Android应用搭配Spring|Android应用搭配Spring Security实现登陆鉴权

在普通基于浏览器的web应用中,我们的验证鉴权一般使用sessionid实现,即验证通过时服务端返回一个sessionid,在cookies中。以后的每次请求都在请求头中设置cookies的值为返回的sessionid,即标志该请求是验证通过的。
在android应用中,我们可以通过用户名密码去请求登陆接口,得到服务端响应的sessionid,持久化存储起来,每次请求网络的时候都带上该sessionid,即可验证。
问题是,验证通过后的行为不合适。Web应用中验证通过后一般会重定向到之前请求页或首页,但是android不能接受redirect响应。所以应该需要为android应用开发一套接口,尽可能的重用验证鉴权逻辑。
我们要实现的这个功能属于验证成功后的行为,所以显然,应该在登陆过滤器中去修改,登陆过滤器中有一个authenticationSuccessHandler接口,项目之前采用的是org.springframework.security.web.authentication.SimpleUrlAuthenticationSuccessHandler实例。其中的onAuthenticationSuccess方法主要逻辑在handle()方法中。查看handle方法源码,最重要的一条是redirectStrategy.sendRedirect(request, response, targetUrl); 很明显,这就是我们要修改的地方。redirectStrategy默认只有一个实现DefaultRedirectStrategy,其主要的方法如下:

public void sendRedirect(HttpServletRequest request,HttpServletResponse response, String url) throws IOException { String redirectUrl = calculateRedirectUrl(request.getContextPath(), url); redirectUrl = response.encodeRedirectURL(redirectUrl); if (logger.isDebugEnabled()) { logger.debug("Redirecting to '" + redirectUrl + "'"); } response.sendRedirect(redirectUrl); }

该方法通过response来sendredirect到目的地址。
【Android应用搭配Spring|Android应用搭配Spring Security实现登陆鉴权】我们要实现的是,android设备验证成功后不用redirect,而是返回一个标 记,在此就很好实现了。只需要在安卓设备发送登陆请求时添加一个字段,表明是安卓设备,我们在重新实现以下这个sendRedirect方法,redirect之前首先判断以下request是否含有android设备标记即可,然后分情况来决定是否redirect。

    推荐阅读