hyzhym 2011-09-02
前段时间开发一个系统,基于Spring MVC开发的,安全由Spring Security控制。后来由于要支持Ajax, Applet, 需要添加远程访问,于是添加了对Rest的支持,返回Json对象。中间遇到了不少问题,简单列一下,希望对其他人也有帮助。
1. 系统报406错误,按照文档和其他人的经验,只要<mvc:annotation-driven/>,应该不需要任何配置
最后发现原因是已经显式的配置了一个AnnotationMethodHandlerAdapter bean,这是就必须配置里面的messageConverters, 自动配置就不生效了。
2. 如何使Rest和JSP共享Controller
controller虽然很thin,但还是有一些简单的代码的。Spring ContentNegotiatingViewResolver可以支持自动对返回内容做处理,按需返回。观点貌似很好,使用就比较麻烦了。一点是JSP View接受的是一个Model对象,如果这个对象返回给Rest客户端,Model也会打包到JSon,感觉Json处理Map还是很麻烦的,于是自己生产一个CustomMappingJacksonJsonView,单独过滤掉Model,当然前提是Model只含有一个对象。
<bean class="org.springframework.web.servlet.view.ContentNegotiatingViewResolver"> <property name="mediaTypes"> <map> <entry key="html" value="text/html"/> <entry key="json" value="application/json"/> </map> </property> <property name="viewResolvers"> <list> <bean id="tilesViewResolver" class="org.springframework.web.servlet.view.UrlBasedViewResolver" p:viewClass="org.springframework.web.servlet.view.tiles2.TilesView"/> <bean class="org.springframework.web.servlet.view.InternalResourceViewResolver"> <property name="prefix" value="/WEB-INF/views/"/> <property name="suffix" value=".jsp"/> </bean> </list> </property> <property name="defaultViews"> <list> <bean class="test.json.CustomMappingJacksonJsonView"/> </list> </property> </bean>
3. 安全访问控制
因为系统有applet,所以对applet的Rest接口访问也应该和Web访问一下,做安全控制。因为applet是网页的一部分,让用户重新登录是不能接受的,实际上用户根本不知道有applet的存在。解决办法是,把web的session id 在applet初始化的时候,通过javascript传给applet, 在所有Rest调用时,都添加JSESSIONID的Cookie Header。
HttpPost postRequest = new HttpPost(url); postRequest.setHeader("Cookie", "JSESSIONID=" + jSessionId);
这样spring security的配置就只要考虑url,而不需要管远程是Ajax, Applet,还是浏览器了。