Spring MVC, Security集成Rest, Applet

前段时间开发一个系统,基于Spring MVC开发的,安全由Spring Security控制。后来由于要支持Ajax, Applet, 需要添加远程访问,于是添加了对Rest的支持,返回Json对象。中间遇到了不少问题,简单列一下,希望对其他人也有帮助。

1. 系统报406错误,按照文档和其他人的经验,只要<mvc:annotation-driven/>,应该不需要任何配置

最后发现原因是已经显式的配置了一个AnnotationMethodHandlerAdapter bean,这是就必须配置里面的messageConverters, 自动配置就不生效了。

2. 如何使Rest和JSP共享Controller

controller虽然很thin,但还是有一些简单的代码的。Spring ContentNegotiatingViewResolver可以支持自动对返回内容做处理,按需返回。观点貌似很好,使用就比较麻烦了。一点是JSP View接受的是一个Model对象,如果这个对象返回给Rest客户端,Model也会打包到JSon,感觉Json处理Map还是很麻烦的,于是自己生产一个CustomMappingJacksonJsonView,单独过滤掉Model,当然前提是Model只含有一个对象。

<bean class="org.springframework.web.servlet.view.ContentNegotiatingViewResolver">
        <property name="mediaTypes">
            <map>
                <entry key="html" value="text/html"/>
                <entry key="json" value="application/json"/>
            </map>
        </property>
        <property name="viewResolvers">
            <list>
                <bean id="tilesViewResolver"
                      class="org.springframework.web.servlet.view.UrlBasedViewResolver"
                      p:viewClass="org.springframework.web.servlet.view.tiles2.TilesView"/>

                <bean class="org.springframework.web.servlet.view.InternalResourceViewResolver">
                    <property name="prefix" value="/WEB-INF/views/"/>
                    <property name="suffix" value=".jsp"/>
                </bean>

            </list>
        </property>
        <property name="defaultViews">
            <list>
                <bean class="test.json.CustomMappingJacksonJsonView"/>
            </list>
        </property>
    </bean>

 3. 安全访问控制

因为系统有applet,所以对applet的Rest接口访问也应该和Web访问一下,做安全控制。因为applet是网页的一部分,让用户重新登录是不能接受的,实际上用户根本不知道有applet的存在。解决办法是,把web的session id 在applet初始化的时候,通过javascript传给applet, 在所有Rest调用时,都添加JSESSIONID的Cookie Header。

HttpPost postRequest = new HttpPost(url);
postRequest.setHeader("Cookie", "JSESSIONID=" + jSessionId);

这样spring security的配置就只要考虑url,而不需要管远程是Ajax, Applet,还是浏览器了。

相关推荐