Безопасность Spring / Acegi для веб-сервисов REST в WebApplication?

Question

Наше текущее приложение - стандартное приложение Spring 2.5 с аутентификацией на основе форм с использованием Acegi. Однако нам нужно предоставить некоторые службы REST для сторонних приложений, и мы пытаемся использовать BASIC-аутентификацию через SSL. Мы использовали RESTEAsy для предоставления REST Services. Теперь, учитывая, что в остальной части приложения используется проверка подлинности на основе форм и сеансов, как я могу включить базовую проверку подлинности для нескольких служб REST.

Мне кажется, что сценарий использования нормальный, но я не смог найти много ссылок в Интернете. Любые комментарии / предложения будут очень благодарны.

Answer 1

Относительно более общего вопроса о том, следует ли защищать службу REST с помощью Аутентификация с помощью формы или Базовая / дайджест-аутентификация - это тесно связано с одним из наиболее важных ограничений архитектуры RESTful - безгражданство .

С учетом этого вход в службу означает сохранение состояния на сервере, что противоречит ограничениям на сервер без сохранения состояния. Из POV-аутентификации аутентификация на основе форм подразумевает вход в систему, тогда как обычная / дайджест-аутентификация означает встраивание учетных данных аутентификации в каждый запрос без необходимости сохранять какое-либо состояние на сервере. Вот почему этот вид аутентификации намного больше соответствует способу построения REST.

Надеюсь, это поможет.

Answer 2

Извлечение Базовая / дайджест-аутентификация в справочнике по безопасности Spring.