用Spring和Apache实现Java Web服务的安全性

Question

我在Java 3上运行了一个应用程序，我的应用程序使用RESTful服务和security来实现安全。它有一个user表，并从中检查用户凭据。我将web服务功能实现到我的应用程序(客户想要的web服务之一，而不是RESTful服务)。如果可能的话，我希望使用相同的身份验证机制，并希望查找该数据库，并且只允许一个用户(目前为管理员)与我的web服务服务器进行通信。

我是否应该遵循与我的RESTful身份验证相同的方式，或者在Spring上是否存在Java的身份验证和安全机制(即如何处理注销，如何为客户机-服务器Web服务通信启用注销机制)？

PS:我使用Apache。

Answer 1

有两种可能的方式：

1. 在CXF前面放置一个BasicAuthenticationFilter或DigestAuthenticationFilter。
2. 使用WS-安全UsernamePasswordToken使用CXF并编写一个CallbackHandler，a)创建UsernamePasswordAuthenticationToken，b)调用authenticationManager.authenticate()和c)将身份验证存储在SecurityContextHolder中。

请注意，上面的内容并不涉及注销的概念，因为登录会话通常是用cookie实现的，上面的方法是无状态的。如果您确实需要注销，那么您应该考虑使用OAuth，因为您可以通过使访问令牌无效来实现注销。

Answer 2

您可以将一个安全令牌放在您要发送给其余部分的HTTP报头中，其余部分将对其进行解码，并验证它来自管理位置。