小编Kar*_*nan的帖子

有很多指南,示例代码显示如何使用Spring Security保护REST API,但大多数都假设一个Web客户端并谈论登录页面,重定向,使用cookie等.甚至可能是一个简单的过滤器,检查HTTP标头中的自定义标记可能就足够了.如何实现以下要求的安全性？有没有任何gist/github项目做同样的事情？我对弹簧安全的了解有限,所以如果有更简单的方法来实现弹簧安全性,请告诉我.

• REST API由无状态后端通过HTTPS提供服务
• 客户端可以是网络应用程序,移动应用程序,任何SPA风格的应用程序,第三方API
• 没有基本身份验证,没有cookie,没有UI(没有JSP/HTML /静态资源),没有重定向,没有OAuth提供者.
• HTTPS标头上设置的自定义标记
• 针对外部存储完成的令牌验证(如MemCached/Redis /甚至任何RDBMS)
• 除了选定的路径(如/ login,/ signup,/ public等)之外,所有API都需要进行身份验证.

我使用Springboot,spring security等.更喜欢使用Java配置的解决方案(没有XML)