Я хочу реализовать базовую услугу RESTful с помощью Tomcat. Перед использованием API требуется авторизация. Разрешение будет достигнуто путем запроса расходной «ресурса» напримерШаблоны Java EE: авторизация и реализация RESTful
some.domain.com/rest/accounts?user=ABC&password=XYZ
Если учетные данные действительны, соответствующий ресурс счета будет перенастроен в формате JSON или пустой ответ типа 403 будет возвращен. После авторизации выполняется, клиент может затем получить доступ к API (например):
some.domain.com/rest/secure/bookings
some.domain.com/rest/secure/friends
Однако я чувствую себя потерял все варианты осуществления. Я знаю, что хочу использовать Spring, но Джексон кажется проще и проще возвращать объекты JSON.
Вопросы:
Должен ли я реализовать Spring Controller, даже если класс, который использует Джексон вид контроллера тоже? Или, если я использую Джексона, нет необходимости в контроллере Sping?
Должна ли аутентификация выполняться с использованием Spring-Security, фильтров Tomcat или AOP с пружиной?
Кажется, существует так много способов сделать что-то, но мой приоритет - сохранить все просто.
Возможно, наиболее подверженный мозгу способ выполнить аутентификацию, которую я когда-либо видел. Аутентификация ** не ** относится к REST API, но к базовой платформе/серверу с Basic, Digest, Negotiate и т. Д. –
не говоря уже о недостатке безопасности, который отправляет такую конфиденциальную информацию в URL-адрес. – ssedano