Android App и Spring Security

@Inside1995 · Регистрация: 04.04.2017

Здравствуйте. Столкнулся с проблемой при разработке android клиента, который общается с сервером на Spring.
Написал полностью рабочий сервер для общения с браузерами. Реализовал на сервере процессы авторизации и аутентификации с помощью Spring Security. Реализовал необходимые интерфейсы, чтобы при переходе клиента по адресу /login вся работа выполнялась самим Spring'ом за сценой. Теперь решил допилить android приложение, где также требуется авторизация. В итоге не могу догнать каким образом android клиент может быть авторизован.
Решил сперва попробовать проводить авторизацию вручную. Создал rest controller, куда android клиент отправлял имя и пароль и в контроллере проделывал примерно следующее:

Java

UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(userDetails, password, userDetails.getAuthorities());
authenticationManager.authenticate(usernamePasswordAuthenticationToken);
if (usernamePasswordAuthenticationToken.isAuthenticated()) {
       SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken);
}

Если честно даже и не рассчитывал, что сработает, так как все слишком просто, так оно и оказалось. Метод отрабатывал без ошибок, но объект Principal в контроллерах я конечно же не получал. Никакой вразумительной инфы в интернете я не получил, кроме мутных упоминаний о OAuth. Отсюда несколько вопросов:
1) Неужели действительно необходимо переписывать всю часть безопасности на OAuth, чтобы быть в состоянии аутентифицировать android клиент, чтобы тот мог получать доступ к защищенным методам в пределах сессии.
2) Конечно же я могу определить rest controller чисто для android клиентов. Осуществить там примитивную проверку логина и пароля, но тогда придется переписать ВЕСЬ уже готовый функционал для работы с android клиентом, хотя разница по большому счету только в том, что с обычных контроллеров я возвращаю имя view, а с rest контроллеров возвращаю success/error строки в зависимости от результата
3) И третий вопрос. Если все таки удастся решить проблему с безопасностью для android клиентов. Правильно ли бы было прогонять запросы android клиента через обычные контроллеры (не rest). Просто в конце делать какую нибудь проверку а-ля:

Java

if (isAndroidClient) {
     return "success";
} else {
    return viewName;
}

Я буду очень благодарен Вам за любые ответы на три моих главных вопроса. С началом изучения android программирования и взаимодействия со Spring'ом вопросов намного больше, чем ответов...

@KEKCoGEN · 30.01.2019, 19:32

Inside1995, для авторизации клиентов можно использовать Basic Authentication или JWT токен. Спринг поддерживает оба подхода (в случае Basic Authentication это одна строчка конфига). Примеров в интернете так же предостаточно.

Насчет контроллера ответ был уже дан в другой теме, зачем ещё раз спрашивать?

@LeX · 31.01.2019, 12:02

1. нет
2. не надо
3. делай rest

тебе уже правильно подсказали BasicAuth, либо jwt, Но можно пойти проще, дергаешь метод аутентификации (гугли j_spring_security_check), вытаскиваешь куки, JSESSION и пихаешь её все все последующие запросы к апи

@KEKCoGEN 2361 / 2191 / 558 Регистрация: 28.12.2010 Сообщений: 8,577
	30.01.2019, 19:32	2
	Inside1995, для авторизации клиентов можно использовать Basic Authentication или JWT токен. Спринг поддерживает оба подхода (в случае Basic Authentication это одна строчка конфига). Примеров в интернете так же предостаточно. Насчет контроллера ответ был уже дан в другой теме, зачем ещё раз спрашивать? 0

@LeX 378 / 370 / 114 Регистрация: 30.06.2010 Сообщений: 1,445
	31.01.2019, 12:02	3
	1. нет 2. не надо 3. делай rest тебе уже правильно подсказали BasicAuth, либо jwt, Но можно пойти проще, дергаешь метод аутентификации (гугли j_spring_security_check), вытаскиваешь куки, JSESSION и пихаешь её все все последующие запросы к апи 0

Опции темы