Spring-Security可以控制Html + JQuery + Json + SpringRoo項目嗎？

Question

我使用HTML + JQuery作爲UI，Spring-Roo生成包含Json對象字符串轉換的服務層。它非常適合我們，像下面的示例代碼：

@RequestMapping(headers = "Accept=application/json") 
@ResponseBody 
public ResponseEntity<String> ArticleController.listJson() { 
    HttpHeaders headers = new HttpHeaders(); 
    headers.add("Content-Type", "application/json; charset=utf-8"); 
    List<Article> result = Article.findAllArticles(); 
    return new ResponseEntity<String>(Article.toJsonArray(result), headers, HttpStatus.OK); 
} 

但有幾個示例頁面開發後，我有一些問題：

1）我們要使用Spring的安全訪問控制模塊，是確定這個框架？服務器如何知道它是來自瀏覽器的同一個會話請求？

2）純粹的HTML + JQuery真的沒問題，而不是jsp服務器技術？因爲我在html中注入了許多Ajax代碼，並且其中很多都不能被重用。正如我們所知，服務器技術具有可以最大化代碼重用的模板。我擔心發展困難和維護工作。

PS: Why we decided using HTML+JQuery+Json is because we directly get HTML+CSS from Art designer, 
and we have plan to support different client besides browser, so Json might be a good choice. 

謝謝。

Answer 1

1）我們想使用Spring-Security作爲訪問控制模塊，[...]服務器如何知道它是來自瀏覽器的同一個會話請求？

首先會話必須以某種方式在服務器端建立。使用標準的Spring Security登錄屏幕或使用ajax致電spring_security_login。作爲回報，服務器將發送一個包含JSESSIONID的cookie。隨每個後續請求（包括AJAX請求）發送此cookie，以便服務器知道哪個用戶調用REST方法。這是完全透明的。

此外，當您註銷時（通過呼叫j_spring_security_logout）會話以及Cookie被銷燬。

我們正在成功使用這種方法（由於歷史原因，我們正在調用來自JavaScript的soap服務！），它的工作非常好。

2）純HTML + JQuery確實可以嗎？因爲我在html中注入了許多Ajax代碼，並且其中很多都不能被重用。 [...]

真正分離的擔憂是國王。將JavaScript保存在一個地方（.js）文件和HTML在其他地方（.html）。他們不應該混合。同時保持JavaScript代碼分層，並儘可能遠離DOM操作（例如，使用客戶端模板引擎）。

此外，沒有什麼能夠阻止您在構建過程中生成HTML，因此每個頁面都包含常見的HTML片段，如頁眉和頁腳。