Android App и Spring Security

@Inside1995 · Регистрация: 04.04.2017

Студворк — интернет-сервис помощи студентам

Здравствуйте. Столкнулся с проблемой при разработке android клиента, который общается с сервером на Spring.
Написал полностью рабочий сервер для общения с браузерами. Реализовал на сервере процессы авторизации и аутентификации с помощью Spring Security. Реализовал необходимые интерфейсы, чтобы при переходе клиента по адресу /login вся работа выполнялась самим Spring'ом за сценой. Теперь решил допилить android приложение, где также требуется авторизация. В итоге не могу догнать каким образом android клиент может быть авторизован.
Решил сперва попробовать проводить авторизацию вручную. Создал rest controller, куда android клиент отправлял имя и пароль и в контроллере проделывал примерно следующее:

Java
1
2
3
4
5
UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(userDetails, password, userDetails.getAuthorities());
authenticationManager.authenticate(usernamePasswordAuthenticationToken);
if (usernamePasswordAuthenticationToken.isAuthenticated()) {
       SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken);
}

Если честно даже и не рассчитывал, что сработает, так как все слишком просто, так оно и оказалось. Метод отрабатывал без ошибок, но объект Principal в контроллерах я конечно же не получал. Никакой вразумительной инфы в интернете я не получил, кроме мутных упоминаний о OAuth. Отсюда несколько вопросов:
1) Неужели действительно необходимо переписывать всю часть безопасности на OAuth, чтобы быть в состоянии аутентифицировать android клиент, чтобы тот мог получать доступ к защищенным методам в пределах сессии.
2) Конечно же я могу определить rest controller чисто для android клиентов. Осуществить там примитивную проверку логина и пароля, но тогда придется переписать ВЕСЬ уже готовый функционал для работы с android клиентом, хотя разница по большому счету только в том, что с обычных контроллеров я возвращаю имя view, а с rest контроллеров возвращаю success/error строки в зависимости от результата
3) И третий вопрос. Если все таки удастся решить проблему с безопасностью для android клиентов. Правильно ли бы было прогонять запросы android клиента через обычные контроллеры (не rest). Просто в конце делать какую нибудь проверку а-ля:

Java
1
2
3
4
5
if (isAndroidClient) {
     return "success";
} else {
    return viewName;
}

Я буду очень благодарен Вам за любые ответы на три моих главных вопроса. С началом изучения android программирования и взаимодействия со Spring'ом вопросов намного больше, чем ответов...

@KEKCoGEN · 30.01.2019, 19:32

Inside1995, для авторизации клиентов можно использовать Basic Authentication или JWT токен. Спринг поддерживает оба подхода (в случае Basic Authentication это одна строчка конфига). Примеров в интернете так же предостаточно.

Насчет контроллера ответ был уже дан в другой теме, зачем ещё раз спрашивать?

@LeX · 31.01.2019, 12:02

1. нет
2. не надо
3. делай rest

тебе уже правильно подсказали BasicAuth, либо jwt, Но можно пойти проще, дергаешь метод аутентификации (гугли j_spring_security_check), вытаскиваешь куки, JSESSION и пихаешь её все все последующие запросы к апи

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Обработчик клика мыши в браузере ПК и касания экрана в браузере на мобильном устройстве 8Observer8 02.02.2026 Содержание блога Для начала пошагово создадим рабочий пример для подготовки к экспериментам в браузере ПК и в браузере мобильного устройства. Потом напишем обработчик клика мыши и обработчик. . .	Философия технологии iceja 01.02.2026 На мой взгляд у человека в технических проектах остается роль генерального директора. Все остальное нейронки делают уже лучше человека. Они не могут нести предпринимательские риски, не могут. . .	SDL3 для Web (WebAssembly): Вывод текста со шрифтом TTF с помощью SDL3_ttf 8Observer8 01.02.2026 Содержание блога В этой пошаговой инструкции создадим с нуля веб-приложение, которое выводит текст в окне браузера. Запустим на Android на локальном сервере. Загрузим Release на бесплатный. . .	SDL3 для Web (WebAssembly): Сборка C/C++ проекта из консоли 8Observer8 30.01.2026 Содержание блога Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а. . .
SDL3 для Web (WebAssembly): Установка Emscripten SDK (emsdk) и CMake для сборки C и C++ приложений в Wasm 8Observer8 30.01.2026 Содержание блога Для того чтобы скачать Emscripten SDK (emsdk) необходимо сначало скачать и уставить Git: Install for Windows. Следуйте стандартной процедуре установки Git через установщик. . . .	SDL3 для Android: Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 29.01.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами. Версия v3 была полностью переписана на Си, в. . .	Инструменты COM: Сохранение данный из VARIANT в файл и загрузка из файла в VARIANT bedvit 28.01.2026 Сохранение базовых типов COM и массивов (одномерных или двухмерных) любой вложенности (деревья) в файл, с возможностью выбора алгоритмов сжатия и шифрования. Часть библиотеки BedvitCOM Использованы. . .	SDL3 для Android: Загрузка PNG с альфа-каналом с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 28.01.2026 Содержание блога SDL3 имеет собственные средства для загрузки и отображения PNG-файлов с альфа-каналом и базовой работы с ними. В этой инструкции используется функция SDL_LoadPNG(), которая. . .

@KEKCoGEN 2399 / 2224 / 565 Регистрация: 28.12.2010 Сообщений: 8,672
	30.01.2019, 19:32
	Inside1995, для авторизации клиентов можно использовать Basic Authentication или JWT токен. Спринг поддерживает оба подхода (в случае Basic Authentication это одна строчка конфига). Примеров в интернете так же предостаточно. Насчет контроллера ответ был уже дан в другой теме, зачем ещё раз спрашивать? 0

@LeX 378 / 370 / 114 Регистрация: 30.06.2010 Сообщений: 1,445
	31.01.2019, 12:02
	1. нет 2. не надо 3. делай rest тебе уже правильно подсказали BasicAuth, либо jwt, Но можно пойти проще, дергаешь метод аутентификации (гугли j_spring_security_check), вытаскиваешь куки, JSESSION и пихаешь её все все последующие запросы к апи 0