使用 Spring Security 3.2 保护 AngularJS SPA

Question

欢迎任何帮助、建议和经验。

我目前在 Apache HTTP 服务器上有一个单独的 AngularJS SPA，在 Tomcat 7 Servlet 上有一个 Spring 后端。后端用作 SPA 的 Rest API。 一些剩余资源需要用户具有特定的角色。

我已经在互联网上搜索了几天，以了解什么以及如何实施最佳安全策略：

• 基本认证
• 摘要
• oAuth
• 无状态，Cookie？会议？代币？ CSRF？

您将如何将 Json 或 XML 中的 Spring Security 传递给您的 SPA，以向用户显示身份验证页面或“您成功通过身份验证的页面”？

感谢任何帮助。

Answer 1

我强烈推荐观看Spring's introductory video。它使用 Java 配置从头开始解释 Spring Security 的使用。除了基本配置，身份验证和 CLRF 令牌使用也深入到现场安全性。虽然在服务器上使用 Thymeleaf 模板，但也可以为基于 REST 的应用程序提供很多智慧。

Answer 2

我终于想出了如何让 SPA 使用我的 Rest 后端进行身份验证。

在 spring security 我创建了一个

• 自定义 SimpleUrlAuthenticationFailureHandler，如果登录尝试失败，则返回 HTTP-Unauthorized。
• 自定义 SavedrequestAwareAuthenticationSuccessHandler 如果登录尝试成功则返回 Http-Oke。
• 自定义 AuthenticationEntryPoint 返回 Http-Unauthorized 而不是重定向。
• 返回 Http-OK 的自定义 LogoutSuccessHandler。
• 我禁用了 CSRF。

如果有人需要更多帮助，请随时告诉我或给我发消息。