我已经阅读了一些与此主题相关的问题(Jersey REST API as a separate web app、Should web service be separate from web site?),但我仍然难以理解哪种设计实践最适合现有应用程序。
我继承了一个基于 spring 和 hibernate JPA 构建的 java web 应用程序。它目前正在生产中,正在开发新功能。
同时,我需要设计一个具有某种形式的身份验证/用户跟踪的 REST API。 Web 应用程序有自己的用户身份验证系统,该系统可能与 API 实现不同(即用户名/密码与 api 密钥 (?))。
鉴于这种情况,我认为最好单独开发它们,但我觉得一开始会有很多代码重复(由于所有 jpa 在 Web 应用程序中实现)。理想情况下,一旦我有了其余的 api,我会切换 web 应用程序以使用该 API,并删除当前处理数据检索的大部分后端代码。
在我开始这条路线之前,我想知道,有没有更好的方法来做到这一点?
【问题讨论】:
您可以使用 Spring Security 并创建自定义 AuthenticationProvider 。您可以使用 JNDI 查找直接从它自己的 Container 获取 authservice。
例子:
@Component
public class CustomAuthenticationProvider implements AuthenticationProvider {
@Autowired
private AuthService authService;
public Authentication authenticate(Authentication authentication)
throws AuthenticationException {
String name = authentication.getName();
String password = authentication.getCredentials().toString();
// use the credentials to try to authenticate against the third party system
if (authService(name, password)) {
List<GrantedAuthority> grantedAuths = new ArrayList<>();
return new UsernamePasswordAuthenticationToken(name, password, grantedAuths);
} else {
throw new AuthenticationException("Unable to auth against third party systems");
}
}
@Override
public boolean supports(Class<?> authentication) {
return authentication.equals(UsernamePasswordAuthenticationToken.class);
}
此外,在此处阅读有关使用 Spring 的 RESTful api 的更多信息:
【讨论】: