Implment REST风格的web服务与泽西岛和弹簧安全

Question

这些天，我正在与泽西岛实施REST风格的web服务。 为了安全起见，我们正在考虑使用弹簧安全。

在整合球衣&春季安全期间，我们发现了一些问题。

1. 重定向到8080端口（由servlet容器使用）。 我们在apache中使用代理模块只支持80,443。 当请求被重定向到登录页面时，请求url被更改为使用由servlet容器（tomcat）使用的8080端口。 如何防止重定向到8080？ 如果我们只想显示消息（错误消息）什么是好的选择？

2. 保持会话的好方法是什么？ 我发现使用不支持cookie的客户端工具的问题。 （我发现Jersey客户端不支持cookie，因此会话不会继续使用它。） 保持会话的好方法是什么？

Answer 1

1. 我有一个反向代理类似端口号/协议的问题。我还没有想出如何解决我的问题（可能在这里提出另一个问题），但您可能想看看spring-security的配置的“端口映射”设置：http://static.springsource.org/spring-security/site/docs/3.0.x/reference/ns-config.html#ns-requires-channel

   I'米不知道这是否会完全符合你的要求，但值得检查。

2. 我建议您保持REST风格的Web服务无状态。不要在服务器上维护任何会话。对于身份验证，您可以使用类似OAuth的身份验证每个请求。