したがって、単純なゲームのためにSpringを使用してREST-APIを構築しています。私は今、いくつかのデータ(彼らがどんなゲームをしているのか、どのチームにいるのか)と一緒にユーザーを追跡する必要があります。私は春のセキュリティがチェックアウトする価値があるかもしれないいくつかのヒントを得ましたが、ログインを必要とせずにそれが私を助ける方法を見逃しています。RESTを使用したSpringのセッション管理
これを実行する方法はありますか?
また、HttpServletRequestから取得できるセッションを使用しようとしましたが、このセッションでは解決できなかったWebページへの最初のナビゲーションと異なり、あまりにも信頼性が低いと心配しています。
RESTはステートレスであるはずです。つまり、ユーザーデータなどのセッションを本当にしたくないということです。これは、すべてサーバー側で持続され、残りの呼び出しによって管理される必要があります。ユーザーリソースとゲームリソース、おそらくはそれらの間の関係がすべてデータベースに保持されます。春のセキュリティは、これのいずれかであなたを助けるつもりはありません。
Spring Securityがあなたを助けることができるのは、RESTサービスを保護し、アイデンティティを管理することです。 RESTはステートレスですが、クライアントがHTTPヘッダーにアクセストークンのようなものを送信するのは正常です。このアクセストークンは、IDと認証の両方を提供します。ここでも、データベース内のアクセストークンとユーザーサーバー側の関係を個別に管理して保存する必要があります。
セッションはHTTPServeletRequestではなくHttpSessionからフェッチできます。 HttpSessionsは信頼できるものです。