主要なコンポーネントの2つがWebサイトとバックエンドのRESTful WebサービスであるWebアプリケーションを構築しています。このウェブサイトは、重労働をしているRESTful Webサービスを呼び出します。私は両方の層にSpring Securityを使用する予定です。私は、Webサイトがフォーム認証を使用し、RESTful APIが基本認証(SSL経由)を使用すると考えています。ただし、初期ログイン後にWebサイトがセッションCookieを持つ可能性があるため、REST APIに認証資格情報を提供する方法がわかりません。誰もがこの多層アプリケーションで動作するスキームの認証にいくつかのポインタを提供できますか?ありがとう!REST APIを使用した多層Webアプリケーションの認証方式
編集:REST APIはモバイルアプリケーションでも使用されることに言及する必要があります。
ウェブサイトとRESTサービスでRemember Meを使用する方法があります。ウェブサイトは私に覚えています(あなたは有効期限を設定したり、セッションクッキーにすることができます)。次に、WebサイトからRESTサービス要求のCookieをコピーします。モバイルからRESTは、同じ場所にある同じCookieを使用します(同じCookieドメイン内にあると仮定して)。
チップをありがとう。明確にするために、これは一般的な流れですか?私が理解するように、2つのシナリオがあります。 1:モバイルクライアントはRESTサービス(たとえば、基本認証を使用)で直接認証され、サーバーは「覚えてください」というCookieを返します。このCookieは、その後のREST要求で使用できます。 2:Web層は、ユーザーに認証を促し、同じ方法で「Remember me」クッキーを生成します。 Web層で生成されたCookieは、Web層からRESTインタフェースに直接渡すことができます。 – MJM
はい - 明確にするために私の答えを編集しました。 – sourcedelica
ウェブクライアントコード(つまり、おそらくjavascript)が直接RESTサービスに連絡するのですか、または通常のウェブサーバーを常に仲介者として使用しますか? –
それはまだTBDですが、私はそれがいつもWebサーバーを仲介者として使用すると考えています。 – MJM