Я написал RESTful веб-сервис, используя Spring MVC.Я, по сути, регистрирую клиента, затем добавляю дополнительные детали после регистрации.Процесс в основном выглядит следующим образом:
Введите 1-й набор информации о регистрации.Это проверяется веб-сервисом и возвращается клиенту
Введите 2-й набор регистрационных данных.Это также подтверждается веб-сервисом и возвращается клиенту.
Регистрация подтверждена.Теперь пользователь может добавлять дополнительные сведения об учетной записи с помощью различных вызовов веб-службы.
Шаг 1 и 2 не требуют, чтобы пользователь входил в систему (они не могут быть, поскольку у них нетполных данных для входа пока нет).Однако мне нужен сеанс, так как пользователи не смогут завершить шаг 2, если шаг 1 не был завершен.Как только регистрация завершена, я хочу, чтобы пользователь вошел в систему и создал сеанс с полной аутентификацией, чтобы можно было добавить дополнительные детали.
После прочтения весенних документов по безопасности я думаю, что я согласен с сеансом с проверкой подлинности после успешной регистрации (хотя это сложно, потому что у меня нет фактического login.jsp).Что я не могу понять из Spring Docs, так это возможность поддерживать состояние сеанса между анонимными запросами.Глядя на то, как информация извлекается из SecurityContextHolder, кажется, все зависит от UserDetails (которого, конечно, не существует).Я могу понять, как это будет работать для одного запроса без аутентификации, но я просто не уверен в том, что один и тот же пользователь может выполнить несколько запросов без аутентификации.
Можно ли даже поддерживать сеанс для анонимных запросов в Spring Security.