Проверка подлинности RSS с помощью Spring Security

Question

Мое приложение защищено с помощью Spring Security и аутентификации в LDAP.Проблема в том, что RSS-канал тоже должен быть защищен, предоставляя доступ только зарегистрированным пользователям, но без перенаправления на страницу входа.

Существует ли стандартный подход для решения этой проблемы?

Answer 1

Вы можете попытаться принудительно отправить учетные данные через заголовки HTTP (базовая аутентификация подходит для HTTPS) и отключить как форму входа, так и сеансовые куки. Сделайте это, установив атрибут create-session и поместив в него элемент http-basic.

<security:http create-session="never">
    <security:http-basic />
    ...
</security:http>

Answer 2

Один из способов сделать это - дать каждому пользователю какой-то токен, который идет в конце URL-адреса RSS.Затем вы можете сопоставить пользователей с токенами и не отправлять ответ RSS, если вы не получите соответствующий токен.

Вы можете аутентифицировать токен несколькими способами:

1. Подключить кархитектура аутентификации Spring Spring, написав провайдер аутентификации
2. Обрабатывать сопоставления в контроллере, который выводит RSS-канал.

Это не так безопасно, как обычный просмотр с входом пользователя в систему, но это более безопасно, чем просто голый URL, на который может попасть любой.