オーソリゼーションとスプリングセキュリティに関して質問があります。サービスの 1 つ (サービス指向アーキテクチャ環境下) に承認チェックを実装するために、Spring-Security を使用できるかどうかを確認しようとしていました。Spring Security のドキュメントを読んでいるときに、Spring Security が Springの AOP を内部で使用していることをここで読みました。
参照: AspectJ または Spring AOP を使用してメソッド承認を実行することを選択するか、フィルターを使用して Web 要求承認を実行することを選択できます。これらのアプローチは、0、1、2、または 3 つ一緒に使用できます。主流の使用パターンは、サービス層での Spring AOP メソッド呼び出しの承認と組み合わせて、いくつかの Web 要求承認を実行することです。
サービスの実装ではすでに Spring AOP を使用しています。私の場合、RESTful サービスに送信されるリクエストは、承認チェックを実行するために処理する必要があるカスタム ビルドのトークン オブジェクトを運びます。
これに基づいて、単純にSpringを使用してアスペクトを作成し、インバウンドリクエストをキャッチし、関連する(カスタムビルド)トークンを抽出して処理し、結果に基づいてリクエストを続行/拒否できるかどうかを理解したいですか? 通信チャネルが既に HTTPS を使用して保護されている場合、Spring-Security は必要ですか?
ありがとう、
SGSI