Spring Security for Spring MVC和Spring REST

Question

我和我的团队开发了一个小型的spring项目。我们有jsp页面，在这些页面中我们编写了ajax调用，并通过这些调用将数据提取为JSON，并通过javascript显示。现在我们需要为JSP页面和REST服务添加安全性。

我们的要求：

1. 服务器应该是无状态
2. 客户不能指望存储cookie。发送到服务器
3. 凭据不应该是纯文本

我是新来的Spring Security，所以我希望如果我能实现它得到任何帮助。

Answer 1

1。服务器应该少说。 从春天安全http标记中设置一个属性很容易。

<http create-session="stateless"> ..</http>

2。客户不能期望存储cookie。 然后，我会选择基本身份验证的其余api和ajax调用。 然而，客户端必须缓存用户名和密码，并将其与每个请求一起发送。

3。对服务器的凭证不应该是纯文本。 使用HTTPS和有效的SSL证书。