前段时间开发一个系统,基于Spring MVC开发的,安全由Spring Security控制。后来由于要支持Ajax, Applet, 需要添加远程访问,于是添加了对Rest的支持,返回Json对象。中间遇到了不少问题,简单列一下,希望对其他人也有帮助。
1. 系统报406错误,按照文档和其他人的经验,只要<mvc:annotation-driven/>,应该不需要任何配置
最后发现原因是已经显式的配置了一个AnnotationMethodHandlerAdapter bean,这是就必须配置里面的messageConverters, 自动配置就不生效了。
2. 如何使Rest和JSP共享Controller
controller虽然很thin,但还是有一些简单的代码的。Spring ContentNegotiatingViewResolver可以支持自动对返回内容做处理,按需返回。观点貌似很好,使用就比较麻烦了。一点是JSP View接受的是一个Model对象,如果这个对象返回给Rest客户端,Model也会打包到JSon,感觉Json处理Map还是很麻烦的,于是自己生产一个CustomMappingJacksonJsonView,单独过滤掉Model,当然前提是Model只含有一个对象。
<bean class="org.springframework.web.servlet.view.ContentNegotiatingViewResolver">
<property name="mediaTypes">
<map>
<entry key="html" value="text/html"/>
<entry key="json" value="application/json"/>
</map>
</property>
<property name="viewResolvers">
<list>
<bean id="tilesViewResolver"
class="org.springframework.web.servlet.view.UrlBasedViewResolver"
p:viewClass="org.springframework.web.servlet.view.tiles2.TilesView"/>
<bean class="org.springframework.web.servlet.view.InternalResourceViewResolver">
<property name="prefix" value="/WEB-INF/views/"/>
<property name="suffix" value=".jsp"/>
</bean>
</list>
</property>
<property name="defaultViews">
<list>
<bean class="test.json.CustomMappingJacksonJsonView"/>
</list>
</property>
</bean>
3. 安全访问控制
因为系统有applet,所以对applet的Rest接口访问也应该和Web访问一下,做安全控制。因为applet是网页的一部分,让用户重新登录是不能接受的,实际上用户根本不知道有applet的存在。解决办法是,把web的session id 在applet初始化的时候,通过javascript传给applet, 在所有Rest调用时,都添加JSESSIONID的Cookie Header。
HttpPost postRequest = new HttpPost(url);
postRequest.setHeader("Cookie", "JSESSIONID=" + jSessionId);这样spring security的配置就只要考虑url,而不需要管远程是Ajax, Applet,还是浏览器了。
扫一扫
1400
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
