如何保护使用 Springs REST Api 创建的 RESTful Web 服务？

Question

我们有一个使用 Spring MVC 3.0 创建的 Spring Web 应用程序。在同一个应用程序中，我们使用 Springs 的 REST API 创建了 RESTful Web 服务。

现在我们需要保护这些网络服务。春天我们该怎么做呢？我们可以为此使用 Spring Security 吗？如果不是，还有什么其他选择？

谢谢。

Answer 1

这实际上取决于您想要实施的安全级别。您可以仅使用基于 web.xml 的简单访问控制以及领域、用户名和密码。

Web 服务的安全性是另一回事。来自 Spring Security 常见问题解答：

Web 应用程序很容易受到各种攻击，您应该熟悉这些攻击，最好是在开始开发之前，这样您就可以从一开始就考虑到它们进行设计和编码。请访问 OWASP 网站，了解有关 Web 应用程序开发人员面临的主要问题以及可以采取的对策的信息他们。

Spring Security 当然是一个选择。在大多数情况下，它很容易（现在）与 Spring 集成，并且具有灵活的身份验证模块。

您还应该考虑 Apache Shiro。与 Spring Security 的比较问题已经得到解答 - Shiro 与 SpringSecurity 和 Shiro 也 与 Spring 很好地集成。

关于此主题还已经回答了一些其他问题 - 如何保护使用spring3服务REST？和寻找一个简单的Spring安全示例< /a>

我认为这个问题目前的形式没有明确的答案，但我希望这仍然有帮助。