在查看了不同的选项后,我使用了身份验证过滤器和基本身份验证。非常容易实现。
一些示例代码:
您需要一个过滤器
public class AuthFilter implements ResourceFilter, ContainerRequestFilter {
...
}
还有一个安全上下文:
public class MySecurityContext implements SecurityContext {
...
}
还有一个用户类:
public class User implements Serializable, Principal {
...
}
private void prepareFilters(ResourceConfig rc) {
rc.getProperties().put("com.sun.jersey.spi.container.ContainerRequestFilters",
getClassListing(new Class[]{
AuthFilter.class
}));
rc.getProperties().put("com.sun.jersey.spi.container.ContainerResponseFilters",
getClassListing(new Class[]{
CORSFilter.class, //You might not need this
GZIPContentEncodingFilter.class //You might not need this
}));
rc.getProperties().put("com.sun.jersey.spi.container.ResourceFilters",
getClassListing(new Class[]{
RolesAllowedResourceFilterFactory.class
}));
}
另外,您可以将 @Context SecurityContext securityContext; 添加到您的资源类或个别方法中以实现更细粒度的访问控制。SecurityContext 将被注入到您的资源上下文中,因此您可以每个请求访问用户对象。
使用这种设置,您可以在 REST 方法中注释 @PermitAll, @RolesAllowed 等,从而对 RESTful 接口进行良好的控制。
我刚刚用 Jersey 完成了我的无状态(无会话)用户身份验证和管理。如果您想要完整的示例或自己试试,请告诉我;)
我认为最好的方法是使用OAuth2,如规范所述。根据您使用的客户端类型(桌面、网页、移动客户端),有不同的工作流程以及许多好处,比如为应用程序的特定范围(只读或完全访问等)创建令牌。谷歌提供了许多不同的API,可以通过同一个帐户访问。如果一个应用程序只需要来自日历API的数据,则请求的令牌只会给您访问此特定API的权限,而不是整个账户的资源(如邮件数据、笔记等)。另一个要点是安全处理与客户端解耦,客户端应用程序中不必存储密码。
您可以自己实现所有内容,也可以使用像这个这样的开源项目。它提供了关于其工作原理的描述,并且代码非常出色,但它对Spring框架有很多依赖。针对我的用例,我开始用纯Java EE 7代码替换它们,并基于这个开源项目的思想创建了一个解决方案。替换的原因是它更具未来性,并且在部署过程中避免了类加载器问题。
在Android应用程序中,可以实现身份验证器以安全地存储令牌。