使用 Java 客户端 API (2.0.4) 的登录对话框来验证用户是否可以通过 MarkLogic 服务器(版本 7.0.4)进行身份验证以保护 Spring Web 应用程序的最佳实践是什么?
使用我当前的方法(请参阅gist 中的源代码)我正在实现来自 Spring Security 的 AbstractUserDetailsAuthenticationProvider(带有 HTTP 会话的“经典”方法),我确实创建了一个 MarkLogic DatabaseClient 实例,之后是一个简单的查询 (testQuery, L. 46 in MarkLogicConnections) 被执行以查看是否可以检索结果。根据这个结果来决定登录是否被授予。
我想知道是否存在更优雅的解决方案,但在 MarkLogic 文档中找不到任何内容。
【问题讨论】:
标签: java spring spring-mvc spring-security marklogic
您可以利用这个机会检索您存储在数据库中的任何用户特定数据。
如果不希望这样做,也许根本不需要验证用户凭据?您可以在第一个必要的查询中懒惰地发生这种情况。而且你应该准备好在任何地方处理数据库错误。
如果您确实需要非延迟验证并且不想要任何数据,那么对 suggest() 的调用可能会比您想要的更昂贵。如果是这样,您可能会考虑其他选择。致电getErrorFormat 应该相当便宜。打开一个事务然后回滚它也应该很便宜,但它需要rest-writer 或rest-admin 角色。如果没有其他工作,您可以编写一个实现 noop XQuery 的 extension,可能只是 ()。
【讨论】:
rest-writer 也没有rest-admin 角色,我可能会坚持使用简单的建议或搜索查询来决定是否允许她继续。
"/usr/" + userId + "/data.xml" 这样的东西。也许有一天你会想在那里保留用户偏好之类的东西,但同时请求一个不存在的文档应该相当便宜。
xdmp 函数,不过我可能会通过 REST 扩展公开自己......