【发布时间】:2011-08-29 10:18:45
【问题描述】:
我们有一个使用 Spring MVC 3.0 创建的 Spring Web 应用程序 在同一个应用程序中,我们使用 Springs 的 REST API 创建了 RESTful Web 服务。
现在我们需要保护这些网络服务。我们如何在春天做到这一点?我们可以为此使用弹簧安全性吗?如果不是,还有什么其他选择?
谢谢。
【问题讨论】:
标签: rest spring-mvc spring-security
【发布时间】:2011-08-29 10:18:45
【问题描述】:
这实际上取决于您要施加的安全级别。您可以使用简单的基于 web.xml 的访问控制,包括领域、用户名和密码。
您的网络服务的安全性是另一回事。来自Spring Security FAQ:
Web 应用程序容易受到您应该熟悉的各种攻击,最好是在您开始开发之前,这样您就可以从一开始就考虑到它们进行设计和编码。查看OWASP web site,了解有关 Web 应用程序开发人员面临的主要问题以及您可以针对这些问题采取的对策的信息。
Spring Security 无疑是一种选择。在大多数情况下,它很容易(现在)与 Spring 集成,并具有灵活的身份验证模块。
您还应该考虑Apache Shiro。已经回答了与 Spring Security 问题的比较 - Shiro vs. SpringSecurity 和 Shiro 以及 integrates nicely 与 Spring。
关于这个主题还有一些其他问题已经得到解答 - How to secure a service REST with spring3? 和 Looking for a Simple Spring security example
我认为这个问题目前的形式没有明确的答案,但我希望这对大家都有帮助。
【讨论】: