没有spring安全性的java授权

Question

我的任务是使用发送请求，然后获取一些XML。

例如:请求: /api/ext/data.xml响应:一些XML

应用程序使用Spring，所以我只编写了控制器方法，一切正常，但我也需要实现授权。这个应用程序不使用Spring安全。

我该怎么办？我应该使用会话来保存用户授权数据吗？

Answer 1

您仍然应该看看Apache和/或Security。然而，security (以及容器安全性)对于REST安全性并不那么友好。对于Spring，您需要实现一个自定义AuthenticationEntryPoint，以避免在403上进行重定向。对于REST来说，Shiro可能更容易一些。

如果您想自己动手操作w/o依赖关系或复杂性，您应该考虑编写一个Servlet过滤器和/或利用容器安全性。折衷方案可能是这个SecurityFilter项目。但是如果你需要角色，ACL等等.你应该认真地重新考虑Shiro或Spring的安全问题。

Answer 2

如何像Amazon那样实现您自己的HmacSha1模型(签名请求)呢？

基本原则:客户端使用秘密访问密钥(SAK)对请求进行签名，并将数据过期，从而获得hmac代码。然后客户端通过POST发送请求，加上一些头部，如hmac代码和过期数据，以及您需要的任何内容。然后，服务器在控制器(或拦截器)中获取您的请求，使用SAK对其进行签名和过期时间，并比较获取hmacs来验证用户。