • 你想过使用 ajax 加载模板并通过 spring security 保护 url 吗?在我看来,这应该在您的角度代码中定义,而不是使用弹簧安全性。在您的角度范围内,您需要获取用户详细信息和角色
    • 如果您有 2-5 个角色,并且 URL 很少 - 对于某些应用程序来说可能没问题。但是如果您的应用程序有 20-50 个角色(我不是说 2-10 个模板取决于角色)这将很难管理和支持。有一次,如果有人说“我们不应该使用 10 个角色,但我们会得到 5 个新角色” - 这将是地狱因为 UI 逻辑集成。如果您信任 UI 管理角色 - 您将失去灵活性。并且遵循最佳实践的任何方式,您都应该永远不要向 UI 提供有关重要安全部分的信息! UI 应该尽可能少的逻辑。在完美的情况下 - 零。
    猜你喜欢
    • 2015-12-31
    • 2016-03-28
    • 2016-09-01
    • 2020-07-23
    • 2016-09-03
    • 2016-01-04
    • 1970-01-01
    • 2020-04-06
    • 2020-03-17
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode