Apache Shiro informations d'identification de base de la sécurité pour le Repos de service

Je suis de la création d'une App à l'aide de Shiro le cadre de la sécurité.
L'application comporte deux parties; Web et de Repos.

Le Web est à l'aide de Shiro par défaut de FormAuthenticationFilter.
Je suis content de la session.

Le seul app qui utilise le Repos, je veux à la limite d'utilisation de la FormAuthenticationFilter et de la création d'une session, je suis capable de le faire via shiro.ini fichier

J'ai besoin pour mettre en œuvre les informations d'identification de la sécurité basée sur le reste du service.

De la navigation sur le web, j'ai vu certains blogs, ce qui suggère que vous créez votre propre Royaume et le filtre à gérer ce scénario. Mais pas de détails sur la façon de le faire.

Est-il possible de mettre en œuvre les informations d'identification de la sécurité basée sur Apache Shiro? Si donc, il y a un blog ou un tutoriel qui vous montre comment y parvenir?

Ce qui concerne

Pouvez-vous s'il vous plaît partager un code repo?

OriginalL'auteur Rentius2407 | 2014-03-20

  1. 3

    Vous pouvez utiliser l'authentification basique pour votre webservice points de terminaison et de l'authentification basée sur des formulaires pour le web.

    Ne web, les utilisateurs ont également accès à votre webservice?

    EDIT:

    Checkout cet exemple d'application. https://github.com/dominicfarr/skybird-shiro

    Il a trois chemins d'url configurée dans shiro.

    web utilise l'authentification par formulaire.

    api utilise l'authentification de base.

    jersey - l'accès anonyme.

    Coupe à la shiro.ini config.

    [main]
authc.loginUrl = /web/login.html

sessionManager = org.apache.shiro.web.session.mgt.DefaultWebSessionManager
sessionDAO = org.apache.shiro.session.mgt.eis.EnterpriseCacheSessionDAO

securityManager.sessionManager = $sessionManager
securityManager.sessionManager.sessionDAO = $sessionDAO


[users]
dom = password, user

[roles]
user = standard

[urls]
/web/login.html = authc
/web/** = authc
/api/** = authcBasic
/jersey/message = anon
    Salut dom farr, voulez-vous dire BasicHttpAuthenticationFilter lors de la prise à propos de l'authentification basique? Oui, le web, les utilisateurs peuvent également utiliser le Reste du canal. Actuellement, je suis à la recherche d'exactement ce que. Je suis aussi à l'aide de SSL de sorte que la connexion est chiffrée lors de l'utilisation de repos.
    Je vous remercie pour l'application. Lorsque vous appelez le Reste des services que j'ai envie de rester apatrides (Bonne pratique de ce que je suis en train de lire), j'.e de ne pas créer une session pour l'utilisateur connecté. Je peux l'utiliser comme vous l'avez indiqué ci-dessus authcBasic. Mon approche de la mesure est sur le Repos à utiliser /resources/** = ssl[8443],noSessionCreation,authcBasic. Ce qui signifie Base64_encoded avec chaque demande. Est-il un moyen de modifier la manière dont BasicHttpAuthenticationFilter lit l'en-tête et le décoder? souhaitez encoder/décoder avec mon propre clé.
    Je voudrais ajouter une autre question à propos de substituer la façon dont BasicHttpAuthenticationFilter, de sorte que les réponses ne sont pas confondus. Mais oui, vous pouvez remplacer la plupart des choses dans shiro.

    OriginalL'auteur dom farr