在普通基于浏览器的web应用中,我们的验证鉴权一般使用sessionid实现,即验证通过时服务端返回一个sessionid,在cookies中。以后的每次请求都在请求头中设置cookies的值为返回的sessionid,即标志该请求是验证通过的。
在android应用中,我们可以通过用户名密码去请求登陆接口,得到服务端响应的sessionid,持久化存储起来,每次请求网络的时候都带上该sessionid,即可验证。
问题是,验证通过后的行为不合适。Web应用中验证通过后一般会重定向到之前请求页或首页,但是android不能接受redirect响应。所以应该需要为android应用开发一套接口,尽可能的重用验证鉴权逻辑。
我们要实现的这个功能属于验证成功后的行为,所以显然,应该在登陆过滤器中去修改,登陆过滤器中有一个authenticationSuccessHandler接口,项目之前采用的是org.springframework.security.web.authentication.SimpleUrlAuthenticationSuccessHandler实例。其中的onAuthenticationSuccess方法主要逻辑在handle()方法中。查看handle方法源码,最重要的一条是redirectStrategy.sendRedirect(request, response, targetUrl);很明显,这就是我们要修改的地方。redirectStrategy默认只有一个实现DefaultRedirectStrategy,其主要的方法如下:
public void sendRedirect(HttpServletRequest request,HttpServletResponse response,
String url